Ekstra krav om sikkerhed ved netkøb bliver udskudt i 18 måneder

Finanstilsynet har den seneste måned været i dialog med aktørerne på det danske e-handels- og betalingsmarked. I den forbindelse har Dansk Erhverv spillet en afgørende rolle i at sikre en forlænget implementeringsperiode på 18 måneder for stærk kundeautentifikation (SCA) ved internethandel. Mange netbutikker har ikke været klar til ændringerne, og de ville i vidt omfang være afskåret fra at modtage betaling.

SMS som ekstra sikkerhed
Hvis kravet om implementering var fastholdt til den 14. september 2019, ville en stor del af den danske e-handel gå tabt, og det kunne have resulteret i, at mange netbutikker ville gå ned. Det var derfor nødvendigt at etablere en overgangsperiode, da det ellers ville blive uforholdsmæssigt dyrt for butikkerne.

Finanstilsynet har derfor valgt at tillade en forlænget periode på yderligere 18 måneder til at implementere de nye regler om stærk kundeautentifikation i Danmark.

Forlængelsen skyldes, at en lang række netbutikker, betalingsgateways (PSP’er), kort-indløsere og banker ikke har nået at udarbejde og implementere de nye løsninger.

De nye løsninger består i, at der skal være en to-faktor autentifikation af kunden, så man sikrer, at kortet ikke er stjålet eller på anden måde er ved at blive misbrugt. De to faktorer, som vi allerede kender i dag, består typisk af, at man som kunde modtager en SMS-engangskode. I fremtiden kan det være andre faktorer, som fx ansigtsgenkendelse og fingeraftryk. Sikkerheden skal altid bestå af to, af hinanden uafhængige, faktorer i form af noget man er (fx fingeraftryk), noget man har (fx en telefon) eller noget man ved (fx en kode).

Storebæltsbroen og p-automater er undtaget
Under udarbejdelsen af reglerne var Dansk Erhverv bekymret for, at man ville komme til at se lange, lange køer for at komme over bl.a. Storebælt, idet bilisterne først lige skulle bekræfte BroBizzen med en SMS-kode. Heldigvis blev den form for transportrelaterede ydelser undtaget fra reglerne, og man kan derfor fortsat parkere og køre på betalingsveje og tilsvarende, uden at det skal bekræftes med en kode eller lignende.

Tilfreds med forlænget implementering
Dansk Erhverv er meget tilfredse med, at Finanstilsynet har givet en forlænget periode til at få udarbejdet og implementeret de nye tekniske sikkerhedsløsninger, men er også både skuffede og overraskede over, at bankerne, psp’erne og kortindløserne ikke var klar til den 14. september 2019. Dansk Erhverv ser derfor frem til at følge den implementeringsplan, som nu bliver lagt i samarbejde med Finanstilsynet.

Lav en aftale med din PSP
Det er vigtigt, at du som virksomhed får lavet en aftale med din PSP (Payment Service Provider), så de tekniske løsninger bliver leveret til tiden. Ellers kan man som virksomhed risikere at stå i samme situation den 14. marts 2021. Der kommer ikke yderligere forlængelser, så selvom det ikke er netbutikkerne, der har ansvaret for, at der er udviklet og implementeret stærk kundeautentifikation, så er det alligevel dig som netbutik, der står med risikoen, når betalingen ikke går igennem.

Dansk Erhverv råder netbutikkerne til at lave nye konkrete aftaler med PSP’erne om, hvornår en teknisk løsning skal være klar til test og implementering, og at netbutikken sikrer sig, at PSP’en tager ansvaret og den økonomiske risiko, hvis ikke løsningen er klar til tiden. Hvis din nuværende PSP ikke kan garantere at kunne levere løsningen til tiden, skal du skifte til en anden PSP, der kan.

Reglerne er trådt i kraft den 14. september 2019
Det er meget vigtigt at understrege, at implementeringsperioden ikke ændrer på, at reglerne om stærk kundeautentifikation er trådt i kraft den 14. september 2019. Dette er bl.a. relevant for hæftelses- og ansvarsreglerne i lov om betalinger i tilfælde af, at der ikke er anvendt stærk kundeautentifikation.