Europeiska betalningar ändras

Denna artikel ger dig all information du behöver angående PSD2 Strong Customer Authentication (SCA) – nya säkerhetskrav som träder i kraft i september 2019. Vi beskriver i detalj vilka kraven och fördelarna är och för vilken typ av betalningar den nya autentisering behövs.

Bakgrund

Det europeiska PSD2-direktivet genomför nya krav för betalningar som heter SCA. SCA tas i bruk för att göra onlinebetalningar säkrare för alla intressenter. Kort sagt innebär SCA att när en europeisk handlare gör en betalning krävs stark autentisering vid tidpunkten för betalningen.

Tidigare kunde konsumenterna utföra betalning utan multifaktorautentisering genom att helt enkelt ange sitt kortnummer och en CVC-kod. Enligt de nya kraven kommer ett nytt säkerhetslager att läggas till för att alla betalningar skall vara säkrare.

Det vanliga sättet att implementera MFA är genom ett verktyg som kallas 3D-Secure, vilket används av korten (Visa, Mastercard, American Express etc.) som ett sätt att verifiera betalningar via e-handel. Du kanske är bekant med processen att göra en online-betalning och omdirigeras till en ny sida för att mata in en kod eller genomföra BankID eller liknande. 3D-Secure implementerades för att säkerställa att kortägaren är den person som utför e-handelsbetalningen.

Det nya sättet att säkra kortbetalningen och att följa PSD2 och SCA kallas 3D-Secure 2, som ersätter den gamla 3D Secure-lösningen och gör det enklare att samla in SCA-information. Vid tidpunkten för betalningen kommer 3D-Secure 2 att ge kortutgivaren data för att bekämpa bedrägeri och säkra kortinnehavarens data.

SCA-kraven träder i kraft den 14 september 2019.

PSD2-regleringen kräver SCA för många men inte alla onlinebetalningar
De nya kraven inkluderar att alla betalningar måste verifieras med två av dessa tre faktorer:

• Något du vet
• Något du äger
• Något du är

Traditionella ”Något du vet” var allt som krävdes för att köpa något (ex. Kortnummer, utgångsdatum och CVC-kod), men eftersom denna information är relativt lätt för bedragare att stjäla, kräver SCA ett extra tillägg för autentisering, som en OTP, Fingeravtryck, certifikat etc. Kortutgivaren och hårdvaran ger den andra faktorn i form av 3D-Secure 2.

Onlinebetalningar idag kan variera mycket beroende på dina affärsmodeller, produkttyper och kunder. Det innebär att SCA-reglerna, beroende på din inställning, kan påverka dina betalningar annorlunda. I allmänhet måste alla betalningar ha SCA, men vad händer om du använder lagrade betalningsuppgifter eller återkommande betalningar eller om kunden är belägen utanför EU?

Den goda nyheten är att alla tidigare lagrade kort inte kräver SCA så att du inte behöver oroa dig för äldre tokeniserad kortdata.

Även om det finns undantag från SCA, är det upp till kortutgivaren att godkänna transaktionerna och genomförandet av alla funktioner varierar beroende på faktorer som bankkarta för bankerna som genomför stöd till SCA på deras sida.

Lyckligtvis har Mondido ett effektivt sätt att lösa potentiella problem som kan uppstå genom de nya kraven genom verktyg som återbetalningsmetoder och andra verktyg som tillhandahålls av våra proprietära regel- och kommunikationsmotorer. Vänligen kontakta help@mondido.com om du har några frågor eller överväganden om hur du bäst hanterar de nya kraven.

De olika intressenternas ansvar

I en betalningssituation finns det många spelare som var och en har ett eget ansvar att säkra och genomföra transaktionen. De olika partiernas ansvar är:

Konsumenten
• Behöver hålla sina kortdata säkra

Köpmannen
• Behöver använda en SCA-godkänd betalningsleverantör

Betalningsleverantören
• Behöver införa bedrägeribekämpning och modern 3D-Secure-teknik (3D Secure 2)

Kortutgivaren
• Behöver ha verktyg för att analysera konsument- och handelsdata för att godkänna eller neka betalningar och stödja undantag

Ansvarstagaren
• Behöver stödja SCA-ramverket och övervaka bedrägerier

Konsekvenser av att inte vara PSD2 SCA-kompatibel

Om du som e-handlare eller din betalningsleverantör inte stöder SCA, finns det stor risk för misslyckade betalningar och förlora ditt avtal med din inlösare. Om inlösaren, PSP’n och kortutgivare inte följer och verkställer SCA kommer de också att riskera att förlora sin licens och förmåga att delta i betalningsnäten.

