Nye regler om stærk kundeautentifikation

Den 1. januar 2018 blev 2. betalingstjenestedirektiv ("PSD2") implementeret i Danmark. En af de største ændringer i PSD2 træder imidlertid først formelt i kraft den 14. september 2019, nemlig kravet om stærk kundeautentifikation (Strong Customer Authentication ("SCA")). Plesners Bank og Finans team gennemgår de væsentligste spørgsmål om SCA.

I PSD2 er SCA defineret som "autentifikation som er baseret på brugen af to eller flere elementer, der er kategoriseret som viden (noget, som kun brugeren ved), besiddelse (noget, som kun brugeren besidder) og iboende egenskab (noget, som brugeren er), som er uafhængige af hinanden".

Umiddelbart inden reglernes formelle ikrafttrædelsesdato er der imidlertid meget, der stadig er usikkert vedrørende omfanget af og undtagelserne til SCA, hvordan SCA skal anvendes i praksis, samt hvilke procedurer der vil være tilstrækkelige til at opfylde de nye regler. Denne artikel berører nogle af de mest relevante og omdiskuterede problemstillinger vedrørende SCA, som industrien slås med.

Efter betydelige bekymringer om hvorvidt betalingstjenestesektoren vil være i stand til at overholde de nye SCA-krav, offentliggjorde EBA den 21. juni 2019 en udtalelse, hvori de bemyndigede nationale tilsynsmyndigheder til at give "begrænset ekstra tid" til, efter den 14. september 2019, at indføre autentifikationsprocedurer i overensstemmelse med SCA.

Nationale tilsynsmyndigheder har efterfølgende i stor stil udstedet forlængelser til ikrafttrædelsesdatoen for SCA, og den 4. september 2019 gav Finanstilsynet danske virksomheder en forlænget implementeringsperiode på yderligere 18 måneder til at implementere de nye regler, før Finanstilsynet begynder at håndhæve SCA-kravene. Forlængelsen er imidlertid begrænset til kortbetalinger i e-handel, og Finanstilsynet har også yderligere understreget, at forlængelsen ikke ændrer på, at SCA-kravene - herunder de særlige hæftelsesregler der er anført i PSD2 - får virkning den 14. september 2019.

Væsentlige tvivlsspørgsmål vedrørende SCA som Plesner har rådgivet om:

Spørgsmål 1: Hvem hæfter for tab ved uautoriseret betaling, hvor SCA ikke anvendes?

Svar: Som udgangspunkt hæfter betalerens udbyder af betalingstjenester ("PSP") (ofte en kortudbyder) overfor betaleren for tab, der er lidt på grund af uautoriserede transaktioner, og er hæftende overfor betaleren for transaktioner, der udføres uden SCA, medmindre betaleren på den ene eller anden måde kan bebrejdes. I tilfælde af, at betalerens PSP ikke har krævet SCA gennemført, er PSP'en ansvarlig overfor betaleren uden fradragsberettigelse, medmindre betaleren har handlet svigagtig.

I tilfælde hvor betalingsmodtageren eller dennes PSP (ofte en kortudløser) undlader at anvende SCA, hæfter betalerens PSP stadig overfor betaleren. Betalerens PSP har dog regres overfor betalingsmodtageren eller dennes PSP.

Selvom SCA-hæftelsesreglerne er skrevet med henblik på en situation, hvor SCA finder anvendelse, og parterne teknisk set er i stand til at overholde dem, er det vores forventning, at reglerne vil gælde på samme måde de næste 18 måneder, hvor SCA ikke håndhæves af Finanstilsynet (og hvor mange PSP'er/betalingsmodtagere ikke teknisk er i stand til at overholde kravene).

Spørgsmål 2: Overholder Nem-ID SCA-kravene?

Svar: Ved Nem-ID autentifikation anvendes en engangskode, som fremgår af et allerede udstedt papnøglekort (nøglekortet er også nødvendigt ved aktivering af Nem-ID appen, som i øvrigt eliminerer behovet for papirnøglekortet). Da nøglekortet nemt kan kopieres, opfylder engangskoderne ikke kravet til "besiddelse" hvorfor Nem-ID ikke overholder SCA kravene. Nem-ID har imidlertid fået dispensation indtil 2021, således at det fortsat kan blive brugt, indtil det erstattes af Mit-ID.

