Gemt

Nye sikkerhedskrav til betalinger fra 2021

Efter et turbulent efterår er den endelige implementeringsfrist for nye sikkerhedskrav til betalinger nu fastsat til den 1. januar 2021. Efter den dato vil betalinger, der ikke overholder kravene, blive afvist af banken. Som netbutik skal du sikre dig, at din PSP er klar senest den 1. januar 2021 – og meget gerne før.

Nyhed

Dansk Erhverv | Handel - 14. november 2019

Lov om betalinger trådte i kraft 1. januar 2018. Loven implementerer EU's betalingsdirektiv PSD2. Med loven er der også vedtaget nye stramme krav til sikkerheden ved betalinger.

Du kan læse mere om kravene her: Nye og strammere krav til sikkerhed ved betalinger er på vej.

Migrationsperiode
Selvom reglerne om stærk kundeautentifikation – også kalder SCA – trådte i kraft 14. september 2019, så viste det sig op til den dato, at langt de fleste indløsere, PSP’ere og/eller banker ikke var klar til de nye krav. Derfor blev der på europæisk plan givet en fornyet frist til at få implementeret kravene. Den nye frist er den 1. januar 2021.

På et møde i Finanstilsynet den 23. oktober 2019, hvor Dansk Erhverv deltog, gennemgik tilsynet deres krav til, hvordan og hvorledes alle parter bliver klar til den 1. januar 2021. Tilsynet har valgt at kalde det for en migration, og tilsynet slog på mødet fast, at den plan, som virksomhederne laver med tilsynet er ultimativ og skal overholdes, og at virksomheder, der ikke overholder planen kan forvente at modtage er påbud fra tilsynet.

Milepæle
Migrationsplanen indeholder seks milepæle, som alle involverede skal overholde. Det drejer sig om:

  • 22-11-2019: Udkast til migrationsplan er sendt til Finanstilsynet 
  • 20-12-2019: Endelig migrationsplan aftalt med Finanstilsynet
  • 31-03-2020: Første afrapportering. Alle led i kæden er på minimum på version 2.1
  • 30-06-2020: Anden afrapportering
  • 30-09-2020: Tredje afrapportering. Udrulning af ”endelig” version af 2.x og autentifikationsløsninger er gennemført. Alle tester aktivt løsningerne. Non-compliant transaktioner kan fortsat gennemføres
  • 01-01-2021: Migrationsplaner er gennemført. Alle non-complianttransaktioner afvises af kortudsteder.

Lav en aftale med din PSP
Det er vigtigt, at du som virksomhed får lavet en aftale med din PSP (Payment Service Provider), så de tekniske løsninger bliver leveret til tiden. Ellers kan du som virksomhed risikere at stå i en situation, hvor du ikke kan modtage betalinger efter den 1. januar 2021. Der kommer ikke yderligere forlængelser, så selvom det ikke er netbutikkerne, der har ansvaret for, at der er udviklet og implementeret stærk kundeautentifikation, så er det alligevel dig som netbutik, der står med risikoen, når betalingen ikke går igennem.

Dansk Erhverv råder netbutikkerne til at lave nye konkrete aftaler med PSP’erne om, hvornår en teknisk løsning skal være klar til test og implementering, og at netbutikken sikrer sig, at PSP’en tager ansvaret og den økonomiske risiko, hvis ikke løsningen er klar til tiden. Hvis din nuværende PSP ikke kan garantere at kunne levere løsningen til tiden, skal du skifte til en anden PSP, der kan.

Som netbutik bør du bede din PSP dokumentere, at de som minimum følger Finanstilsynets migrationsplan.

Reglerne er trådt i kraft den 14. september 2019
Det er meget vigtigt at understrege, at implementeringsperioden ikke ændrer på, at reglerne om stærk kundeautentifikation er trådt i kraft den 14. september 2019. Dette er bl.a. relevant for hæftelses- og ansvarsreglerne i lov om betalinger i tilfælde af, at der ikke er anvendt stærk kundeautentifikation. Det betyder, at det led i kæden, der undlader at anvende eller muliggøre SCA, i sidste ende hæfter overfor betaleren. Reglerne vedrører ikke, hvem der hæfter overfor betalingsmodtageren. Det vil dog i sidste ende være op til ankenævn eller domstole at fastlægge, hvordan reglerne helt præcist skal fortolkes.

Læs tidligere nyheder om emnet her:

Kontakt

Handel

Henrik Lundgaard Sedenmark

Fagchef for betalinger og detailhandelssikkerhed
Medarbejderprofil