Gemt
Presse og Nyheder

Nye og strammere krav til sikkerhed ved betalinger er på vej

Lov om betalinger trådte i kraft 1. januar 2018. Loven implementerer EU's betalingsdirektiv PSD2. Med loven er der også vedtaget nye stramme krav til sikkerheden ved betalinger. De nye regler træder i kraft 14. september 2019.

Nyhed

DANSK ERHVERV | ERHVERVSJURA - 7. NOVEMBER 2018

Ved lov om betalinger, som implementerer EU's betalingsdirektiv PSD2, som trådte i kraft 1. januar 2018, er der stillet krav om, at der skal anvendes stærk kundeautentifikation, når en bruger:

  • Tilgår sin betalingskonto online
  • Iværksætter en elektronisk betalingstransaktion. 
  • Udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.

Stærk kundeautentifikation defineres som en autentifikation, som er baseret på brugen af to eller flere elementer, der er kategoriseret som:

  • Viden. Noget kun brugeren ved, fx et kodeord eller en PIN-kode.
  • Besiddelse. Noget kun brugeren har i sin besiddelse, fx chippen i et betalingskort. 
  • Iboende egenskab. Noget kun brugeren er, fx et fingeraftryk, iris, ansigt eller anden biometri. 

Det har været udlagt til den europæiske bankmyndighed (EBA) at fastsætte reguleringsmæssige tekniske standarder for stærk fælles kundeautentifikation og sikre åbne standarder for kommunikation. Den 13. marts 2018 kom kommissionens delegerede forordning, der fastsatte de tekniske standarder.

De tekniske standarder gælder for både fysisk handel og onlinehandel. Det betyder, at kunden, som udgangspunkt, skal anvende to af hinanden uafhængige elementer, når der skal ske betaling. Fx chip og pinkode, pinkode og fingeraftryk eller chip og ansigtsgenkendelse.

Reglerne giver en større sikkerhed for både betaleren og betalingsmodtageren, hvilket er rigtig godt. Desværre er nogle af reglerne så stramme, at de kolliderer med de gnidningsfrie og problemfrie betalinger, som kunderne oplever i dag. Et af eksemplerne på det er de tilbagevendende transaktioner, hvor en række af transaktioner, med samme beløb og samme betalingsmodtagere, kun kræver stærk kundeautentifikation ved første transaktion, mens det efterfølgende ikke kræver stærk kundeautentifikation. Modsat, så kræver en række tilbagevendende betalinger, med samme betalingsmodtager, men med et beløb som ikke er det samme, stærk kundeautentifikation ved hver betaling. Det er uhensigtsmæssigt.

Reglerne træder i kraft 14. september 2019.

Der er en række undtagelser til kravet om kundeautentifikation. Nedenfor har vi oplistet en række af de mest relevante situationer.

Undtagelser fra stærk kundeautentifikation ved gennemførelse af betalinger
Kontaktløse betalinger på salgsstedet
Der er mulighed for at undlade at kræve stærk kundeautentifikation ved betalinger i fysisk handel, når:

  • værdien af den kontaktløse elektroniske betalingstransaktion ikke overstiger 50 Euro, og
  • den samlede værdi af tidligere kontaktløse elektroniske transaktioner, siden seneste anvendelse af stræk kundeautentifikation, ikke overstiger 150 Euro, eller
  • antallet af efterfølgende kontaktløse elektroniske betalinger, siden seneste anvendelse af stærk kundeautentifikation, eller overstiger fem.

Ubemandede terminaler til betaling af befordringsbilletter og parkeringsgebyrer
Der er mulighed for at undlade at kræve stærk kundeautentifikation, når:

  • betaleren initierer en elektronisk betalingstransaktion i en ubemandet betalingsterminal med det formål at betale en befordringsbillet eller et parkeringsgebyr.

Troværdige begunstigede
Der er mulighed for at undlade at kræve stærk kundeautentifikation, når:

  • betalingen vedrører betaling til en betalingsmodtager, der fremgår af en liste over troværdige begunstigede, som betaleren har oprettet, ved brug af stærk kundeautentifikation.

Tilbagevendende transaktioner
Der er mulighed for at undlade at kræve stærk kundeautentifikation, når:

  • Betalingen vedrører tilbagevendende betalinger med samme beløb og samme betalingsmodtager, når betaleren ved første transaktion har anvendt stærk kundeautentifikation.

Mindre transaktioner
Der er mulighed for at undlade at kræve stærk kundeautentifikation, når:

  • Betaleren foretager en elektronisk fjernbetalingstransaktion, hvor
    - værdien af transaktionerne ikke overstiger 30 Euro og
    - den samlede værdi af tidligere elektroniske fjernbetalingstransaktion, siden seneste anvendelse af stærk kunde autentifikation, ikke overstiger 10 Euro, eller
    - antallet af tidligere fjernbetalingstransaktion, siden seneste anvendelse af stærk kundeautentifikation, ikke overstiger fem af hinanden efterfølgende enkeltstående transaktioner.

Transaktionsrisikoanalyse
Der er mulighed for at undlade at kræve stærk kundeautentifikation, når:

  • Betaleren foretager lavrisikotransaktioner baseret på en risikoanalyse.

Kontakt os

Handel

Henrik Lundgaard Sedenmark

Chefkonsulent
Medarbejderprofil

Der anvendes cookies til at forbedre din oplevelse af websitet. Du accepterer ved at navigere videre. Læs mere om website cookies.