Säkrare och mer effektiva kortbetalningar. Det är målet med EU:s andra betalningsdirektiv – PSD2 – som infördes i september i år. Kortfattat ska PSD2 säkerställa att det verkligen är kortägaren som vill genomföra en transaktion, och inte någon annan som har kommit åt kortuppgifterna.
För att säkerställa att en korttransaktion lever upp till den säkerhet som krävs inom PSD2 måste transaktionen genomföras med ”säker kund-autentisering”, även kallad SCA. Det är både bankerna och kortinlösarens roll att kraven uppfylls.
Vad är SCA (Strong Customer Authentication)?
SCA är bankernas och kortinlösarens skyldighet att autentisera att du är du. Det ska de göra genom att transaktionen uppfyller minst två av följande verifieringskrav:
- Verifiering genom något som du vet, exempelvis ett lösenord eller en pinkod.
- Verifiering genom något du har, exempelvis en mobiltelefon eller annan hårdvara.
- Verifiering genom något som du är, exempelvis fingeravtryck eller ansiktsigenkänning.
Vid fysisk kortbetalning räcker det inte längre med en signatur som verifiering, eftersom det inte anses vara SCA. Betalkort som endast har magnetremsa kommer heller inte att fungera efter införandet av PSD2. Och det allt vanligare chip-and-go, där du håller ditt kort mot kortterminalen, kommer endast att fungera vid lägre summor – eller om du även anger kortets pinkod.
Open banking – ytterligare ett steg i PSD2 för att stärka dig som konsument
Innan SCA trädde i kraft införde EU ett första steg i PSD2 för att stärka dig som konsument. Det kallas för Open Banking och ska vara ett sätt att standardisera bankernas erbjudande till dig som kund och öka transparensen.
Open banking innebär att du på sikt ska kunna ta del av all information bankerna har om dig och om du önskar, dela den informationen med en tredje part. Den tredje parten kan inte vara vem som helst – de måste följa GDPR och vara registrerade hos Finansinspektionen, eller motsvarande myndighet inom EU/EES.
EU hoppas att Open Banking kommer att öka konkurrensen mellan bankerna och att det i sin tur leder fram till fler innovationer inom bankväsendet.
PSD2 i korthet – frågor och svar
Gäller SCA alla transaktioner?
- En del kortinlösare tillåter att transaktioner upp till totalt 1 500 kronor får dras under fem tillfällen utan extra verifikation.
- Vissa betalningar som genomförs via mejl eller telefon är befriade från kravet på SCA.
- Prenumerationstjänster kommer troligtvis också vara befriade från SCA – förutom vid tecknandet av prenumerationen.
- Du kommer själv att kunna ”vitlista” betalningsmottagare, och därmed göra dem till undantag för SCA.
- Obemannade terminaler, som till exempel vid vägtullar, kommer att vara undantagna kravet på SCA.
Varför kan jag fortfarande genomföra transaktioner utan SCA?
PSD2 infördes i september i år, men är inte tvingande förrän december 2020. Det innebär att det fortfarande finns aktörer som inte infört de nya direktiven.
Är SCA endast ett krav inom EU?
SCA är inte bara tvingande inom EU, utan i alla länder som vill hantera kunder med europeiska betalkort. Handlar du från exempelvis USA kommer du därför behöva genomgå samma verifieringsprocess som om du handlar från Sverige.
Gäller SCA även transaktioner till Storbritannien?
Storbritannien har sökt uppskov från PSD2 fram till 2021.
Hur kan Open Banking påverka mig som lån- eller sparkund i en bank?
Inom en nära framtid spås Open Banking leda till appar som visar alla dina konton oavsett vilken bank du har dem i. Apparna kan sedan fyllas med tjänster som exempelvis automatiskt utmanar räntan på ditt nuvarande bolån eller flyttar ditt aktieinnehav dit courtagen är som lägst.
