Gå til tekstinnholdet

Spørsmål og svar

Her finner du svar på noen av de vanligste spørsmålene vedrørende RTS og SCA tilknyttet EU-direktivet PSD2.

Generelt

  • Kortkjøp med ukjent sluttbeløp
    I forbindelse med at PSD2 trer i kraft, stilles det høyere krav til bransjer der man ikke vet nøyaktig hvilket sluttbeløp kortkunden vil bli belastet. Disse bransjene er for eksempel bilutleie, hotell, parkering og drivstoff. I disse tilfellene gjelder økte krav om å informere kortkunden før kortkjøpet om hvilket beløp som vil bli reservert på kortet, og at kortkunden skal godkjenne dette beløpet før transaksjonen gjennomføres.
    Det er viktig at du som driver virksomhet innenfor disse bransjene, alltid informerer kortkunden i forbindelse med kortkjøp om hvilket beløp som vil bli reservert.

     

    Videredebitering
    Det er ikke vedtatt et forbud mot videredebitering i Norge, derav ingen endringer.

     

    Ifølge loven er det i dag forbud mot videredebitering (ekstra gebyr) av kortkunde i forbindelse med kortkjøp, og dette forbudet blir opprettholdt i Sverige.

     

    For Danmark og Finland endres loven ved at forbudet endres til bare å omfatte private kort fra kortutstedere innenfor EU. Forbudet gjelder både fysisk miljø, e-handel, automater og telefonbestillinger.
     

  • Regulatory Technical Standards.
     

  • Det er en ny teknisk standard som er utarbeidet
    for å kunne gjennomføre det andre betalingstjenestedirektivet fra EU (PSD2). Den tekniske standarden er obligatorisk og innføres via lovgivning i EU/EØS- landene.
     

  • Strong Customer Authentication, sterk kundeautentisering (kundeidentifisering) i forbindelse med utføring av transaksjoner.
     

  • Det innebærer at det blir skjerpede krav til sikkerhet i forbindelse med utføring av transaksjoner fremover. Kunden må legitimere seg ved å bruke minst to av følgende:

    Noe man kan, f.eks. et passord
    Noe man eier, f.eks. en smarttelefon
    Noe man har, f.eks. et fingeravtrykk
     

  • Formålet er å gjøre transaksjoner sikrere og redusere antall svindeltilfeller.
     

  • Kortbetaling via nettsider og/eller apper.
    Forenklet kortbetaling (kjøp med lagret kortinformasjon).
    Gjelder alle korttransaksjoner der kortutsteder befinner seg innenfor EU/EØS.
     

  • Korttransaksjoner som gjøres av butikk uten at kortkunden er til stede, for eksempel abonnementsbetalinger (såkalt recurring) .
    Telefonordre (uten betalingslenke).
    Anonyme forhåndsbetalte kort (såkalt prepaid-kort, eller gavekort). Korttransaksjoner der kortutstederen befinner seg utenfor EU/EØS.
     

  • Kortutsteder og kortinnløser.
     

  • 14. september 2019
     

  • Her er det ingen forskjell fra i dag.
     

Internett

  • 3D Secure er en teknisk standard utviklet av Visa (Visa Secure) og Mastercard (Identity Check) for at kortutstederen skal kunne verifisere kortkundens identitet ved handel på internett.
     

  • -Aktivere 3D Secure, hvis ikke dette allerede er gjort.
    -Fjerne logikk for eventuell Dynamisk 3D Secure.
    -Fra april må du legge inn nye logoer fra Visa og Mastercard på nettsiden / i appen din når betalingstjenesteleverandøren har aktivert den nye versjonen av 3D Secure.
    -Kontakte betalingstjenesteleverandøren for å få instruksjoner om hvilke endringer din butikk må gjøre i anropene til betalingstjenesteleverandøren, for eksempel mer informasjon om kortkjøpet.
    -Kontakte betalingstjenesteleverandøren for å diskutere tilgjengelige overvåkingssystemer, slik at du kan få bedre kontroll over eventuelle svindeltransaksjoner med kort.


     

  • Kortutsteder kommer til å avvise korttransaksjoner der kortutstederen ikke har mulighet til å godkjenne transaksjoner med sterk kundeautentisering, dvs. 3D Secure.
     

  • Hvis du tidligere har fått dispensasjon fra Swedbank Pay for 3D Secure, fører lovendringen til at dispensasjonen sies opp nå og slutter å gjelde fra og med 14. september 2019. Derfor må du installere og aktivere støtte for 3D Secure.
     

