Opdatering, 5. september 2019
Siden indlægget blev udgivet, har Finanstilsynet valgt at udskyde datoen for, hvornår danske webshops skal leve op de nye regler. Det skyldes, at der stadig er mange uklarheder mht. hvordan reglerne skal fortolkes, og derfor kan banker, indløsere og betalingsgateways ikke nå at gøre deres tekniske løsninger klar til den 14. september.
Finanstilsynet vurderer, at markedet kan være klar til at leve op til de nye regler den 14. marts 2021. Alle partere får således 18 måneder til at få teknologien og processerne på plads.
Stærk kundeautentifikation, også bedre kendt som to-faktor-autentifikation, betyder, at der skal anvendes mindst to faktorer ved en elektronisk betaling.
De to faktorer skal være noget:
- betaleren ved (f.eks. et password)
- betaleren er (f.eks. et fingeraftryk, ansigtsgenkendelse)
- eller noget, betaleren har (f.eks. betalingskort, mobiltelefon)
Fra den 14. september skal en online kortbetaling godkendes med et ekstra element, eksempelvis ved indtastning af en engangskode modtaget via SMS.
Undtagelser fra kravet om stærk kundeautentifikation
Reglerne gælder som udgangspunkt alle betalinger, der ikke eksplicit er undtaget.
Undtagelser for reglerne er bl.a.:
- små betalinger op til 225 kr.
- og betalinger til personer eller virksomheder, som betaleren selv har opført på en liste over betroede modtagere
Regler for abonnementsaftaler
Det er også muligt at undlade at anvende stærk kundeautentifikation ved tilbagevendende betalinger på samme beløb til den samme modtager, hvis blot den første betaling i rækken er godkendt med stærk kundeautentifikation.
Tilbyder du abonnementsaftaler i din webshop, skal du følge disse regler:
- For alle nye abonnementer oprettet efter 14. september, gælder det, at første betaling skal gennemføres med stærk kundeautentifikation, hvorefter følgende betalinger kan gennemføres uden
- For abonnementer oprettet inden 14. september, bekræftes det af EBA (European Banking Authority), at der på eksisterende aftaler ikke er et krav om stærk kundeautentifikation, medmindre der ændres i abonnementsaftalen efter 14. september
- Eksisterende aftaler kan altså fortsætte uden stærk kundeautentifikation, indtil der eventuelt ændres i abonnementsaftalerne. I tilfælde af at betalingen initieres af kunden, f.eks. ved betaling i netbank, kræves der altid stærk kundeautentifikation
Det skal du gøre
De nye EU-regler gælder for alle forretninger og erhvervsdrivende, der modtager online betalinger fra forbrugere.
For at en online betaling kan gennemføres med stærk kundeautentifikation, er det nødvendigt, at alle led i betalingskæden understøtter det teknisk. Det vil sige, at både kortudstedere (fx banker), kortindløsere (fx Nets), webshops og de såkaldte betalingsgateways, der leverer tekniske løsninger til netbutikkerne, skal understøtte to-faktor-autentifikation.
De fleste kortindløsere og kortudstedere i Danmark tilbyder allerede løsninger til stærk kundeautentifikation. Men ikke alle webshops er teknisk klar til at modtage online betalinger efter de nye regler.
Er du i tvivl om, hvorvidt din online forretning kan gennemføre online betalinger med stærk kundeautentifikation, bør du tage kontakt til din kortindløser eller gateway-udbyder, som vil kunne hjælpe.
Som en ekstra service er det også en god idé at informere kunderne om de nye betalingsregler på din webshop, så de er forberedte.