PSD2 - De mest almindelige spørgsmål og svar

Her finder du nogle af de mest almindelige spørgsmål om EU-direktivet PSD2 og dets tekniske komponenter RTS og SCA.

Spørgsmål og svar

Hvis du ønsker mere viden om, hvad PSD2 er, og hvordan det påvirker dig, kan du læse vores artikel "PSD2 - Alt du har brug for at vide”.

  • Hvordan påvirker PSD2 mig, der modtager kortbetalinger?

    Hvis du tager mod kortbetaling, bliver du påvirket på flere måder, fordi dine kunder skal legitimere sig med stærk kundegodkendelse (SCA) ved betaling. 

    SCA 

    Stærk kundegodkendelse betyder, at kunderne skal legitimere sig ved kortkøb ved at benytte mindst to af følgende: 

    • noget man kan, f.eks. en adgangskode 
    • noget man har, f.eks. et kort eller en smartphone 
    • noget man er, f.eks. et fingeraftryk. 

    Hvis du tager mod betaling med en kortterminal betyder det, at dine kunder skal legitimere sig med eksempelvis PIN-kode eller biometriske metoder, som f.eks. fingeraftryk. 

    Betaling via magnetstribe, manuel indtastning af kortoplysninger samt køb med underskrift er ikke længere muligt for kunder med kortudstedere inden for EU/EØS. Din kortterminal skal altså kunne understøtte Chip & PIN samt kontaktløs betaling. 

    Hvis du har en webshop betyder det, at kunderne skal legitimere sig ved kortkøb i henhold til 3D Secure. 

    Køb med underskrift 

    Signaturkøb, det vil sige når kunden bruger sit kort og vælger at godkende sit køb med sin underskrift, vil ikke være tilladt for de kort, der er udstedt inden for EU/EØS i henhold til PSD2-direktivet. Nogle kortudgivere inden for EU/EØS har endnu ikke lukket signaturmuligheden, men skal gøre det for at opfylde kravene. I disse tilfælde skal kunden indtaste sin PIN-kode for at gennemføre købet eller henvises til sin kortudsteder. 

    PIN-kode ved lave beløb 

    Ved korttransaktion på terminal, hvor beløbet er maks. 400 kr., behøver kunden normalt ikke indtaste sin PIN-kode. Men med PSD2 er PIN-kode undertiden nødvendig ved lave beløb. Der sker af sikkerhedsmæssige årsager. Det er kundens kortudsteder, der fastlægger, hvornår PIN-kode skal angives. Det kan være, når kunden har opnået et bestemt totalbeløb eller et bestemt antal køb, også selvom beløbene har været lave. 

    Kortbetaling med ukendt slutbeløb 

    PSD2 stiller højere krav til brancher, hvor man ikke præcist ved, hvad kundens slutbeløb bliver. Disse brancher er eksempelvis biludlejning, hoteller, parkering og brændstof. I disse tilfælde er der større krav til at informere kortkunden inden kortkøbet, om hvilket beløb, der bliver reserveret på kortet, og at kortkunden skal acceptere dette beløb, inden transaktionen gennemføres. 

    Hvis du arbejder i en af disse brancher, er det, i forbindelse med kortkøb, altid vigtigt at informere kunden om hvilket beløb, der bliver reserveret på kortet. 

    Videredebitering 

    I henhold til lovgivningen er der i dag et forbud mod videredebitering /surcharge) af kortkunden i forbindelse med kortbetaling, og dette forbud vil fortsat være gældende i Sverige.  For Danmark og Finland ændres loven ved at forbuddet ændres til kun at omfatte private kort, som er udstedt af en kortudsteder inden for EU. Forbuddet gælder både fysisk miljø, e-handel, automater samt telefonordrer. I Norge er det intet forbud mod videredebitering, og her sker ingen ændring. 

  • Hvad er RTS?

    Det er en ny teknisk standard (Regulatory Technical Standard), som har til formål at kunne gennemføre målsætningen i det nye betalingsdirektiv EU/EØS (PSD2), eksempelvis SCA. Den tekniske standard er obligatorisk og bliver indført i EU-medlemslandene ved lov. 

  • Hvad omfattes af RTS vedrørende kravene til stærk kundegodkendelse?

    • Kortbetaling i terminal 
    • Kortbetalinger via website og eller app 
    • Forenklet kortbetaling (køb via lagrede kortoplysninger) 
    • Alle korttransaktioner, hvor kortudgiveren er inden for EU/EØS 
  • Hvad omfattes ikke af RTS vedrørende kravene til stærk kundegodkendelse?

    • Korttransaktioner, som foretages af butikker uden kortkunden er til stede, eksempelvis abonnementsbetalinger (såkaldt Recurring) 
    • Telefonordre (uden betalingslink) 
    • Anonyme forudbetalte kort (såkaldt Prepaid-kort, gavekort) 
    • Korttransaktioner, hvor kortudstederen er uden for EU/EØS 
  • Er der nogen undtagelser fra SCA?

    Ja. For at kortkunden får en fleksibel og positiv købsoplevelse, kan kortudsteder, og undertiden kortindløser, benytte sig af nogle definerede undtagelser fra stærk kundegodkendelse. 

    Disse undtagelser er: 

    • Korttransaktioner op til et beløb svarende til 30 euro, med antal og beløbsbegrænsninger i henhold til kortudsteders beslutning. 
    • Korttransaktioner mellem et beløb på 30 og 500 euro, hvor en risikovurdering bliver udført af kortudsteder og eventuelt kortindløser. 
    • Korttransaktioner, som foretages af butikker, uden kortkunden er til stede, eksempelvis abonnementsbetalinger, såkaldt Recurring. 