Hur påverkar SCA betalningsupplevelsen?

Om du har 3D-Secure idag, kommer den nya 3D-Secure 2 faktiskt att innebära en bättre upplevelse för dina kunder, eftersom användargränssnittet är mycket mer anpassat till moderna plattformar. För att den nya 3D Secure 2 ska fungera för dig behöver du inte göra någonting; Vi kommer att göra alla ändringarna åt dig.

Om du inte använder 3D-Secure idag måste du aktivera det, åtminstone för den första transaktionen i en tokeniserad situation när betalningsuppgifterna är lagrade. Kontakta oss för frågor kring aktivering.

Hur påverkar de nya reglerna mina affärsmodeller

Beroende på din affärsmodell finns det olika scenarios när SCA ska och inte ska användas. Här är en lista över affärsmodeller:

Retail, fysiska varor
• Behöver stödja SCA för EU: s konsumenter

Prenumerationer och återkommande betalningar
• Behöver ha SCA på den första transaktionen när bilarna är lagrade

Medlemsskap
• Behöver ha SCA på den första transaktionen när bilarna är lagrade

Tjänster och digitala varor
• Om försäljaren debiterar konsumenten efter att ett kort har lagrats måste du ha SCA på den första transaktionen när bilarna är lagrade

Marknadsplatser
• Behöver ha SCA på den första transaktionen när bilarna är lagrade

Post- och telefonorder (MOTO)
• Undantaget från SCA

Mobil, app, IOT
• Nytt bättre användargränssnitt för SCA

Icke-EU-konsumenter
• Undantaget från SCA

SCA-undantag

– Whitelistade merchants
– Konsumenter och kortutgivare kan whitelista e-handlare som inte behöver ha SCA
– Ej EU-konsumenter eller handlare
– Betalningar under 30 euro
– Uppföljning av betalningar för återkommande betalningar och prenumerationer
– MOTO
– Merchant Initiated Transactions på ett lagrat kort

Undantag för lägre köpesummor

Om du har transaktioner under 30 € behöver du inte ha SCA tills konsumenten når 100 euro eller har mer än 5 på varandra följande betalningar utan SCA.

I dessa fall måste du stödja SCA, men du kan tillfälligt hoppa över det.

Mondido är PSD2 redo

3D Secure 1.0 erbjuder inte den bästa upplevelsen för online-konsumenter, särskilt när de använder en mobilenhet, det betyder att även om den nya 3D Secure lägger till ett lager av extra säkerhet, kommer det med största sannolikhet att leda till lägre betalningskonvertering, eftersom den är byggd använder nyare teknik.

För att hantera de nya kraven i PSD2 och förbättra konsumentsäkerheten, kommer Mondido att erbjuda den nya 3D-Secure version 2.1. För dig innebär det att 3D Secure är:

• Anpassad för mobila, stationära och andra skärmar
• Innehåller dynamiska funktioner för att hoppa över SCA under vissa situationer
• Byggd för att tillhandahålla kortutgivare med uppgifter om bedrägeribekämpning

Som e-handlare och Mondido-kund behöver du inte göra något för att delta i 3D-Secure 2.1-systemet, det kommer automatiskt att läggas till på ditt konto.

3D-Secure 2.1 tar bort den – inte så praktiska – omdirigeringen till en annan sida, och dina kunder kan autentisera sig med ett modernt mobilvänligt gränssnitt. 3D-Secure 2.1 använder certifierade SDK och API för att dela riklig autentiseringsdata med banker, vilket gör integrering av autentiseringsflöden till webbplatser och appar sömlösa samtidigt som de uppfyller SCA-kraven för PSD2.

Gillar du vad du läst?

Gör som tusentals andra, prenumerera på våra inlägg.