Hvorfor skal alle webshops nu pludselig have 3D secure koblet til?

Fra d. 14. september 2019 træder en PSD2 regel i kraft, nemlig den om Strong Customer Identifikation også kalder SCA. EU har tilbage i 2015 besluttet, at det skal være sværere at svindle med andres kort og derfor skal man som kunde identificere sig med et ekstra trin ved en betaling, for at vise, at man er ejer af kortet. Dette skal ske ved, at man skal bruge 2 ud af 3 metoder – de tre metoder er:

  • Noget man er (f.eks. Touch ID, Ansigtsgenkendelse, Iris scanning).
  • Noget man ved (f.eks. en statisk adgangskode/password eller en PIN kode)
  • Noget man har (F.eks. et kort/kortdetaljer, en telefon, en Token, en OTP[1] SMS-kode)

SCA er ikke kun i onlineverdenen, men også i den fysiske verden. Når man bruger chip og PIN, så bruger man noget man har (kortet) og noget man ved (PIN). Ved kontaktløse transaktioner i den fysiske verden vil man skulle bruge PIN, når man kommer over den sædvanlige grænse på 350 kroner (grænsen fra EU lyder på €50). Og bruger man en wallet; Apple Pay, Google Pay, Mobile Pay, så bruger man telefonen (noget man har) og man er logget ind på wallet med fingeraftryk, faceID eller en kode (noget man er, eller noget man ved). Så i den fysiske verden er SCA meget langt hen ad vejen implementeret og vi er alle vant til, at det er sådan.

I onlineverdenen er billedet noget anderledes. En del webshops har allerede indført et ekstra trin med 3D secure, men det er langt fra alle. Men mere om det.

Exemptions

Der er en række såkaldte Exemptions eller undtagelser, jeg vil komme ind på nogle af dem her:

MIT – Merchant Initiated Transaction. Dvs. de transaktioner, hvor kortholder ikke er tilstede. Det kan være når din telefonregning bliver betalt, når pengene for dit månedskort trækkes eller dit Netflix eller Spotity abonnementet trækkes.

Low Value transactions. Som jeg nævnte ovenfor, er der en bagatelgrænse på transaktioner, før SCA er påkrævet. I den fysiske verden er det €50 og i onlineverdenen er den €30.

Risk Based Authentication (RBA). Der findes også en måde, hvor man kan få sat bagatelgrænsen op til €100, €250 og €500 Euro, hvis ens Indløser eller Udsteder kan bevise, at de har meget lidt svindel, samlet set og derfor ønsker at få bagatelgrænsen hævet for deres webshops eller deres kortholdere.

Branche kode undtagelse. Der er visse brancher, indenfor transport og parkering, der per automatik er undtaget SCA, selvom kortholder er til stede. Så du skal ikke foretage et ekstra sikkerhedstjek, når du kører ud af et parkeringshus, heller ikke selvom du ikke har brugt PIN og beløbet er over 350 kroner.

One legged transaktion. Hvis din kunde kommer fra udenfor EU betragtes transaktionen som ”One legged” og falder derfor udenfor SCA[2].

Ingen af ovenstående Exemptions kan man som webshop gøre fra eller til, dette styres i betalingsinfrastrukturen. Så sælger din webshop varer til (samlet) under €30 eller ca. 220 kroner, så vil transaktionen automatisk blive markeret med ”lov value” og ryge igennem systemet. Og er du sat op til ”recurring” payments hos din indløser, så vil disse transaktioner få et MIT stempel med rundt.

White Listing. Det er endnu uklart, hvordan Issuer/Bankerne vil implementere White Listing i Danmark og det er derfor også uklart om webshoppen/Merchant vil skulle tilmelde sig aktivt. Men i grove træk går White listing ud på, at kortholder kan gå ind i sin Mobil,- eller Netbank og vælge at indikere, at netop din webshop er OK og alle transaktioner her, derfor skal have denne undtagelse og ikke behøve det ekstra sikkerhedstrin (SCA). Det vil sandsynligvis også blive sådan, at man som webshop kan linke til listen, så man kan tilbyde sine loyale kunder at gå ind via et link og tilmelde netop din shop til deres white listen. Listen bliver dog altid udstillet og vedligeholdt gennem kortholders bank/issuer.

Hvad så med ”Gemt Kort”?

Gemt Kort er smart, fordi din kunde ikke skal huske deres kortdetaljer, det gør du for dem… men det er en transaktion, hvor kortholder er til stede (dvs. ikke MIT) og den falder derfor ind under SCA. Hvis der derfor ikke er en anden undtagelse, der er gældende, så vil din kunne skulle gennem et ekstra sikkerhedstrin. Heldigvis er det nok, hvis din kunde logger ind på din profil (noget man ved) og derefter verificerer betalingen med 3D secure og en OTP[3] SMS-kode. Men det VIL betyde et ekstra trin for din kunde og derfor er kommunikation omkring, hvorfor dette sker så vigtig. Hvis dine kunder forventer at skulle indtaste en kode, så føler de sig trygge ved flowet og forstår formodentlig godt, at dette trin vil gøre, at det er mindre sandsynligt, at deres eget kort misbruges.

Betalingsmetoder som MobilePay, Apple Pay og Google Pay bliver betragtet som SCA-transaktioner, i onlineverdenen også, da din kunde logger ind på deres App, for at verificere købet. Du kan derfor med fordel overveje, om dit flow vil være mere flydende, hvis din kunde skal ”swipe” eller godkende med fingeraftryk eller ansigtsgenkendelse, frem for at indtaste en SMS-kode.

Hvad sker der, hvis ens transaktioner ikke er ”stemplet” med SCA eller en undtagelse?

For at opsummere, så skal alle transaktioner – fra og med d. 14. september 2019 – have et ”stempel” med rundt i betalingssystemet, de viser, at der enten er tale om en SCA-transaktion eller at denne transaktion er under en Exemption/undtagelse.

Hvis dette ikke er tilfældet, så er det op til din kundes bank (issuer), hvad der skal ske. Langt de fleste banker vil afvise en sådan transaktion. Jeg har set slides fra bl.a. Mastercard, hvor der står, at op mod 30% af issuers vil afvise ikke-SCA compliant transaktioner, men min vurdering er, at det er langt højere i Danmark end 30%.

Som webshop er det eneste man kan gøre at overveje sit flow nøje, samt få implementeret 3D secure på kreditkort og debitkort, samt Dankort Secured by Nets på Danmark. Sørg for at have det klar d. 14. september, for der kører de nye regler og er du ikke klar, vil du se en stor del af dine transaktioner blive afvist.

Dette blogindlæg er skrevet start august, 2019 – SCA reglernes tolkning hos de lokale finansinstitutioner ændrer sig ugentligt, så læser du dette senere kan enkelte elementer være ændret. Jeg vil dog bestræbe mig på at opdatere indholdet.

Mener du jeg mangler noget eller kender til en opdatering jeg bør have med, så tøv ikke med at skrive til mig på susan.kaae@experteye.dk.

[1] One Time Password

[2] Norge er med i EEA og implementer også disse regler. Din kunde i Norge vil derfor komme ind under SCA reglerne.

[3] One Time Password.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.