EUs betalingstjenestedirektiv (PSD 2) og kravet om sterk kundeautentisering (SKA)

Bestemmelser som gjennomfører EUs reviderte betalingstjenestedirektiv (direktiv 2015/2366, PSD 2) i norsk rett trer i kraft 14. september 2019. Gjennomføringen medfører endringer i flere lover og forskrifter som gjelder for banker, kredittforetak, betalingsforetak, e-pengeforetak, opplysningsfullmektiger og meldepliktige betalingstjenestevirksomheter.

Siste nytt om betalingstjenestedirektivet – PSD 2

  • : Husk fristen for krav til sikker betaling på nett

    Siste frist for kravene om sterk kundeautentisering (SKA) ved netthandel er 1. januar 2021. Da må alle nettbutikker, kortselskaper, banker og betalingsleverandører ha iverksatt SKA med minst to identifiseringsfaktorer for å unngå at betalinger på nett avvises.

    Bakgrunn

    I september 2019 trådte EU-direktivet Strong Customer Autentication i kraft, også i Norge gjennom EØS-avtalen. Kravet til sterk kundeautentisering innebærer at en to-faktor-autentisering må brukes for kortbetalinger/betalinger på nett, med noen unntak.

    Hovedhensikten er å unngå bedrageri ved kortbetalinger/netthandel, og samtidig bidra til utvikling av nye sikre betalingstjenester. Da mange aktører ikke var klare med tekniske løsninger i september 2019, ble det gitt en overgangsperiode til 1. januar 2021, både i Norge og i andre EU/EØS-land.

    1. januar må altså alle parter, handlere, innløsende banker, kortutstedende banker og betalingsleverandører, ha støtte for SKA for å unngå at kortbetalinger avvises.

    Hva er sterk kundeautentisering?
    Det innebærer at kunden må identifisere seg med minst 2 av følgende faktorer

    1. Noe kunden vet (for eksempel kode)
    2. Noe kunden er (for eksempel fingeravtrykk eller ansiktsgjenkjenning)
    3. Noe kunden eier (for eksempel mobiltelefon)

    Hvorfor er det viktig for deg?
    Hvis din nettbutikk ikke kan håndtere kortbetalinger i henhold til det nye regelverket, er det fare for at transaksjonene avvises av kortutstederen eller banken. Implementering av de endringene som kreves for å kunne foreta kortbetalinger kan ta tid og må testes ut slik at betalingsflyten fungerer. Sjekk derfor at du har SKA på stell nå.

    Hva må du gjøre?

    • Kontakt din betalingsleverandør eller kortinnløsende bank for å finne informasjon om eventuelle endringer som må implementeres i din netthandel.
    • Sørg for å oppdatere kundevilkårene for GDPR (gjennomført i personopplysningsloven i Norge) og gi informasjon om at automatisk henting av informasjon om kunden og kortkjøpet bare gjøres for bruk til risikovurdering.
    • Sikre at valgt betalingsleverandør eller løsende banks retningslinjer for autentisering støtter Regulatorisk teknisk standard (RTS, som en del av PSD2).
    • Ved kortkjøp: Oppdater hjemmesiden med respektive kortselskaps logo for autentisering (EMV 3DS).
    • For SKAs unntaksregel “merchant white-listing”: Sikre at firmanavnet er unikt og brukes konsekvent i transaksjonsflyten med kortinnløsende bank og betalingsleverandør.

    (kilde: Mastercard, ID check)

  • : Sterk kundeautentisering ved kortbruk i netthandel må på plass innen 31. desember i år

    Innen utgangen av 2020 skal utgivere av betalingskort, kortinnløsere og netthandelsvirksomheter ha system for sterk kundeautentifisering (SKA) på plass ved betaling med kort på nett.

    Som del av EUs betalingstjenestedirektiv (PSD 2) trådte SKA-krav ved bruk av kort i netthandel i kraft 14. desember 2019 i Norge. Kortselskaper, banker og andre tilbydere av betalingstjenester hadde imidlertid ikke gode nok tekniske løsninger klare i fjor, verken i Norge eller ellers i EU/EØS. Derfor har Den europeiske sentralbanken (EBA) og det norske Finanstilsynet gitt foretakene en overgangsperiode. Fristen er 31.12.2020.

    Finanstilsynet har siden september i fjor fulgt opp at aktørene i markedet har planer for hvordan kravene i EU-direktivet skal iverksettes så raskt som mulig og innen fristen. PSD 2 skal fremme innovasjon og økt konkurranse i markedet for betalingstjenester, og åpner for at aktører i handels- og tjenestenæringen kan tilby slike tjenester i konkurranse med banker og kortselskaper. SKA er et krav for at betalingene på nettet skal være sikre.

    Les mer om EUs betalingstjenestedirektiv, PSD 2 her. 

  • : Utsettelse av krav om sterk kundeautentisering i PSD2

    Fristen for ikrafttredelse av EUs betalingstjenestedirektiv (PSD2) og krav om sterk kundeautentisering (SKA) i EU/EØS er 14. september. For å unngå negative konsekvenser for brukerne, kan de benytte en avgrenset tid etter 14. september 2019 for å ferdigstille og implementere SKA for betalinger med kort på Internett. Dette må avtales med Finanstilsynet

    I et brev til Finanstilsynet ber vi om at en utsettelse av innføringen av SKA for korttransaksjoner bør samordnes på EU-nivå slik at rammebetingelsene er like i hele det europeiske markedet. Den europeiske banktilsynsmyndigheten (EBA) vil senere i år publisere en dato for når SKA skal være implementert. Vi og våre søsterorganisasjoner i Europa har bedt Kommisjonen og EBA om å lage et veikart med retningslinjer og milepæler for å sikre en rask, effektiv og ensartet implementering av SKA. Mer informasjon om iverksettelse av PSD 2 i Norge finner du her

  • : Portabilitetsforordningen gjelder i Norge fra 1.august 2019

    Reglene gjelder grensekryssende bruk av nettbaserte innholdstjenester i det indre marked. Det betyr at norske borgere kan bruke innholdstjenester, for eksempel abonnementstjenester som Netflix, fritt i andre EU/EØS-land, og tilsvarende kan andre EU/EØS-borgere bruke tjenestene i Norge. Tjenesteleverandører kan ikke blokkere slike tjenester geografisk i det indre marked. Se informasjon om iverksettelse her 

  • : Betalingstjenestedirektivet – PSD 2 ble vedtatt av regjeringene i EØS (EØS-komiteen)

    Reglene gjelder for betalingstjenester i det indre marked (EU/EØS), og gjør det mulig for nye betalingsmidler, som Vipps, Amazon Pay og andre mobil- og nettbaserte betalingstjenester, å nå et større marked. Målet er å øke effektiviteten i betalingssystemet og føre til større valgfrihet for forbrukere. De viktigste elementene i direktivet er iverksatt i Norge fra 1. april gjennom finansforetaksloven. Regjeringen iverksetter for øvrig direktivet, som er et fullharmoniseringsdirektiv med begrensede muligheter til nasjonale avvik, høsten 2019.