PSD2 - Vanliga frågor och svar

Du som tar betalt med kort påverkas på flera sätt, bland annat eftersom dina kunder kommer att behöva legitimera sig med stark kundverifiering (SCA) vid betalning.

SCA

Stark kundautentisering innebär att kunderna vid kortbetalning behöver legitimera sig med minst två av följande:

• något man kan, till exempel ett lösenord
• något man har, till exempel ett kort eller en smartphone
• något man är, till exempel sitt fingeravtryck.

Tar du betalt med en kortterminal så innebär det att dina kunder måste legitimera sig med exempelvis PIN-kod eller biometriska metoder som exempelvis fingeravtryck.

Betalning via magnetspår, manuell inmatning av kortuppgifter samt signaturköp är inte längre möjliga för kunder med kortutgivare inom EU/EES. Din kortterminal måste alltså kunna ta stödja Chip & PIN samt Kontaktlöst.

Om du har en e-handel innebär det att kunderna vid Kortbetalning behöver legitimera sig enligt 3D Secure.

Köp med Signatur

Signaturköp, det vill säga när kunden använder sitt kort och väljer att godkänna sitt köp med sin namnteckning, kommer inte att vara tillåtna för de kort utgivna inom EU/EES enligt PSD2-direktivet. Vissa kortutgivare inom EU/EES har ännu inte stängt av signaturmöjligheten men kommer att behöva göra det för att uppfylla kraven. I dessa fall kommer kunden att behöva ange sin PIN-kod för att genomföra köpet eller hänvisas till sin kortutgivare.

PIN-kod vid låga belopp

Vid kortbetalning i terminal där beloppet är upp till 400 kr behöver kunden vanligtvis inte ange sin PIN-kod. Men i och med PSD2 behövs PIN-kod ibland av säkerhetsskäl även vid låga belopp. Det är kundens kortutgivare som bestämmer när PIN-kod ska anges. Det kan vara när kunden har uppnått ett visst totalbelopp eller ett visst antal köp även om beloppen har varit låga.

Kortbetalning med okänt slutbelopp

PSD2 ställer högre krav på branscher där man inte vet vilket det exakta slutbeloppet kommer att bli för kunden. Dessa branscher är exempelvis biluthyrning, hotell, parkering och drivmedel. Kunden behöver i dessa fall tydligt informeras om vilket belopp som kommer att reserveras på kortet och acceptera beloppet innan betalningen genomförs.

För dig som är jobbar inom dessa branscher är det viktigt att i samband med kortbetalning alltid informera kunden om vilket belopp som kommer att reserveras.

Vidaredebitering

Enligt lag finns det idag ett förbud mot vidaredebitering (extra avgift) av kortkund i samband med kortbetalning och detta förbud kommer finnas kvar i Sverige.  För Danmark och Finland förändras lagen genom att förbudet förändras till att endast omfatta privata kort som är utgivna av en kortutgivare inom EU. Förbudet gäller både fysisk miljö, e-handel, automat samt telefonorder. I Norge finns det inget förbud mot vidaredebitering och här sker ingen förändring.

Det är en ny teknisk standard (Regulatory Technical Standard) som är till för att kunna genomföra syftet med det andra Betaltjänstdirektivet från EU/EES (PSD2) exempelvis SCA. Den tekniska standarden är obligatorisk och införs via lagstiftning i EU-länderna.

• Kortbetalning i terminal
• Kortbetalningar via webbsida och/eller app
• Förenklad kortbetalning (köp via lagrad kortinformation)
• Alla kortköp där kortutgivaren är inom EU/EES

• Kortköp som görs utan att kortkunden är närvarande, till exempel
• Abonnemangsbetalningar (så kallad Recurring)
• Telefonorder (utan betallänk)
• Anonyma förbetalda kort (så kallade Prepaid-kort, presentkort)
• Kortköp där kortutgivaren är utanför EU/EES

Ja. För att kortkunden ska få en smidig och positiv köpupplevelse kan kortutgivare (och ibland kortinlösare) använda sig av några definierade undantag från stark kundautentisering.

