SCA og PSD2 - sådan fungerer de nye EU-krav til online kortbetalinger

Fra d. 1. januar 2021 indføres der et nyt krav i Europa om, at alle online betalinger (med visse undtagelser) skal verificeres af køberen. Alle danske webshops skal derfor have 3D Secure aktiveret på deres online kortbetalinger, da webshops ellers kan risikere, at deres kunder får afvist deres kort, når de skal betale.

Ændringen er et tiltag for at gøre EU til et samlet marked, hvor de samme regler gælder for alle, og hvor forbrugeren er beskyttet. Kravet er en del af EU’s reglement PSD2 (Payment Service Directive 2) og går under navnet SCA – Strong Customer Authentication.

Oprindelige skulle alle webshops leve op til SCA-kravet fra september 2019, men fristen blev siden flyttet, så alle nu skal leve op til SCA-kravet per 1. januar 2021.

I denne blog kan du læse om, hvad de nye krav betyder i praksis for webshops og forbrugerne. Det gælder om at holde tungen lige i munden med alle de forkortelser, der bruges til at beskrive de nye regler, men vi har gjort vores bedste for at beskrive det kort og præcist herunder.

Du kan også få mere hjælp på Nets supportside om SCA her.

Kunden skal godkende købet

I praksis skal forbrugeren snart til at godkende alle online betalinger i to trin (også kendt som ’2 factor authentication’). Det vil sige, at udover et privat kodeord, skal forbrugeren også godkende et køb gennem en ekstra kode, der fx sendes til vedkommendes mobil.

EU kalder denne godkendelsesprocedure for SCA (i Danmark også kendt som ’stærk kundeverifikation’) som udføres ved hjælp af 3D Secure eller lignende protokoller, fx SafeKey fra AmericanExpress.

Det er de kortudestedende banker har ansvaret for, at der er SCA på alle elektroniske transaktioner per d. 1. januar 2021. Det betyder med andre ord, at alle europæiske webshops skal være klar til at håndtere SCA-protokol, fx 3D Secure, hvilket mange webshops i Norden allerede gør.

Hvilke betalinger er omfattet af SCA-kravet, og hvilke er ikke?

Det er ikke alle online betalinger, der vil være pålagt kravet om to trin-godkendelse.

SCA er påkrævet ved elektroniske betalinger, hvor kunden tager initiativet til betalingen, herunder kortbetaling, konto-til-konto og wallets som fx MobilePay.

SCA-kravet omfatter ikke:

• Køb pr. postordre og telefon (MOTO-transaktioner)
• Internationale transaktioner, hvor enten udsteder eller indløser, ikke opererer fra Europa

Kortudstederne kan også vælge at tillade nogle online betalinger uden SCA-kravet. Det vil typisk dreje sig om:

• Tilbagevendende betalinger, hvor forretningen tager initiativet til betalingen, fx ved et abonnement, hvor udbyderen trækker et fast månedligt beløb på kundens kort efter aftale. Abonnementer/tilbagevendende betalinger vil være omfattet af SCA, når abonnementet oprettes første gang, men efterfølgende transaktioner vil ikke være omfattet SCA-kravet.
  
  Eksisterende aftaler om tilbagevendende betalinger behøver ikke at gennemgå SCA efter d. 1. januar 2021, men en indløser skal dog kunne referere til tidligere transaktioner (via transaktions-ID’er).
  
  
• Køb for små beløb. Når købet er for under 30 EUR er kravet om verifikation også undtaget, men det skal stadig gøres for hver femte transaktion, eller når det samlede beløb for de små køb overstiger 100 EUR.
  
  
• White listed virksomheder. Tanken er, at forbrugerne har mulighed for at tilføje virksomheder på en såkaldt ’white list’ hos deres kortudsteder og dermed undgå to trins-godkendelsen ved efterfølgende køb. Det er endnu uklart, hvordan dette præcist skal foregå.
  
  
• Køb med lav risiko. Kortudstederen kan også gøre undtagelser, hvis forbrugeren har vurderet, at risikoen for bedrageri ved en transaktion er lav. Her er der mange regler at tage højde for i forhold til indløseren som vi ikke har med i denne blog, men det er værd at bemærke, at indløsere, som er gode til at minimere bedrageri, får mulighed for at anmode om undtagelser på op til 500 EUR.