  • Nei, det kommer ikke til å være tillatt. 3D Secure- dispensasjoner erstattes av unntak fra SCA som er avtalt med den aktuelle kortinnløseren.
     

  • Det er ikke en godkjent løsning basert på RTS/SCA, og derfor kan den ikke brukes lenger.
     

  • Du må ta kontakt med betalingstjenesteleverandøren din for å få svar på om du har 3D Secure eller ikke.
     

  • Hvis du ikke vet det, kan du ta kontakt med Swedbank Pay Support for å få hjelp.
     

  • Et program som hjelper deg med å identifisere risikotransaksjoner for at du skal kunne få kontroll over eventuelle svindeltransaksjoner med kort. Ta kontakt med betalingstjenesteleverandøren din for å finne ut hvilke tilgjengelige programmer de kan tilby.
     

  • Du må ta kontakt med betalingstjenesteleverandøren din for å få tilgang til de nye logoene som må lastes opp og finnes i nettbutikken din.
     

  • En tjeneste som du kan tilby kortkundene hvis du tilbyr kortinnløsning via internett. Kortkunden registrerer seg som bruker på nettsiden din og oppgir navn- og adresseinformasjon samt kortinformasjon. Dermed inngår kortkunden en avtale med bedriften din om forenklet kortbetaling. Ingen kortinformasjon lagres hos deg, men i et sertifisert miljø hos betalingstjenesteleverandøren.
    Når kortkundene så skal handle, velger de å logge på med brukernavn og passord. Da kan de enkelt gjennomføre kjøp uten å ha kortet i nærheten, eller uten at de behøver å huske passordet. Dette reduserer risikoen for at kortkunder avbryter kjøpet.
    Hvis du er interessert i denne tjenesten, kan du ta kontakt med kundeservice.
     

  • En tjeneste du kan tilby kortkundene dine hvis du har kortinnløsning via internett og tilbyr en vare/tjeneste som et tilbakevendende regelmessig abonnement. Kortkunden oppgir kortnummeret som skal brukes for denne tjenesten. Kortkunden inngår da en avtale med bedriften din om abonnementsbetaling. Det er viktig at det er tydelig for kortkunden hvilke kjøps- og leveringsbetingelser samt hvilke avslutningsbetingelser som gjelder for abonnementet. Ingen kortinformasjon lagres hos deg, men i et sertifisert miljø hos betalingstjenesteleverandøren.
    Hvis du er interessert i denne tjenesten, kan du ta kontakt med Swedbank Pay Support.
     

  • En tjeneste for deg som har tjenesten kortinnløsning via telefonordre. Gjennom betalingstjenesteleverandøren din kan kortkunden tilbys kortbetaling via betalingslenke. Du sender en betalingslenke på e-post til kortkunden i løpet av samtalen. Kortkunden klikker på betalingslenken og kommer dermed til betalingstjenesteleverandørens betalingsside, der kortinformasjonen oppgis. Deretter identifiserer kortkunden seg med 3D Secure, og betalingen bekreftes etter en automatisk kortkontroll (autorisasjon) hos Swedbank Pay. Betalingslenke er en sikrere betalingsmetode for deg, fordi kortkunden identifiseres, men det er også sikrere for kortkunden, som slipper å oppgi kortinformasjon på telefon.
     

  • Ja, for at kortkunden skal få en praktisk og positiv kjøpsopplevelse, kan kortutsteder (og noen ganger kortinnløser) benytte seg av noen definerte unntak fra sterk kundeautentisering.
    Disse unntakene er:
    -Korttransaksjoner opp til et beløp tilsvarende 30 euro, men med antall og beløpsbegrensninger som fastsatt av kortutsteder.
    -Korttransaksjoner mellom beløp tilsvarende 30 og 500 euro, forutsatt at kortutsteder og eventuelt kortinnløser utfører en risikovurdering.
    Korttransaksjoner som initieres av butikk uten at kortkunden er til stede, for eksempel abonnementsbetalinger (såkalt recurring).
    -White-listing, som er en avtale mellom kortutsteder og kortkunde som regulerer bruken av SCA hos den aktuelle butikken.

     

  • Nei, til tross for alle unntakene som finnes, er det alltid kortutstederen som har det siste ordet, og som kan velge å be om og gjennomføre sterk kundeautentisering (såkalt step-up). Hva kortutstederen kommer til å gjøre, er altså ikke kjent før korttransaksjonen gjennomføres.
     

  • Kortutsteder ber om sterk kundeautensiering på transaksjon der kortinnløser har bedt om unntak fra SCA.
     

