Direktivet for betalingstjenester 2 (The Payment Services Directive 2 [PSD2]) krever sterk kundeautentisering (Strong Customer Authentication [SCA]) for å kunne anvendes for alle korttransaksjoner som utføres med ansiktsgjenkjenning (kort til stede) eller i butikkmiljø.
Med sikte på å redusere bedrageri og å forbedre sikkerheten for forbrukere og bedrifter i hele EU, innføres denne endringen i hele bransjen ved endring av loven den 14. september 2019.
Sterk kundeautentisering
Sterk kundeautentisering betyr at banker må autentisere korteier som den ekte eieren av betalingskortet før en transaksjon godkjennes.
For å bevise at de er den ekte eieren av et kort, må korteier vise til minimum to av tre mulige autentiseringsfaktorer når banken etterspør dette.
Autentiseringsfaktorer
Disse kan bestå av hvilken som helst kombinasjon av to av de følgende:
Kunnskap – dette henviser til noe kun korteier og banken vet.
PIN er allerede en standard metode brukt i industrien for å oppfylle dette kravet.
Eiendom – dette er noe korteier har og som banken anerkjenner.
I butikkmiljøet vil chip og PIN og kontaktløse betalingsenheter automatisk oppfylle dette kravet.
Iboende egenskap – dette er noe unikt for korteier som kan verifiseres av banken.
Et fingeravtrykk, ansiktsgjenkjenning eller irisskanning er eksempler på faktorer som vil øke i bruk og tilgjengelighet i takt med utvikling av teknologi.
Chip and PIN-transaksjoner
Chip og PIN er veletablerte og bevist vellykkede betalingsmetoder i det europeiske betalingssamfunnet. Denne typen transaksjoner er i tråd med direktivet og oppfyller allerede kravene til to-faktor autentifikasjon. Fortsett å prosessere disse transaksjonene på samme måte som du gjør i dag.
Kontaktløse transaksjoner
Den enkle løsningen for transaksjoner ved å «tappe» skal opprettholdes, men de nye reguleringene vil sette øvre grenser for hvor store summer som kan godkjennes uten at korteierens bank må etterspørre ytterligere godkjennelse for å autentifisere korteieren.
Korteier kan fortsette å utføre kontaktløse kjøp ved beløp under 500 kr inntil det eventuelt utføres 5 fortløpende kontaktløse transaksjoner uten å oppgi autentisering, eller at den totale verdien av uautoriserte transaksjoner overstiger 1500 kr. Dette er øvre grenser som settes av myndigheter. Banker kan velge å implementere strengere kontroll hvis den vurderer transaksjonen som høyrisiko eller nasjonale myndigheter kan innføre lavere grenser.
Slik det er i dag kan du uansett ikke forutsi når disse grensene nås eller hvilken utvalgt transaksjon som vil utløse sikkerhetsoppgraderingen.
Hvis du, gjennom din bedrift, allerede aksepterer mange kontaktløse transaksjoner, kjenner du sannsynligvis allerede til denne prosessen. Dette utløser at kontaktløst kjøp blir avvist og korteiere må taste inn PIN eller sette kortet inn i betalingsenheten for å utføre en chip og PIN-transaksjon.
Dette fullfører transaksjonen og gjenoppretter korteierens mulighet til å utføre betaling via «tapping».
Transaksjoner som prosesseres manuelt – korteier til stede
Transaksjoner som prosesseres manuelt når korteier er til stede vil ikke lenger tillates med de nye reguleringene. Dette inkluderer transaksjoner med magnetstripen og chip og PIN «fall back»-transaksjoner som gjennomføres ved manuell inntasting av kortinformasjon på betalingsenheten. Disse transaksjonene vil nå ifølge loven måtte avvises av banken fordi de ikke kan autentifiseres med to faktorer.
Transaksjoner som prosesseres manuelt – korteier IKKE til stede
Hvis du tar imot ordre på telefon eller postordre og derfor må taste inn transaksjonen manuelt på betalingsenheten, kan du fortsatt gjøre dette. MOTO-transaksjoner (Postordre/telefonordre) berøres ikke av de nye reglene.
