Mulige unntak fra kravet om sterk kundeautentisering ved betaling med kort ved handel på internett

I forskrift om systemer for betalingstjenester § 5, stilles det krav om sterk kundeautentisering når betaleren initierer en elektronisk betalingstransaksjon. Dette kan være betaling i forbindelse med handel på internett. Hensikten med bestemmelsen er å beskytte betaleren mot svindel.

Med sterk kundeautentisering menes en løsning basert på bruk av to eller flere elementer for å identifisere kunden, og hvor elementene er uavhengige av hverandre slik at kompromittering av ett element ikke vil påvirke de andre elementene. Med elementer menes blant annet koder, passord, fingeravtrykk og ansiktsgjenkjenning. Informasjon om transaksjonen er videre koblet sammen med informasjon om betaler og betalingsmottaker, og kryptert, slik at en har et sikkert bevis på transaksjonen og deltakerne i denne.

I PSD2s artikkel 98 er det oppstilt en rekke kriterier som gir grunnlag for unntak fra kravet om sikker kundeautentisering. I delegert kommisjonsforordning , som er inntatt i norsk rett gjennom forskrift om systemer for betalingstjenester, er unntaksbestemmelsene nærmere presisert i Kapittel III. Unntakene gjelder for tilfeller der det anses å være mindre risiko for svindel og tap for betaleren, og i situasjoner der bruk av løsninger for sterk kundeautentisering kan medføre økt risiko. Det fremgår her at betalingstjenestetilbydere kan benytte følgende unntaksbestemmelser:

• "Tæpping" (Artikkel 11)
• Ubetjente betalingsterminaler for kjøp av transport og parkering (Artikkel 12)
• Betaling til mottaker som betaleren kjenner (Artikkel 13)
• Gjentagende transaksjoner (Artikkel 14)
• Betalinger med små beløp (Artikkel 16)
• Basert på en transaksjonsrisikoanalyse, der definerte forhold knyttet til betalingstransaksjonen skal vurderes (Artikkel 18)

Et av de nevnte unntakene gjelder betalinger der beløpet er mindre enn det som tilsvarer 30 euro . Et annet unntak er der situasjonen tilsier en økt risiko for svindel og tap for betaleren. Det vil kunne være tilfellet dersom betaleren må taste PIN-koden og passord i trengsel, for eksempel i kø på bussholdeplassen der andre, lettere enn ellers, vil kunne se PIN-koden og passordet. Dersom den reisende abonnerer på reisekort, kan unntaket for gjentagende transaksjoner tenkes å komme til anvendelse. Unntak kan også basere seg på en analyse av transaksjonsrisikoen ved betalingen.

For kollektivtransport, som et eksempel, er det altså fire unntak som betalingstjenstetilbydere potensielt kan benytte, og som gjør at den reisende kan unntas fra kravet om sterk kundeautentisering.

Finanstilsynet legger til grunn at tilbydere av betalingstjenester, basert på risikovurderinger, sikrer at hensikten med unntakene i bestemmelsene blir ivaretatt.

Lenker:

• Forskrift om systemer for betalingstjenester
• Delegert kommisjonsforordning EU 2018/389 

Bakgrunn Regelverket om sikker kundeautentisering er en del av det reviderte betalingstjenestedirektivet (PSD2) , som trådte i kraft i Europa den 13. januar 2018, etter årelang forberedelse der banker og andre aktører fra markedet for betalingstjenester ble hørt. De offentligrettslige og deler av de privatrettslige reglene trådte i kraft i Norge 1. april 2019. I forbindelse med ikrafttredelse av regelverket, ble det avdekket at nettbutikkene, bankene, VISA, Mastercard og en rekke andre som er involvert i å gjennomføre betalinger på internett, ikke var teknisk klare til å støtte reglene, og innføringen for kravet om SKA ved handel på internett ble utsatt til 31. desember 2020. Ikke minst viste det seg at svært mange butikker på internett teknisk sett ikke var i stand til å etterleve kravet om SKA.