PSD2 - Vanliga frågor och svar

Här hittar du svar på några av de vanligaste frågorna om EU-direktivet PSD2 och dess tekniska komponenter RTS och SCA.

Frågor och svar

Om du vill ha mer bakgrund kring vad PSD2 är för något och hur det påverkar dig kan du läsa vår artikel "PSD2 - Allt du behöver veta".

  • Hur påverkar PSD2 mig som tar emot kortbetalningar?

    Du som tar betalt med kort påverkas på flera sätt, bland annat eftersom dina kunder kommer att behöva legitimera sig med stark kundverifiering (SCA) vid betalning.

    SCA

    Stark kundautentisering innebär att kunderna vid kortbetalning behöver legitimera sig med minst två av följande:

    • något man kan, till exempel ett lösenord
    • något man har, till exempel ett kort eller en smartphone
    • något man är, till exempel sitt fingeravtryck.

    Tar du betalt med en kortterminal så innebär det att dina kunder måste legitimera sig med exempelvis PIN-kod eller biometriska metoder som exempelvis fingeravtryck.

    Betalning via magnetspår, manuell inmatning av kortuppgifter samt signaturköp är inte längre möjliga för kunder med kortutgivare inom EU/EES. Din kortterminal måste alltså kunna ta stödja Chip & PIN samt Kontaktlöst.

    Om du har en e-handel innebär det att kunderna vid Kortbetalning behöver legitimera sig enligt 3D Secure.

    Köp med Signatur

    Signaturköp, det vill säga när kunden använder sitt kort och väljer att godkänna sitt köp med sin namnteckning, kommer inte att vara tillåtna för de kort utgivna inom EU/EES enligt PSD2-direktivet. Vissa kortutgivare inom EU/EES har ännu inte stängt av signaturmöjligheten men kommer att behöva göra det för att uppfylla kraven. I dessa fall kommer kunden att behöva ange sin PIN-kod för att genomföra köpet eller hänvisas till sin kortutgivare.

    PIN-kod vid låga belopp

    Vid kortbetalning i terminal där beloppet är upp till 400 kr behöver kunden vanligtvis inte ange sin PIN-kod. Men i och med PSD2 behövs PIN-kod ibland av säkerhetsskäl även vid låga belopp. Det är kundens kortutgivare som bestämmer när PIN-kod ska anges. Det kan vara när kunden har uppnått ett visst totalbelopp eller ett visst antal köp även om beloppen har varit låga.

    Kortbetalning med okänt slutbelopp

    PSD2 ställer högre krav på branscher där man inte vet vilket det exakta slutbeloppet kommer att bli för kunden. Dessa branscher är exempelvis biluthyrning, hotell, parkering och drivmedel. Kunden behöver i dessa fall tydligt informeras om vilket belopp som kommer att reserveras på kortet och acceptera beloppet innan betalningen genomförs.

    För dig som är jobbar inom dessa branscher är det viktigt att i samband med kortbetalning alltid informera kunden om vilket belopp som kommer att reserveras.

    Vidaredebitering

    Enligt lag finns det idag ett förbud mot vidaredebitering (extra avgift) av kortkund i samband med kortbetalning och detta förbud kommer finnas kvar i Sverige.  För Danmark och Finland förändras lagen genom att förbudet förändras till att endast omfatta privata kort som är utgivna av en kortutgivare inom EU. Förbudet gäller både fysisk miljö, e-handel, automat samt telefonorder. I Norge finns det inget förbud mot vidaredebitering och här sker ingen förändring.

  • Vad är RTS?

    Det är en ny teknisk standard (Regulatory Technical Standard) som är till för att kunna genomföra syftet med det andra Betaltjänstdirektivet från EU/EES (PSD2) exempelvis SCA. Den tekniska standarden är obligatorisk och införs via lagstiftning i EU-länderna.

  • Vad omfattas av RTS när det gäller kraven på stark kundautentisering?

    • Kortbetalning i terminal
    • Kortbetalningar via webbsida och/eller app
    • Förenklad kortbetalning (köp via lagrad kortinformation)
    • Alla kortköp där kortutgivaren är inom EU/EES
  • Vad omfattas inte av RTS när det gäller kraven om stark kundautentisering?

    • Kortköp som görs utan att kortkunden är närvarande, till exempel
    • Abonnemangsbetalningar (så kallad Recurring)
    • Telefonorder (utan betallänk)
    • Anonyma förbetalda kort (så kallade Prepaid-kort, presentkort)
    • Kortköp där kortutgivaren är utanför EU/EES
  • Finns det några undantag från SCA?

    Ja. För att kortkunden ska få en smidig och positiv köpupplevelse kan kortutgivare (och ibland kortinlösare) använda sig av några definierade undantag från stark kundautentisering.

