PSD2 - De mest almindelige spørgsmål og svar

Hvis du tager mod kortbetaling, bliver du påvirket på flere måder, fordi dine kunder skal legitimere sig med stærk kundegodkendelse (SCA) ved betaling. 

SCA 

Stærk kundegodkendelse betyder, at kunderne skal legitimere sig ved kortkøb ved at benytte mindst to af følgende: 

• noget man kan, f.eks. en adgangskode 
• noget man har, f.eks. et kort eller en smartphone 
• noget man er, f.eks. et fingeraftryk. 

Hvis du tager mod betaling med en kortterminal betyder det, at dine kunder skal legitimere sig med eksempelvis PIN-kode eller biometriske metoder, som f.eks. fingeraftryk. 

Betaling via magnetstribe, manuel indtastning af kortoplysninger samt køb med underskrift er ikke længere muligt for kunder med kortudstedere inden for EU/EØS. Din kortterminal skal altså kunne understøtte Chip & PIN samt kontaktløs betaling. 

Hvis du har en webshop betyder det, at kunderne skal legitimere sig ved kortkøb i henhold til 3D Secure. 

Køb med underskrift 

Signaturkøb, det vil sige når kunden bruger sit kort og vælger at godkende sit køb med sin underskrift, vil ikke være tilladt for de kort, der er udstedt inden for EU/EØS i henhold til PSD2-direktivet. Nogle kortudgivere inden for EU/EØS har endnu ikke lukket signaturmuligheden, men skal gøre det for at opfylde kravene. I disse tilfælde skal kunden indtaste sin PIN-kode for at gennemføre købet eller henvises til sin kortudsteder. 

PIN-kode ved lave beløb 

Ved korttransaktion på terminal, hvor beløbet er maks. 400 kr., behøver kunden normalt ikke indtaste sin PIN-kode. Men med PSD2 er PIN-kode undertiden nødvendig ved lave beløb. Der sker af sikkerhedsmæssige årsager. Det er kundens kortudsteder, der fastlægger, hvornår PIN-kode skal angives. Det kan være, når kunden har opnået et bestemt totalbeløb eller et bestemt antal køb, også selvom beløbene har været lave. 

Kortbetaling med ukendt slutbeløb 

PSD2 stiller højere krav til brancher, hvor man ikke præcist ved, hvad kundens slutbeløb bliver. Disse brancher er eksempelvis biludlejning, hoteller, parkering og brændstof. I disse tilfælde er der større krav til at informere kortkunden inden kortkøbet, om hvilket beløb, der bliver reserveret på kortet, og at kortkunden skal acceptere dette beløb, inden transaktionen gennemføres. 

Hvis du arbejder i en af disse brancher, er det, i forbindelse med kortkøb, altid vigtigt at informere kunden om hvilket beløb, der bliver reserveret på kortet. 

Videredebitering 

I henhold til lovgivningen er der i dag et forbud mod videredebitering /surcharge) af kortkunden i forbindelse med kortbetaling, og dette forbud vil fortsat være gældende i Sverige.  For Danmark og Finland ændres loven ved at forbuddet ændres til kun at omfatte private kort, som er udstedt af en kortudsteder inden for EU. Forbuddet gælder både fysisk miljø, e-handel, automater samt telefonordrer. I Norge er det intet forbud mod videredebitering, og her sker ingen ændring. 

Det er en ny teknisk standard (Regulatory Technical Standard), som har til formål at kunne gennemføre målsætningen i det nye betalingsdirektiv EU/EØS (PSD2), eksempelvis SCA. Den tekniske standard er obligatorisk og bliver indført i EU-medlemslandene ved lov. 

• Kortbetaling i terminal 
• Kortbetalinger via website og eller app 
• Forenklet kortbetaling (køb via lagrede kortoplysninger) 
• Alle korttransaktioner, hvor kortudgiveren er inden for EU/EØS 

• Korttransaktioner, som foretages af butikker uden kortkunden er til stede, eksempelvis abonnementsbetalinger (såkaldt Recurring) 
• Telefonordre (uden betalingslink) 
• Anonyme forudbetalte kort (såkaldt Prepaid-kort, gavekort) 
• Korttransaktioner, hvor kortudstederen er uden for EU/EØS 

Ja. For at kortkunden får en fleksibel og positiv købsoplevelse, kan kortudsteder, og undertiden kortindløser, benytte sig af nogle definerede undtagelser fra stærk kundegodkendelse. 