    Trods alle undtagelserne er det altid kortudstederen, der har det sidste ord og som altid kan vælge at anmode om og udføre stærk kundegodkendelse, såkaldt step-up. Det vides ikke, hvordan kortudstederen vil gøre, før korttransaktionen udføres. 

  • Hvad er EMV 3DS?

    Kortudstederne, f.eks. MasterCard, Visa, AMEX) er blevet enige om en ny version af den tekniske standard for 3D Secure med endnu sikrere og nemmere måder, hvorpå kortkunder kan legitimere sig. Den nye version kaldes EMV 3DS, og betyder blandt andet: 

    • Krav om at sende flere oplysninger til kortudstederen om kunden og kortbetalingen for at få en bedre risikovurdering. Eksempler er adresseoplysninger, kundens e-mailadresse og telefonnummer. 
    • At kortudstedere kan tilbyde nye måder, som kortkunderne kan legitimere sig på, f.eks. biometriske metoder (fingeraftryk og lignende). 
    • En tilpasning af brugerflade til mobile enheder. 

    Den nye version af 3D Secure skal være implementeret og aktiveret af e-handlere senest 1. juli 2020. 

  • Hvis jeg driver e-handel, hvad skal jeg så gøre, i forbindelse med EMV 3DS?

    • Installer og aktiver 3D Secure (EMV 3DS). 
    • Kontakt din terminaloperatør - Payment Service Provider (PSP) - for at få vejledning i, hvilke ændringer din butik skal foretage i opkaldet til terminaloperatøren, eksempelvis flere oplysninger om kortkøbet. 
    • Kontakt din terminaloperatør - Payment Service Provider (PSP) - for at diskutere tilgængelige overvågningssystemer, så du kan få kontrol over eventuelle svigagtige korttransaktioner. 
  • Hvis jeg har kortindløsning via terminal, hvordan bliver jeg så berørt af lovændringen?

    Hvis du tager mod betaling med en kortterminal betyder det, at dine kunder skal legitimere sig med eksempelvis PIN-kode eller biometriske metoder, som f.eks. fingeraftryk. Betaling med magnetstribe, manuel indtastning af kortoplysninger og underskrift, eller Chip og signatur er ikke længere muligt for kunder med kortudstedere inden for EU/EØS. Din terminal skal altså kunne tage mod betaling via Chip & PIN. 

    Selv ved lave beløb skal dine kortkunder muligvis indtaste en PIN-kode, eller de kan blive henvist til at gennemføre en kortbetaling med Chip & PIN. Det skyldes, at kortkundens kortudsteder fra tid til anden kræver, at kortkunden legitimerer sig på en sikker måde, selv ved lave beløb. 

  • Hvorfor skal mine kunder indtaste PIN-kode ved lavt beløb og kontaktløst køb?

    Det er din kundes kortudsteder, som fastlægger, hvornår PIN-koden skal angives. PIN er påkrævet, når der nået et bestemt totalbeløb eller et bestemt antal køb, også selvom beløbet er under gældende beløbsgrænse. 

  • Hvorfor skal jeg have en teknisk løsning med Chip & PIN?

    Den nye lovgivning kræver, at kortkunden accepterer købet med PIN-kode eller anden godkendt godkendelsesmetode. 

  • Hvorfor kan jeg ikke benytte magnetstribe/signatur på kort, udstedt i EU/EØS-lande?

    Lovgivningen kræver, at kortkunden skal godkende købet med stærk kundegodkendelse, SCA, og fastlægger, at signatur ikke er en godkendt verificeringsmetode. Kunder, med kort uden for EU/EØS, berøres ikke af lovgivningen, og derfor skal signaturfunktionen fortsat være der. 

  • Jeg plejer at indtaste kortnummer manuelt. Skal jeg fortsætte med det?

    For kortkunder med kort, udstedt inden for EU/EØS, kan kortudgiverne afvise køb, der er indtastet manuelt. 

  • Er der andre godkendte verificeringsmetoder ud over PIN-kode?

    Ja, i henhold til den nye lovgivning er også biometriske metoder, som eksempelvis fingeraftryk, ansigtsscanning og øjengenkendelse godkendt. 

  • Hvordan vil køb med iPhone/Samsung blive påvirket for mine kunder, som bruger Apple Pay eller Samsung Pay?

    Det er ikke helt på plads endnu, men det vil sandsynligvis fungere på samme måde som i dag. Det er med andre ord nødvendigt for din kunde at verificere sig med PIN-kode eller anden godkendt legitimeringsmetode, som fingeraftryk, ansigtsscanning eller øjengenkendelse i forbindelse med købet. 

  • Hvordan bliver køb med Apple Watch/Garmin/Fitbit påvirket for mine kunder, der bruger Apple Pay og Samsung Pay?

    Det er ikke helt på plads endnu, men det er sandsynligt, at det ikke vil fungere, som det gør i dag. I forbindelse med købet vil en godkendt legitimeringsmode være nødvendig, hvilket muligvis vil betyde, at din kunde (ejeren af uret) skal indtaste sin PIN-kode på terminalen. 

  • Hvad skal jeg, som tager mod betaling via en kortterminal, gøre nu?

    Din kortterminal skal kunne understøtte både Chip & PIN og kontaktløs betaling.