Mulige unntak fra kravet om sterk kundeautentisering ved betaling med kort ved handel på internett
Nyheter
Publisert: 2. februar 2021
Fra 31. desember 2020 er det krav om sterk kundeautentisering ved betaling med kort i forbindelse med handel på internett. Regelverket gir imidlertid muligheter for unntak fra kravet, for eksempel for gjentatte betalinger eller betalinger med små beløp. Dette kan i noen sammenhenger gjøre det enklere for brukere å benytte elektroniske løsninger, for eksempel innen kollektivtransport.
I forskrift om systemer for betalingstjenester § 5, stilles det krav om sterk kundeautentisering når betaleren initierer en elektronisk betalingstransaksjon. Dette kan være betaling i forbindelse med handel på internett. Hensikten med bestemmelsen er å beskytte betaleren mot svindel.
Med sterk kundeautentisering menes en løsning basert på bruk av to eller flere elementer for å identifisere kunden, og hvor elementene er uavhengige av hverandre slik at kompromittering av ett element ikke vil påvirke de andre elementene. Med elementer menes blant annet koder, passord, fingeravtrykk og ansiktsgjenkjenning. Informasjon om transaksjonen er videre koblet sammen med informasjon om betaler og betalingsmottaker, og kryptert, slik at en har et sikkert bevis på transaksjonen og deltakerne i denne.
I PSD2s artikkel 98 er det oppstilt en rekke kriterier som gir grunnlag for unntak fra kravet om sikker kundeautentisering. I delegert kommisjonsforordning , som er inntatt i norsk rett gjennom forskrift om systemer for betalingstjenester, er unntaksbestemmelsene nærmere presisert i Kapittel III. Unntakene gjelder for tilfeller der det anses å være mindre risiko for svindel og tap for betaleren, og i situasjoner der bruk av løsninger for sterk kundeautentisering kan medføre økt risiko. Det fremgår her at betalingstjenestetilbydere kan benytte følgende unntaksbestemmelser:
- "Tæpping" (Artikkel 11)
- Ubetjente betalingsterminaler for kjøp av transport og parkering (Artikkel 12)
- Betaling til mottaker som betaleren kjenner (Artikkel 13)
- Gjentagende transaksjoner (Artikkel 14)
- Betalinger med små beløp (Artikkel 16)
- Basert på en transaksjonsrisikoanalyse, der definerte forhold knyttet til betalingstransaksjonen skal vurderes (Artikkel 18)
Et av de nevnte unntakene gjelder betalinger der beløpet er mindre enn det som tilsvarer 30 euro . Et annet unntak er der situasjonen tilsier en økt risiko for svindel og tap for betaleren. Det vil kunne være tilfellet dersom betaleren må taste PIN-koden og passord i trengsel, for eksempel i kø på bussholdeplassen der andre, lettere enn ellers, vil kunne se PIN-koden og passordet. Dersom den reisende abonnerer på reisekort, kan unntaket for gjentagende transaksjoner tenkes å komme til anvendelse. Unntak kan også basere seg på en analyse av transaksjonsrisikoen ved betalingen.
For kollektivtransport, som et eksempel, er det altså fire unntak som betalingstjenstetilbydere potensielt kan benytte, og som gjør at den reisende kan unntas fra kravet om sterk kundeautentisering.
Finanstilsynet legger til grunn at tilbydere av betalingstjenester, basert på risikovurderinger, sikrer at hensikten med unntakene i bestemmelsene blir ivaretatt.
Lenker:
BakgrunnRegelverket om sikker kundeautentisering er en del av det reviderte betalingstjenestedirektivet (PSD2) , som trådte i kraft i Europa den 13. januar 2018, etter årelang forberedelse der banker og andre aktører fra markedet for betalingstjenester ble hørt. De offentligrettslige og deler av de privatrettslige reglene trådte i kraft i Norge 1. april 2019. I forbindelse med ikrafttredelse av regelverket, ble det avdekket at nettbutikkene, bankene, VISA, Mastercard og en rekke andre som er involvert i å gjennomføre betalinger på internett, ikke var teknisk klare til å støtte reglene, og innføringen for kravet om SKA ved handel på internett ble utsatt til 31. desember 2020. Ikke minst viste det seg at svært mange butikker på internett teknisk sett ikke var i stand til å etterleve kravet om SKA. |
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.