Disse undtagelser er: 

• Korttransaktioner op til et beløb svarende til 30 euro, med antal og beløbsbegrænsninger i henhold til kortudsteders beslutning. 
• Korttransaktioner mellem et beløb på 30 og 500 euro, hvor en risikovurdering bliver udført af kortudsteder og eventuelt kortindløser. 
• Korttransaktioner, som foretages af butikker, uden kortkunden er til stede, eksempelvis abonnementsbetalinger, såkaldt Recurring. 

Trods alle undtagelserne er det altid kortudstederen, der har det sidste ord og som altid kan vælge at anmode om og udføre stærk kundegodkendelse, såkaldt step-up. Det vides ikke, hvordan kortudstederen vil gøre, før korttransaktionen udføres. 

Kortudstederne, f.eks. MasterCard, Visa, AMEX) er blevet enige om en ny version af den tekniske standard for 3D Secure med endnu sikrere og nemmere måder, hvorpå kortkunder kan legitimere sig. Den nye version kaldes EMV 3DS, og betyder blandt andet: 

• Krav om at sende flere oplysninger til kortudstederen om kunden og kortbetalingen for at få en bedre risikovurdering. Eksempler er adresseoplysninger, kundens e-mailadresse og telefonnummer. 
• At kortudstedere kan tilbyde nye måder, som kortkunderne kan legitimere sig på, f.eks. biometriske metoder (fingeraftryk og lignende). 
• En tilpasning af brugerflade til mobile enheder. 

Den nye version af 3D Secure skal være implementeret og aktiveret af e-handlere senest 1. juli 2020. 

• Installer og aktiver 3D Secure (EMV 3DS). 
• Kontakt din terminaloperatør - Payment Service Provider (PSP) - for at få vejledning i, hvilke ændringer din butik skal foretage i opkaldet til terminaloperatøren, eksempelvis flere oplysninger om kortkøbet. 
• Kontakt din terminaloperatør - Payment Service Provider (PSP) - for at diskutere tilgængelige overvågningssystemer, så du kan få kontrol over eventuelle svigagtige korttransaktioner. 

Hvis du tager mod betaling med en kortterminal betyder det, at dine kunder skal legitimere sig med eksempelvis PIN-kode eller biometriske metoder, som f.eks. fingeraftryk. Betaling med magnetstribe, manuel indtastning af kortoplysninger og underskrift, eller Chip og signatur er ikke længere muligt for kunder med kortudstedere inden for EU/EØS. Din terminal skal altså kunne tage mod betaling via Chip & PIN. 

Selv ved lave beløb skal dine kortkunder muligvis indtaste en PIN-kode, eller de kan blive henvist til at gennemføre en kortbetaling med Chip & PIN. Det skyldes, at kortkundens kortudsteder fra tid til anden kræver, at kortkunden legitimerer sig på en sikker måde, selv ved lave beløb. 

Det er din kundes kortudsteder, som fastlægger, hvornår PIN-koden skal angives. PIN er påkrævet, når der nået et bestemt totalbeløb eller et bestemt antal køb, også selvom beløbet er under gældende beløbsgrænse. 

Den nye lovgivning kræver, at kortkunden accepterer købet med PIN-kode eller anden godkendt godkendelsesmetode. 

Lovgivningen kræver, at kortkunden skal godkende købet med stærk kundegodkendelse, SCA, og fastlægger, at signatur ikke er en godkendt verificeringsmetode. Kunder, med kort uden for EU/EØS, berøres ikke af lovgivningen, og derfor skal signaturfunktionen fortsat være der. 

For kortkunder med kort, udstedt inden for EU/EØS, kan kortudgiverne afvise køb, der er indtastet manuelt. 

Ja, i henhold til den nye lovgivning er også biometriske metoder, som eksempelvis fingeraftryk, ansigtsscanning og øjengenkendelse godkendt. 

Din kunde skal verificere sig med PIN-kode eller anden godkendt legitimeringsmetode, som fingeraftryk, ansigtsscanning eller øjengenkendelse i forbindelse med betalingen. 

I  forbindelse med købet vil en godkendt legitimeringsmode være nødvendig, hvilket vil betyde, at din kunde (ejeren af uret) skal have legitimeret sig og indtastet en PIN-kode på uret.

Din kortterminal skal kunne understøtte både Chip & PIN og kontaktløs betaling.