PSD2 – vanlige spørsmål og svar

Her finner du svar på noen av de vanligste spørsmålene om EU-direktivet PSD2 og de tekniske komponentene RTS og SCA.

Spørsmål og svar

Hvis du vil ha mer bakgrunnsinformasjon om hva PSD2 er og hvordan det påvirker deg, kan du lese artikkelen "PSD2 – alt du behøver å vite". 

  • Hvordan påvirker PSD2 meg som tar imot kortbetalinger?

    Du som tar betalt med kort, påvirkes på flere måter, blant annet fordi kundene dine må legitimere seg med sterk kundeverifisering (SCA) ved betaling.

    SCA

    Sterk kundeautentisering betyr at kortbetalingskunder må legitimere seg med minst to av følgende:

    • noe man kan, for eksempel et passord
    • noe man har, for eksempel et kort eller en smarttelefon
    • noe man er, for eksempel et fingeravtrykk

    Tar du betalt med kortterminal, betyr det at kundene må legitimere seg med for eksempel PIN-kode eller biometriske metoder som for eksempel fingeravtrykk.

    Betaling via magnetspor, manuell innmating av kortopplysninger og signaturkjøp er ikke lenger mulig for kunder der kortutsteder befinner seg innenfor EU/EØS. Kortterminalen må altså kunne støtte chip og PIN-kode samt kontaktløs betaling.

    Har du nettbutikk, betyr det at kundene må legitimere seg ifølge 3D Secure ved kortbetaling.

    Kjøp med Signatur

    Signaturkjøp, det vil si når kunden bruker kortet sitt og velger å godkjenne kjøpet med underskrift, vil ikke være tillatt for kort utstedt innenfor EU/EES ifølge PSD2-direktivet. Noen kortutstedere innenfor EU/EES har ennå ikke slått av signaturalternativet, men blir nødt til å gjøre det for å oppfylle kravene. I slike tilfeller må kunden oppgi PIN-kode for å gjennomføre kjøpet, eller henvises til kortutstederen.

    PIN-kode ved lave beløp

    Ved kortbetaling på terminal der beløpet er opptil 400 kr, behøver kunden vanligvis ikke å oppgi PIN-kode. Men ifølge PSD2 er det av sikkerhetsårsaker av og til nødvendig å taste PIN-kode også ved lave beløp. Kundens kortutsteder bestemmer når PIN-kode må oppgis. Det kan være etter at kunden har nådd et bestemt totalbeløp eller et visst antall kjøp, selv om beløpene har vært lave.

    Kortkjøp med ukjent sluttbeløp

    PSD2 stiller høyere krav til bransjer der man ikke vet hva det nøyaktige sluttbeløpet vil bli for kunden. Eksempel på slike bransjer er bilutleie, hotell, parkering og drivstoff. I slike tilfeller skal kunden tydelig informeres om hvilket beløp som vil bli reservert på kortet. Kunden må akseptere beløpet før betalingen gjennomføres.

    Hvis du jobber i en av disse bransjene, er det viktig alltid å informere kunden i forbindelse med kortbetaling om hvilket beløp som vil bli reservert.

    Videredebitering

    Ifølge loven er det i dag forbud mot videredebitering (ekstra gebyr) av kortkunder i forbindelse med kortbetaling, og dette forbudet vil fortsatt gjelde i Sverige. I Danmark og Finland endres loven gjennom at forbudet endres til bare å omfatte private kort utgitt av en kortutsteder i EU. Forbudet gjelder både fysisk miljø, nettbutikk, automat samt telefonbestillinger. I Norge er det ikke forbud mot videredebitering, og her skjer det ingen endring.

  • Hva er RTS?

    Det er en ny teknisk standard (Regulatory Technical Standard) som skal bidra til å gjennomføre formålet med det andre betalingstjenestedirektivet fra EU/EØS (PSD2), for eksempel SCA. Den tekniske standarden er obligatorisk og innføres gjennom lovgivning i EU-landene. 

  • Hva omfattes av RTS når det gjelder krav om sterk kundeautentisering?

    • Kortbetaling i terminal 
    • Kortbetalinger via nettside og/eller app 
    • Forenklet kortbetaling (kjøp via lagret kortinformasjon) 
    • Alle kortkjøp der kortutstederen befinner seg innenfor EU/EØS 
  • Hva omfattes ikke av RTS når det gjelder krav om sterk kundeautentisering?

    • Kortkjøp som gjøres uten at kunden er til stede, for eksempel abonnementsbetalinger (såkalt Recurring)
    • Telefonbestillinger (uten betalingslenke)
    • Anonyme forhåndsbetalte kort (såkalte Prepaid-kort, gavekort)
    • Kortkjøp der kortutstederen befinner seg utenfor EU/EØS
  • Finnes det noen unntak fra SCA?

    Ja. For at kortkunden skal få en praktisk og god kjøpsopplevelse, kan kortutstedere (og iblant kortinnløsere) benytte seg av noen definerte unntak fra sterk kundeautentisering.

    Disse unntakene er:

    • Kortkjøp på opptil tilsvarende 30 euro, men med begrensninger på antall og beløp ifølge avgjørelse fra kortutstederen.
    • Kortkjøp mellom tilsvarende 30 og 500 euro, der det utføres risikovurdering av kortutsteder og eventuelt kortinnløser.
    • Kortkjøp som initieres av butikk uten at kunden er til stede, for eksempel abonnementsbetalinger (såkalt Recurring).