Spørgsmål 3:
Gælder SCA for elektroniske mandater til direkte debiteringer eller tilbagevendende kortbetalinger oprettet af eller via kreditoren?

Svar: SCA finder ikke anvendelse på de individuelle direkte debiteringer/kortbetalinger (da disse er initieret af betalingsmodtageren), men SCA finder anvendelse på den oprindelige oprettelse af mandatet, hvis dette sker via en elektronisk kanal - i hvert fald hvis en PSP (f.eks. betalerens bank) er involveret i den samme kommunikationssession som betaleren.

En betydelig gruppe mandater oprettes imidlertid elektronisk i en kommunikationssession, hvor kun betaleren og betalingsmodtageren deltager, og der har længe været betydelig usikkerhed om, hvorvidt SCA finder anvendelse på sådanne mandater. Efter en del divergerende udtalelser har EBA for nylig præciseret, at SCA kun finder anvendelse på de handlinger, der er anført i PSD2 Artikel 97, hvis en PSP er involveret. Derfor er SCA ikke påkrævet i forbindelse med oprettelse af mandater, hvor alene betaleren og betalingsmodtageren deltager.
Henset til, at PSD2 pålægger PSP'er bevisbyrden for, at en betaling er autoriseret, bør PSP'er overveje, om de skal indføre alternative autentifikationsprotokoller til kreditorgenererede mandater for at sikre korrekt autentifikation og godkendelse af efterfølgende betalinger.

Spørgsmål 4: Hvis en bruger har adgang til et sikkert miljø (f.eks. en netbank), og har anvendt SCA hertil, er efterfølgende SCA da påkrævet for betalingstransaktioner, der igangsættes af brugeren i det sikre miljø?

Svar: Ja, alle betalingstransaktioner der igangsættes af brugeren i det sikre miljø skal godkendes ved hjælp af efterfølgende SCA. EBA accepterer imidlertid, at en af autentifikationsfaktorerne fra den indledende SCA kan genanvendes, således at det kun er nødvendigt at anvende én ny autentifikationsfaktor i forbindelse med den efterfølgende SCA, forudsat at det dynamiske link, der kræves til denne type betalingstransaktion, inkluderer en link til den nye autentifikationsfaktor, der bruges til den efterfølgende SCA.

Spørgsmål 5: Opfylder EMV 3-D Secure version 2.0 kravene fra SCA bedre når sammenlignet med sin forgænger?

Svar: På nuværende tidspunkt er den mest almindelige måde at godkende en kortbetaling i e-handel en kombination af kortoplysninger der fremgår på kortet og 3D Secure (version 1) - et godkendelsesværktøj udviklet af de internationale kortselskaber som MasterCard og VISA. EBA har bekræftet, at kortoplysninger hverken kan udgøre elementet "viden" eller "besiddelse" i relation til SCA.

EBA bemærker, at version 2.0 - i modsætning til version 1 - i højere grad forsøger at sikre kundernes bruger bekvemmelighed, begrænse svig gennem datadeling og muliggør anvendelsen af PSD2-undtagelser. EBA udtalte imidlertid i juni 2019, at EMV® 3-D Secure version 2.0 "i øjeblikket ikke" indeholder elementet iboende egenskab-elementer, da ingen af de udvekslede data inkluderer information, som vedrører biologisk og adfærdsmæssig biometri, som gør PSP'erne i stand til at identificere "noget, som payment service user er".

EBA bemærker dog, at version 2.0 understøtter en række andre SCA-verificeringsmetoder og opfordrer til anvendelsen af disse kommunikationsprotokoller.

Spørgsmål 6:
Hvad er kravene til undtagelsen for "sikre erhvervsrelaterede betalingsprocesser og protokoller"?