Fritak fra sterk kunde autentisering
Ubetjente betalingsløsninger
Av praktiske årsaker vil reglene ikke gjelde for visse bransjer. Disse fritakene gjelder kun for ubetjente betalingsløsninger for transport og parkering knyttet opp mot selgeres kategorikoder (MCC) for den bransjen. Alle andre ubetjente enheter, inkludert automater, er innenfor reguleringsområdet og må tilby muligheten til å utføre sterk kundeautentisering når de blir spurt om dette, via PIN eller chip og PIN.
Utenfor reguleringsområdet – «utenfor»
Loven gjelder kun for område for europeisk økonomisk samarbeid (EEA/EØS) så kort som er utstedt utenfor regionen kan fremdeles prosesseres innenfor EØS-området. Dette gjelder også for magnetstripe og signatur, chip og PIN «fall back» og for transaksjoner tastet inn manuelt. Du kan ikke enkelt identifisere et kort som er utstedt av en bank utenfor EØS-området. Fortsett å prosessere transaksjonene dine som du gjør i dag og korteiers bank vil automatisk oppdage at disse transaksjonene ikke trenger å endres.
Forberedelser for fristen
De største endringene som introduseres av det nye reglementet innføres i de kanaler der det er høyrisikotransaksjoner. Disse er betalingstransaksjoner som utføres via eksterne kanaler som internett og mobiltelefoner hvor korteier ikke er til stede og sterk kundeautentisering ikke allerede i tatt i utstrakt bruk.
Utilgjengeligheten av passende utviklede teknologiplattformer som kreves for å implementere disse endringen har utfordret bransjen og ført frem til at den europeiske banktilsynsmyndigheten vurderer en utvidelse av fristen for implementering.
Noen nasjonale myndigheter har allerede sluttet seg til tidslinjen for gjennomføring av den komplekse transaksjonsflyten i det ‘virtuelle’ miljøet, slik at umiddelbar håndhevelse er ikke å forvente.
Dette er ikke tilfellet for transaksjoner i din fysiske verden. Er du forberedt?
Hva betyr dette for din bedrift
Fortsett å prosessere dine korttransaksjoner ved betalingspunktene slik du gjør i dag.
Chip og PIN-prosessering vil fortsette uendret.
Vær oppmerksom på at for kontaktløse transaksjoner vil du kunne se en økning i antall ganger dine kunder blir spurt om å taste inn Pin eller fullføre transaksjoner ved å sette inn kortet i kortleseren for å utføre chip og PIN-transaksjon.
Dine kunders betalingsopplevelse kan variere de første månedene av dette skiftet og overføringen til de nye «oppgraderte» responsene som bankene nå vil introdusere. Noen banker vil måtte gå gjennom en fase hvor de utsteder nye kort for å gjennomføre endringene og ikke alle betalingsenheter, tilkoblinger og prosessorer forventes å kunne koordinere oppdateringene i hele EU.
Hvis du har en bedrift som opererer høye volumer av kontaktløse transaksjoner og du aktivt må håndtere køer og opptatte utsjekkinger, anbefales det å ha personale tilgjengelig i tilfelle en økning av PIN- og chip og PIN-etterspørsler, men i hovedsak må du kun forsikre deg om at ditt personalet er oppdatert på endringene.
Hva må gjøres hvis en transaksjon avvises
Behandle ditt kort og kontaktløse transaksjoner som vanlig.
Hvis kontaktløse transaksjoner ikke fungerer eller transaksjonene avvises, be kundene sette inn kortet og utføre chip og PIN-transaksjon.
Gitt at korteierens midler er tilgjengelige vil denne prosedyren gjenopprette deres innstillinger for begrensninger på tapping og transaksjonen vil gå gjennom.
Hvis transaksjonen fremdeles er avvist, be korteieren om å kontakte banken for eventuell alternativ betalingsmetode.
Ikke risiker å miste transaksjoner eller å miste kunder.
Forsikre deg om at alt personale er klar over disse endringene. Økte sikkerhetsnivåer på transaksjoner hjelper for å forsikre oss alle fra bedrageri.