  • Kortkundene avtaler med sin kortutsteder at kjøp hos brukersteder der de kommer til å handle ofte, skal godkjennes uten SCA. Kunden må deretter sende denne informasjonen sammen med kortkjøpet til kortkundens bank. Hvordan dette skal foregå, vet vi ikke ennå. Denne funksjonen er ikke tilgjengelig i dag, men foreløpig ser den ut til å komme i slutten av 2019 eller i begynnelsen av 2020. Vi kommer tilbake med mer informasjon når den er klar.
     

  • Kortinnløseren vurderer og avtaler i samråd med det aktuelle brukerstedet med tanke på hvilke unntak som kan bes om hos kortutstederen.

     

Terminaler

  • Hvis du tidligere har fått innvilget en tilleggsavtale som gjelder chip uten PIN-kode fra Swedbank Pay, slutter denne avtalen å gjelde fra og med 14. september 2019.
    Bruk av magnetstripe, manuell inntasting og signatur (gjelder også chip og signatur) kommer ikke lenger til å være tilgjengelig for kortkunder med kortutsteder innenfor EU/EØS etter 14. september 2019. Disse kortutstederne kommer til å avvise kjøpet. Derfor må du installere en kasse/terminal som kan ta imot chip med PIN-kode innen 14. september 2019.
    Etter 14. september 2019 kan kortkundene dine være nødt til å oppgi en godkjent verifiseringsmetode også ved lave beløp, for eksempel en PIN-kode (eller bli henvist til å gjennomføre kjøpet med chip og PIN-kode). Dette skyldes at kortkundens kortutsteder ønsker at kortkunden skal identifisere seg på en sikker måte.

     

  • Hvis du ikke har en godkendt teknisk løsning, exempelvis  terminaler som kun har magnetstripeløsning (ikke EMV-terminaler), må du kontakte terminalleverandøren din for å bytte ut det tekniske utstyret.

     

  • Det er kundens kortutsteder som bestemmer når det skal oppgis PIN-kode. Det kreves PIN-kode etter et visst oppnådd totalbeløp eller et visst antall kjøp, selv om beløpene er lavere enn den gjeldende PIN-kodegrensen

     

  • Direktivet krever at kortkunden skal godkjenne kjøpet med PIN-kode eller annen godkjent verifiseringsmetode.

     

  • Direktivet krever at kortkunden skal godkjenne kjøpet med sterk kundeautentisering, SCA, og sier at signatur ikke er godkjent verifiseringsmetode. Kunder med kort fra utenfor EU/EØS berøres ikke av lovgivningen, og derfor er det nødvendig at signaturfunksjonen fortsatt er der.

     

  • For kortkunder med kort utstedt innenfor EU/EØS kan kortutstedere avvise kortkjøp med manuell inntasting. Det er viktig å huske at hvis kjøpet viser seg å være svindel, er du som kunde ansvarlig for den økonomiske risikoen.

     

  • Funksjonen og muligheten for å taste inn kortnummer manuelt i en betalingskortterminal kommer fortsatt til å fungere, men kortutstedere innenfor EU/EØS kan avvise disse kjøpene. Hvis det skulle vise seg at kjøpet er svindel, er du som kunde ansvarlig for den økonomiske risikoen.
     

  • Kortkunden må godkjenne kjøpet med for eksempel PIN-kode eller en annen godkjent verifiseringsmetode, i henhold til den nye lovgivningen.

     

  • Ja, ifølge den nye lovgivningen er også biometriske metoder som tommelfingeravtrykk, ansiktsskanning og øyegjenkjenning godkjent.

     

  • Det er ikke helt klart ennå, men det vil sannsynligvis fungere akkurat som i dag, med andre ord ved at kunden må verifisere seg med PIN-kode eller annen godkjent legitimeringsmetode i forbindelse med kjøpet, for eksempel tommelfingeravtrykk, ansiktsskanning og øyegjenkjenning.

     

  • Det er ikke helt klart ennå, men sannsynligvis kommer det ikke til å fungere som i dag. Det vil bli behov for en godkjent legitimeringsmetode i forbindelse med kjøpet, og det kan bety at kunden (eieren av klokken) må taste inn PIN-koden i terminalen.
     

  • Unntak fra SCA, (Strong Customer Authentication) ved ikke å behøve å bruke PIN-kode. Til tross dette er det alltid kortutstederen som har det siste ordet, og som alltid kan velge å be om og gjennomføre sterk kundeautentisering (såkalt step-up).