Værd at vide om stærk kundeautentifikation (SCA)

Herunder har vi samlet de vigtigste punkter, du skal kende til omkring SCA.

Hvad er SCA, og hvilke typer betalinger er omfattet?

Misbrug bliver stadig mere avanceret indenfor online betalinger. For at gøre noget ved det blev der indført nye regler for stærk kundeautentifikation (SCA) i EU's Payment Services Directive 2 (PSD2).

Langt de fleste betalinger med betalingskort lavet af en forbruger kommer til at kræve SCA. Undtagelserne bliver beskrevet senere.

En stærk kundeautentifikation i henhold til PSD2 betyder, at kunden bliver bedt om at udføre to-faktor-autentifikation (2FA) for at identificere sig i betalingsprocessen. De to faktorer skal være uafhængige af hinanden og skal være fra følgende kategorier:

  • VIDEN: noget forbrugeren ved = et kodeord, PIN-kode
  • BESIDDELSE: noget forbrugeren har = en token, en mobil enhed
  • ARV: noget forbrugeren er = biometrisk fingeraftryk, ansigtsgenkendelse

I dag gennemføres kortbetalinger online ofte ved indtastning af kortnummeret, hvorefter man bliver bedt om at identificere sig selv gennem Dankort Secured by Nets med en sms-engangskode.

Forbrugerens bank (kortudsteder) er i sidste ende ansvarlig for at sikre SCA, men gennemførelse af SCA kræver også involvering af betalingstjenesteudbydere (PSP'en) og kortindløser, når det drejer sig om kortbetalinger.

Ikke alle betalinger er omfattet af SCA

Visse typer af betalinger er undtaget kravet om SCA.:

  • Transaktioner initieret af betalingsmodtageren anses ikke for at være udløst af betaleren og er derfor fritaget for SCA. (det er et kompliceret område af PSD2, så derfor har vi har lavet et særligt afsnit om det senere).
  • MOTO (mail- og telefonordrer) anses ikke for at være elektroniske, og er derfor ikke omfattet af SCA.
  • Køb under 30 euro (dog maks samlet 100 euro).

Dankort Secured by Nets som metode til SCA

Hvad skal du som webshopejer gøre?

Dankort Secured by Nets skal være aktiveret for online Dankort betalinger

Kravet om stærk kundeautentifikation under PSD2 betyder, at stærk autentifikation af betalere ikke længere er et valg. Ved de fleste betalinger skal SCA udføres - dvs. kortholderen skal autentificeres over for udstederen. Det betyder, at kortbetalinger skal godkendes via Dankort Secured by Nets (eller tilsvarende ved andre betalingskort end Dankort).

Hvad er Dankort Secured by Nets?

Dankort Secured by Nets er en sikkerhedsløsning udviklet til at beskytte kortholdere online gennem en ekstra sikkerhedskontrol af betalinger.

SCA via Dankort Secured by Nets kræver at forbrugeren, via en engangskode sendt pr. sms, verificerer sig som kortholder. 

Dankort Secured by Nets vil ikke længere være valgfrit

I dag beslutter du som forretningsdrivende ofte selv, om du vil have Dankort Secured by Nets på din webshop.

Nogle webshops anser SCA som besværligt og som noget, der kan påvirke deres konverteringsrate negativt. Med SCA-reguleringen bliver Dankort Secured by Nets dog et krav ved online Dankort betalinger, med undtagelse af nogle scenarier, som vi vil gennemgå nedenfor.

Den gode nyhed er, at betalingstjenesteudbydere (PSP'er) står for aktiveringen af Dankort Secured by Nets på vegne af forretningerne. Så du skal ikke nødvendigvis gøre så meget selv.

Ofte stillede spørgsmål

- Er 'gem-kort-transaktioner' omfattet af SCA?

"Gem-kort" er, når forbrugerens kortoplysninger bliver gemt, så de lettere kan gennemføre et køb, næste gang de handler.

Forbrugeren bliver som regel spurgt, om de ønsker at gemme deres kortnummer, udløbsdato og CVC-kode, så de let kan springe dette trin over, næste gang de handler i den samme webshop.

At kortoplysninger gemmes, gør ingen forskel i klassificeringen af transaktionen. Hvis det er en forbrugerinitieret engangsbetaling, så forbliver det en engangsbetaling ift. SCA. Derfor skal den ikke markeres som en "gentagende" transaktion. Hvor "Gem-kort" bruges ved forbrugerinitierede køb, skal de Dankort betalinger via Dankort Secured by Nets.

- Hvad er en forretningsinitieret transaktion?

Forretningsinitierede transaktioner (på engelsk forkortet MIT) er:

  • Baserede på en aftale mellem forretningen og forbrugeren for levering af varer/tjenesteydelser
  • Betalinger der er baseret på en aftale om gentagende (recurring) betalinger
  • Betalinger hvor forbrugeren ikke skal foretage SCA ved efterfølgende betalinger
  • Aftaler der underskrives af betaleren med SCA, og derefter er SCA ikke nødvendigt

Eksempler på forretningsinitierede transaktioner er f.eks. musik- eller streaming-abonnementer og mobilregninger.

- Skal kunden bekræfte alle sine eksisterende aftaler igen?

Kort sagt - nej.

Eksisterende aftaler for recurring og MIT'er behøver ikke ny SCA. En betalingstjenesteudbyder (PSP) skal dog kunne henvise til tidligere transaktioner (transaction-ID) i kæden for at validere status for recurring/MIT.

Undtagelser for Strong Customer Authentification (SCA)

Hvad er undtagelserne til SCA?

Flere er bekymrede for, at SCA kan påvirke konverteringsraten negativt. For at imødekomme det, er det besluttet at der er tilfælde, hvor undtagelser til SCA-kravene kan bruges.

Det er forbrugerens bank (kortudsteder), der har det endelige ansvar for SCA og derfor også undtagelserne til SCA. Undtagelserne er ikke bindende for bankerne, og de kan selv afgøre, om de ønsker at tilbyde deres kunder disse undtagelser.  

Eksempler på undtagelser til SCA beskrevet under PSD2:

  • Beløb under 30 euro: Når en forbruger foretager et online køb på op til 30 euro, kan denne betaling laves uden SCA. SCA skal dog anvendes igen ved 100 euro samlede udgifter (for Dankort).

  • Transaktionsrisikoanalyse (TRA): Hvis udstederen eller indløseren udfører TRA og vurderer, at betalingen har lav risiko for misbrug, kan de fritage betalingen fra SCA.

  • Betalerens (forbrugerens) betroede modtagere: Hvis en forbruger har identificeret en webshop, de har tillid til, og forudsat at identifikationen af webshoppen finder sted via banken med SCA, vil de efterfølgende transaktioner med denne webshop ikke kræve SCA.

Disse regler er en ny praksis under PSD2, og vi forventer, at der kan gå lidt tid før SCA-undtagelserne bliver bredt implementeret.

​Vil du holdes opdateret?

Tilmeld dig nyheder som SCA, så du kan holde dig opdateret om, hvad EU-direktivet kommer til at betyde for din forretning.

Udfyld blot dit navn og din e-mail herunder.

Navn
E-mail
Sæt flueben i boksen
Nyheder om SCA