Child pages
  • Krav på stark kundautentisering (SCA) vid internethandel

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Den 14:e september 2019 blir stark kundautentisering obligatoriskt vid internethandel. Kravet är en del i EU:s regelverk PSD2. Ni har sannolikt redan fått information från er payment service provider (exempelvis Netaxept eller DIBS), och från er inlösare (exempelvis Teller eller Babs).

 

Engångsbetalning

Köparen behöver godkänna kortbetalningen med tvåfaktorsautentisering, exempelvis BankID. Steget har länge varit standard när 3D-secure varit aktiverat, något som görs hos er Payment Service Provider. Vi har stämt av med Nets och alla BRPs kunder har redan aktiverat 3D-secure i Netaxept.

Inga ytterligare åtgärder är nödvändiga.

Återkommande kortbetalningar (RCP)

Dagens RCP-fullmakter och vad som händer med dem efter 14/9

Det råder i alla led stor osäkerhet kring hur ändringarna i regelverket ska tolkas och hur payment service providers, inlösare och kortutgivare kommer agera.

De RCP-fullmakter BRP skapat för era kunder är av typen "S" vilket gjort att vi inte behövt kundens godkännande för varje dragning och att vi kunnat ändra beloppet från månad till månad (för prisändringar, avvikelser eller debitering av kundkonto). De nya kraven kan tolkas som att även efterföljande betalningar måste godkännas av köparen genom 3D-secure vilket skulle göra RCP omöjligt som betalsätt för abonnemang. Även om det är osannolikt skulle en kortutgivare kunna neka en transaktion för att 3D-secure bara användes initialt.

Kortutgivaren bedömer vilka transaktioner de ska godkänna och vilka de ska neka. Det är osannolikt att kortutgivare börjar neka transaktioner från den 14:e september. Mer troligt blir det en lång övergångsperiod.

Framtida RCP-fullmakter (under utredning)

BRP kommer bevaka utvecklingen och göra anpassningar av produkten. Om kortutgivare börjar neka transationer behöver BRP ändra flaggningen av fullmakterna även om det skulle gå ut över funktionaliteten.

Möjliga framtida vägar för nya RCP-fullmakter som läggs upp:

  • Övergång till typen "R" som gör att vi inte behöver kundens godkännande för varje debitering, men som inte tillåter att beloppet ändras utan att kunden ger sitt godkännande. Försvårar avvikelser och kundkontodebitering.
  • Övergång till typen "S" men med parametern RecurringUse3DS vilket innebär att kunden måste godkänna varje debitering med 3D-secure.
  • En ny typ "MIT unscheduled" är under utveckling hos Netaxept vilket om
inlösaren
  • inlösare/kortutgivare accepterar det skulle tillåta att beloppet ändras utan köparens godkännande. Denna lösning låter mest lovande, men kan inte implementeras idag.

Befintliga RCP-fullmakter

För att typ ska kunna ändras behöver fullmakten läggas upp på nytt av köparen, alternativt att säljaren gör en massändring (sannolikt med hjälp av BRP, PSP och inlösare).

 

Brponly
TitleInte skriva något här eftersom det inte är sökbart

Att ta ställning till:

  • Ska vi göra ett utskick till alla kunder?
  • Ska vi göra ett särskilt utskick till kunder som använder RCP?
  • Vad ska vi uppmana kunderna att göra? Väldigt osäkert.
  • Ska vi göra någon utveckling och i så fall vilken? Ska vi göra något omedelbart behöver vi ta bort möjligheten att variera belopp vilket gör avvikelser och kundkontodebitering omöjliga.
  • Om vi bestämmer oss för hur våra RCP-fullmakter ska flaggas framöver behöver vi kontakta alla kunder som använder RCP och utreda om vi med deras PSP och inlösare kan massändra redan skapade fullmakter så slutkunderna slipper gå in och skapa nya fullmakter.