    Til tross for alle unntakene som finnes, er det alltid kortutstederen som har siste ordet, og som alltid kan velge å be om og gjennomføre sterk kundeautentisering (såkalt step-up). Hvordan kortutstederen vil gjøre det, er med andre ord ikke kjent før kortkjøpet gjennomføres.

  • Hva er EMV 3DS?

    Kortutstederne (for eksempel Mastercard, Visa, AMEX) har blitt enige om en ny versjon av den tekniske standarden for 3D Secure som gjør det enda sikrere og enklere for kortkunder å legitimere seg. Den nye versjonen kalles EMV 3DS og innebærer blant annet:

    • Krav om å sende mer informasjon til kortutstederen om kunden og kortbetalingen for å få en bedre risikovurdering. Eksempler på dette er adresseinformasjon, kundens e-post og telefonnummer.
    • At kortutsteder har mulighet til å tilby nye måter som kortkunder kan legitimere seg på, for eksempel biometriske metoder (fingeravtrykk og liknende).
    • En tilpasning av grensesnitt for mobile enheter.

    Den nye versjonen av 3D Secure skal være implementert og aktivert i nettbutikker senest 1. juli 2020.

  • Hva må jeg som har nettbutikk, gjøre med tanke på EMV 3DS?

    • Installere og aktivere 3D Secure (EMV 3DS).
    • Kontakte betalingstjenesteleverandøren for å få instruksjoner om hvilke endringer butikken må gjøre i anropene til betalingstjenesteleverandøren, for eksempel mer informasjon om kortbetalingen.
    • Kontakte betalingstjenesteleverandøren for å diskutere tilgjengelige overvåkingssystemer for å få kontroll over eventuell svindel i korttraksaksjoner.
  • På hvilken måte angår lovendringen meg som har kortinnløsning via terminal?

    Tar du betalt med kortterminal, betyr det at kundene må verifisere seg med for eksempel PIN-kode eller biometriske metoder som tommelfingeravtrykk. Betaling via magnetspor, manuell innmating av kortopplysninger og signatur eller chip og signatur er ikke lenger mulig for kunder der kortutsteder befinner seg innenfor EU/EØS. Terminalen må med andre ord kunne ta imot betaling med chip og PIN-kode.

    Selv ved lave beløp må kanskje kortkundene oppgi PIN-kode (eller henvises til å gjennomføre kortbetaling med chip og PIN-kode). Det skyldes at kortkundens kortutsteder noen ganger krever at kortkunden legitimerer seg på en sikker måte, selv ved lave beløp.

  • Hvorfor må kundene mine taste inn PIN-kode ved lavt beløp og kontaktløs betaling?

    Kundens kortutsteder bestemmer når PIN-kode må oppgis. Av sikkerhetsårsaker kreves det PIN-kode etter at kunden har oppnådd et visst totalbeløp eller et visst antall kjøp, selv om beløpene er under den gjeldende beløpsgrensen. 

  • Hvorfor må jeg anskaffe en teknisk løsning med chip og PIN-kode?

    Den nye lovgivningen krever at kortkunden skal godkjenne kjøpet med PIN-kode eller annen godkjent legitimeringsmetode. 

  • Hvorfor kan jeg ikke bruke magnetspor/signatur på kort utstedt i EU/EØS-land?

    Lovgivningen krever at kortkunden skal godkjenne kjøpet med sterk kundeautentisering og fastslår at signatur ikke er godkjent legitimeringsmetode. Lovgivningen påvirker ikke kunder med kort utstedt utenfor EU/EØS, og derfor må signaturfunksjonen fremdeles være tilgjengelig. 

  • Jeg pleier å taste inn kortnummer manuelt, kan jeg fortsette med det?

    Kortutstedere kan avvise manuelt inntastede kortkjøp for kortkunder med kort utstedt innenfor EU/EØS. 

  • Finnes det andre godkjente legitimeringsmetoder bortsett fra PIN-kode?

    Ja, ifølge den nye lovgivningen godkjennes biometriske metoder som fingeravtrykk, ansiktsskanning og øyegjenkjenning også.

  • Hvordan påvirkes kjøp med iPhone/Samsung for kunder som bruker Apple Pay eller Samsung Pay?

    Det er ikke helt klart ennå, men sannsynligvis kommer det til å fungere akkurat som i dag. Det vil si at kunden må verifisere seg i forbindelse med kjøpet med PIN-kode eller annen godkjent legitimeringsmetode, som tommelavtrykk, ansiktsskanning eller øyegjenkjenning. 

  • Hvordan påvirkes kjøp med Apple Watch / Garmin / Fitbit for kunder som bruker Apple Pay eller Samsung Pay?

    Det er ikke helt klart ennå, men sannsynligvis kommer det ikke til å fungere som i dag. Kjøpet vil kreve en godkjent legitimeringsmetode, for eksempel at kunden (klokkeeieren) må taste inn PIN-koden i terminalen. 

  • Hva må jeg som tar betalt via kortterminal, gjøre nå?

    Kortterminalen må kunne ta imot betaling med både kontaktløs betaling og chip og PIN-kode.