Svar:
I henhold til Artikel 17 i RTS'en er om SCA betalingsprocesser og -protokoller (f.eks. nogle ERP-systemer med indlagt betalingsmulighed) fritaget for SCA, forudsat at de ikke er tilgængelige for forbrugere, og at den relevante myndighed er overbevist om, at de garanterer mindst samme niveaue af sikkerhed, som er foreskrevet af PSD2.

Finanstilsynet har for nylig udstedt yderligere vejledning vedrørende denne fritagelse. I vejledningen præciserede Finanstilsynet, at hvis kriteriet for undtagelsen er opfyldt, kræves ingen forudgående vurdering eller godkendelse fra Finanstilsynet, for at undtagelsen kan anvendes. Finanstilsynet præciserede endvidere, at når man overvejer, om en given erhvervsrelateret betalingsproces eller -protokol tilbyder mindst samme niveau af sikkerhed, skal man overveje følgende:

  1. Hvorvidt udbyderen af processen eller protokollen har implementeret sikkerhedsforanstaltninger, der sikrer et sammenligneligt sikkerhedsniveau med det der ville være opnået med en implementering af kravene i kapitel 1, 2 og 4 i RTS'en (om transaktionsovervågning, periodisk revision af sikkerhedssystemer, beskyttelse af elementerne der udgør en del af den relevante godkendelsesløsning og beskyttelse af sikkerhedsoplysninger), og
  2. Hvorvidt niveauerne for svig og uautoriserede transaktioner behandlet via den relevante proces eller protokol overstiger niveauerne for sammenlignelige betalinger behandlet via SCA.

Spørgsmål 7: Finder SCA anvendelse på transaktioner, hvor kun en af PSP'erne er beliggende indenfor EU?

Svar: Ved betalingstransaktioner hvor kun en af PSP'erne er beliggende indenfor EU, skal SCA anvendes på de dele af transaktionen, som foregår indenfor EU.
I tilfælde af, at betalingsmodtagerens PSP er beliggende udenfor EU ("one-leg out transactions"), er betalingsmodtagerens PSP ikke underlagt PSD2. Såfremt betaleren ønsker at foretage en betaling på internettet fra en forhandler, hvis PSP er beliggende udenfor EU, og betalerens PSP derfor teknisk set ikke kan gennemtvinge brugen af SCA, skal betalerens PSP foretage en selvstændig vurdering af, om betalingen skal blokeres, eller om PSP'en vil acceptere hæftelsen overfor betaleren i tilfælde af, at betalingen er uautoriseret.

Spørgsmål 8: 9 ud af de 28 EU lande, hvor SCA-tærskelfritagelserne finder anvendelse, anvender ikke euro, inklusive Danmark. Har PSP'er tilladelse til at fastsætte afrundede og let forståelige lokale  valutaækvivalenter for EUR-tærsklerne, der er angivet i PSD2, såsom fritagelsestærsklen for betalinger under € 30?

Svar: Ja; hvis en PSP imidlertid vælger en afrundet lokal valuta tærskel, skal den være lav nok til at det er usandsynligt, at den kan overtræde euro-tærsklen i tilfælde af valutasvingninger. Desuden skal afrundede tærskler højt sandsynligt justeres fra tid til anden.

Implementeringsperiode

EU's tilsynsmyndigheder synes at indrømme fritagelser i hele betalingstjenestesektoren på 18-24 måneder, og flere af disse fritagelser er specifikt rettet mod kort-/e-handelsindustrien og gælder ikke for ikke-kortbaserede produkter såsom konto-til-konto-overførsler og direkte debiteringer. Eksempelvis har Frankrig meddelt en forlængelse indtil juni 2022 (sammenlignet med 18 måneder i Storbritannien og Danmark). Divergerende implementeringsplaner vil sandsynligvis være årsagen til et nyt sæt udfordringer, som branchen bliver nødt til at håndtere. EBA har allerede bekræftet, at ved uoverensstemmelser i SCA-implementering i hele EU, vil EBA træffe fornødne hjælpeforanstaltninger, og det er derfor ikke utænkeligt, at EBA snart vil offentliggøre yderligere vejledninger, som skal forsøge at løse noget af denne uensartethed.

Seneste nyt om Bank og Finans

Bank og Finans