Der er tale om alle EU lande og alle personer og virksomheder herunder specielt samtlige udbydere af betalingsløsninger, modtagere og afsendere af betalinger og betalings gateways m.v. og det berører alle websites der modtager eller sender betalinger og generelt alle virksomheder i EU. Bankerne kan fra 14.09.2019 nægte at modtage eller afsende betalinger.
Regler om 2 faktor kundeautentifikation
Alle som er Kortindløsere, kortudstedere eller har internetforretninger SKAL nu sikre sig i henhold til de nye regler. Dette betyder, at man skal have de nødvendige tekniske løsninger til at leve op til de “nye regler om stærk kundeautentifikation“.
Reglerne træder i kraft for alle den 14. september 2019.
Betalingsrådet henhører under Nationalbanken og udtaler sig således i dag om de kommende regler om stærk kundeautentifikation eller i daglig tale kaldet 2 faktor ID reglerne.
Som det fremstår af presseinformationen indebærer kundeautentifikationsreglerne der kan beskrives som et regelsæt for to-faktor autentifikation, at man SKAL anvende mindst to faktorer til at godkende en betaling.
De to faktorer skal være 2 af nedenstående krav, f.eks. noget som:
- betaleren ved (f.eks. Et password)
- betaleren er (f.eks. et fingeraftryk)
- eller noget betaleren har (f.eks. et betalingskort).
Med en snarlig ikrafttrædelsesdato den 14. september 2019 skal du sikrer dig, at du har de fornødne tekniske løsninger klar.
Disse tekniske løsninger skal indeholde stærk kundeautentifikation foruden kyptering som efter dagens standard krav er sat til 256512 bit men som i regelen er noget højere med 2.048 bit.
I særlig grad gælder dette for webshop ejere, kortindløsere og kortudstedere, men det gælder altså også for alle der ejer domæner og sælger noget fra sin hjemmeside. Der har nemlig pligt til, at sikre sig de nødvendige tekniske løsninger, inden denne dato.
Lovgrundlag for 2 faktor stærk kundeautentifikation
Finanstilsynet er tilsynsmyndighed vil have et fokus på dette område og i denne forbindelse udføre det løbende tilsyn med virksomhederne.
Den stærke kundeautentifikation ved elektroniske betalinger findes jf. § 128 i Lov om betalinger, herunder citeret:
Internet Forretninger der modtager betaling kan blive afskåret fra at modtage betalinger idet betalinger, der ikke er godkendt med stærk kundeautentifikation, kan som udgangspunkt ikke gennemføres fra den 14. september 2019.
Kilde: Lov om Betalinger, hentet fra $128
Alle dem med webshops og Internetforretninger skal være særligt opmærksomme på nye EU-regler for betalinger.
Men reelt rækker reglerne længere nemlig også til kræmmermarkeder, møntsamlere, vekselbureauer, donationsmodtagere, foreninger, ambasader, konsulater og frivilige orninger der indgår under foreninger, kommuner, stat, FN eller andre organisationer.
Tillige er reglerne omfattet når man skal modtage betalinger over landegrænserne og hvis man vil afsende eller modtage penge som privatperson.
De nye EU regler for betalinger
Betalingsrådet analyserer reglerne i sin udgivelse ved at påpeje at loven udspringer af det reviderede betalingstjenestedirektiv, PSD2, som blev implementeret i dansk lov i januar 2018.
Reglerne, der er specificeret i en delegeret forordning fra Europa-Kommissionen1, skal bl.a. medvirke til at gøre det mere sikkert at lave elektroniske betalinger.
Dette sker først og fremmest ved, at der indføres et krav om stærk kundeautentifikation
Ifølge tal fra Nationalbanken blev der i 2018 begået misbrug med danske betalingskort for ca. 301 mio. kr. Heraf udgjorde misbrug i onlinehandel ca. 236 mio. kr., og dermed knap 80 pct. af det samlede misbrug.
Det er bl.a. dette misbrug, de nye regler skal være med til at dæmme op for. Rent praktisk anvendes der allerede i dag stærk kundeautentifikation i form af autentifikation via chipkort (noget, betaleren har) og pinkode (noget, betaleren ved).
Men i den ikke-fysiske handel, primært inden for onlinehandel, har der derimod traditionelt set ikke været anvendt stærk kundeautentifikation i vidt omfang i Danmark. Ofte anvendes alene de oplysninger, der fremgår af kortet til at gennemføre betalingen.
Med de nye regler skal der fra den 14. september som udgangspunkt anvendes stærk kundeautentifikation, når en betaler foretager en elektronisk betaling. Det indebærer, at en online kortbetaling skal godkendes med et ekstra element, eksempelvis ved indtastning af en engangskode modtaget via sms.
Der er undtagelser under henholdsvis 375 og 225 kroner.
Mulighederne for undtagelse fra kravet om stærk kundeautentifikation fremgår af den delegerede forordning fra Europa-Kommissionen.
I fysisk handel omfatter undtagelserne fra kravet primært betalinger på op til 375 kr. med kontaktløse kort og betalinger i ubemandede terminaler til offentlig transport og parkering, såsom rejsekort og BroBizz.
I ikke-fysisk handel omfatter undtagelserne fra kravet bl.a. små betalinger på op til 225 kr. og betalinger til personer eller virksomheder, som betaleren selv har opført på en liste over betroede modtagere.
Det er derudover ifølge reglerne muligt at undlade at anvende stærk kundeautentifikation ved tilbagevendende betalinger på samme beløb til den samme modtager, hvis bare den første betaling i rækken er godkendt med stærk kundeautentifikation.
Det er et kort varsel for mange
Internetforretninger, som ikke vil risikere at få afvist deres kunders betaling, skal altså sikre, at de teknisk er klar til at modtage betalinger, der er godkendt med stærk kundeautentifikation.
Er man som forretning i tvivl om, hvorvidt man kan modtage betalinger med stærk kundeautentifikation, bør man tage kontakt til sin kortindløser eller gateway-udbyder, som vil kunne hjælpe. Hvilke undtagelsesmuligheder der i praksis kan anvendes, vil ligeledes afhænge af, hvad en kortindløser eller gateway-udbyder kan tilbyde.
Første gang man handler online fra den 14. september, kan man blive bedt om at oplyse sit telefonnummer. Telefonnummeret skal oplyses, for at der kan fremsendes en sms-kode, hvis man ikke tidligere har oplyst sit telefonnummer til sit pengeinstitut.
For forbrugere I fysisk handel vil danske forbrugere ikke opleve nogen ændring med de nye regler.
Ovenstående er redigeret men hovedparten er forfattet af Ole Mikkelsen Telefon: +45 3363 6027
Kilder: Ole Mikkelsen og Nationalbanken.dk