Dessa undantag är:

• Kortköp på upp till motsvarande 30 euro, dock med begränsningar på antal och belopp enligt kortutgivarens beslut.
• Kortköp mellan motsvarande 30 och 500 euro där en riskbedömning utförts av kortutgivare och i förekommande fall kortinlösare.
• Kortköp som initieras av butik utan att kortkunden är närvarande, till exempel abonnemangsbetalningar (så kallad Recurring).

Trots alla undantag som finns är det alltid kortutgivaren som har sista ordet och kan alltid välja att begära och genomföra en stark kundautentisering (så kallad step-up). Hur kortutgivaren kommer att göra är alltså inte känt innan kortköpet genomförs.

Kortutgivarna (exempelvis Mastercard, Visa, AMEX) har enats om en ny version av den tekniska standarden för 3D Secure med ännu säkrare och enklare sätt för kortkunder att legitimera sig. Den nya versionen kallas EMV 3DS och innebär bland annat:

• Krav på att skicka mer information till kortutgivaren om kunden och kortbetalningen för en bättre riskbedömning. Exempel är adressuppgifter, kundens e-post och telefonnummer.
• Att kortutgivare har möjlighet att erbjuda nya sätt för kortkunder att legitimera sig, till exempel biometriska metoder (fingeravtryck och liknande).
• En anpassning av gränssnitt för mobila enheter.

Den nya versionen av 3D Secure ska vara implementerad och aktiverad hos e-handlare senast 1 juli 2020.

• Installera och aktivera 3D Secure (EMV 3DS).
• Kontakta din betalväxel för att få instruktioner om vilka förändringar som du som butik behöver göra i anropen till betalväxeln, exempelvis mer information om kortbetalningen.
• Kontakta din betalväxel för att diskutera tillgängliga övervakningssystem för att du ska kunna få kontroll på eventuellt bedrägliga korttransaktioner.

Tar du betalt med en kortterminal så innebär det att dina kunder måste verifiera sig med exempelvis PIN-kod eller biometriska metoder som tumavtryck. Betalning via magnetspår, manuell inmatning av kortuppgifter och signatur, eller Chip och signatur är inte längre möjliga för kunder med kortutgivare inom EU/EES. Din terminal måste alltså kunna ta emot betalning via Chip & PIN.

Dina kortkunder kan även vid låga belopp behöva ange till exempel PIN-kod (eller blir hänvisad att genomföra en kortbetalning med Chip & PIN-kod). Det beror på att kortkundens kortutgivare då och då kräver att kortkunden legitimerar sig på ett säkert sätt även vid låga belopp.

Det är din kunds kortutgivare som bestämmer när PIN-kod ska anges. Det krävs av säkerhetsskäl PIN-kod efter att kunden har uppnått ett visst totalbelopp eller ett visst antal köp även om beloppen är under gällande beloppsgräns.

Den nya lagstiftningen kräver att kortkunden ska godkänna köpet med PIN-kod, eller annan godkänd legitimeringsmetod.

Lagstiftningen kräver att kortkunden ska godkänna köpet med en stark kundautentisering och anser att signatur inte är en godkänd legitimeringsmetod. Kunder med kort utanför EU/EES berörs inte av lagstiftningen och därför behöver signaturfunktionen fortsättningsvis finnas kvar.

På kortkunder med kort utgivna inom EU/EES kan kortutgivarna komma att neka kortköp som är manuellt inknappade.

Ja, enligt nya lagstiftningen är även biometriska metoder så som fingeravtryck, ansiktsscanning och ögonigenkänning godkända.

En godkänd legitimeringskod krävs i samband med köpet, det vill säga att din kund behöver verifiera sig med godkänd legitimeringsmetod så som tumavtryck, ansiktsscanning eller ögonigenkänning.

En godkänd legitimeringskod krävs i samband med köpet, det vill säga att din kund kan komma att verifiera sig med godkänd legitimeringsmetod (PIN kod).

Din kortterminal måste kunna ta emot betalningar med både Chip & PIN och Kontaktlöst.