    Dessa undantag är:

    • Kortköp på upp till motsvarande 30 euro, dock med begränsningar på antal och belopp enligt kortutgivarens beslut.
    • Kortköp mellan motsvarande 30 och 500 euro där en riskbedömning utförts av kortutgivare och i förekommande fall kortinlösare.
    • Kortköp som initieras av butik utan att kortkunden är närvarande, till exempel abonnemangsbetalningar (så kallad Recurring).

    Trots alla undantag som finns är det alltid kortutgivaren som har sista ordet och kan alltid välja att begära och genomföra en stark kundautentisering (så kallad step-up). Hur kortutgivaren kommer att göra är alltså inte känt innan kortköpet genomförs.

  • Vad är EMV 3DS?

    Kortutgivarna (exempelvis Mastercard, Visa, AMEX) har enats om en ny version av den tekniska standarden för 3D Secure med ännu säkrare och enklare sätt för kortkunder att legitimera sig. Den nya versionen kallas EMV 3DS och innebär bland annat:

    • Krav på att skicka mer information till kortutgivaren om kunden och kortbetalningen för en bättre riskbedömning. Exempel är adressuppgifter, kundens e-post och telefonnummer.
    • Att kortutgivare har möjlighet att erbjuda nya sätt för kortkunder att legitimera sig, till exempel biometriska metoder (fingeravtryck och liknande).
    • En anpassning av gränssnitt för mobila enheter.

    Den nya versionen av 3D Secure ska vara implementerad och aktiverad hos e-handlare senast 1 juli 2020.

  • Vad behöver jag som har en e-handel göra kring EMV 3DS?

    • Installera och aktivera 3D Secure (EMV 3DS).
    • Kontakta din betalväxel för att få instruktioner om vilka förändringar som du som butik behöver göra i anropen till betalväxeln, exempelvis mer information om kortbetalningen.
    • Kontakta din betalväxel för att diskutera tillgängliga övervakningssystem för att du ska kunna få kontroll på eventuellt bedrägliga korttransaktioner.
  • På vilket sätt blir jag med kortinlösen via terminal berörd av lagändringen?

    Tar du betalt med en kortterminal så innebär det att dina kunder måste verifiera sig med exempelvis PIN-kod eller biometriska metoder som tumavtryck. Betalning via magnetspår, manuell inmatning av kortuppgifter och signatur, eller Chip och signatur är inte längre möjliga för kunder med kortutgivare inom EU/EES. Din terminal måste alltså kunna ta emot betalning via Chip & PIN.

    Dina kortkunder kan även vid låga belopp behöva ange till exempel PIN-kod (eller blir hänvisad att genomföra en kortbetalning med Chip & PIN-kod). Det beror på att kortkundens kortutgivare då och då kräver att kortkunden legitimerar sig på ett säkert sätt även vid låga belopp.

  • Varför behöver mina kunder slå in PIN-kod vid lågt belopp och kontaktlös betalning?

    Det är din kunds kortutgivare som bestämmer när PIN-kod ska anges. Det krävs av säkerhetsskäl PIN-kod efter att kunden har uppnått ett visst totalbelopp eller ett visst antal köp även om beloppen är under gällande beloppsgräns.

  • Varför behöver jag skaffa en teknisk lösning med Chip & PIN?

    Den nya lagstiftningen kräver att kortkunden ska godkänna köpet med PIN-kod, eller annan godkänd legitimeringsmetod.

  • Varför kan jag inte använda magnetspår/signatur på kort utgivna av EU/EES-länder?

    Lagstiftningen kräver att kortkunden ska godkänna köpet med en stark kundautentisering och anser att signatur inte är en godkänd legitimeringsmetod. Kunder med kort utanför EU/EES berörs inte av lagstiftningen och därför behöver signaturfunktionen fortsättningsvis finnas kvar.

  • Jag brukar knappa in kortnummer manuellt, kommer jag kunna fortsätta med det?

    På kortkunder med kort utgivna inom EU/EES kan kortutgivarna komma att neka kortköp som är manuellt inknappade.

  • Finns det andra godkända legitimeringsmetoder förutom PIN-kod?

    Ja, enligt nya lagstiftningen är även biometriska metoder så som fingeravtryck, ansiktsscanning och ögonigenkänning godkända.

  • Hur kommer köp med iPhone/Samsung att påverkas för mina kunder som använder Apple Pay eller Samsung Pay?

    En godkänd legitimeringskod krävs i samband med köpet, det vill säga att din kund behöver verifiera sig med godkänd legitimeringsmetod så som tumavtryck, ansiktsscanning eller ögonigenkänning.

  • Hur kommer köp med Apple Watch/Garmin/Fitbit att påverkas för mina kunder som använder Apple Pay och Samsung Pay?

    En godkänd legitimeringskod krävs i samband med köpet, det vill säga att din kund kan komma att verifiera sig med godkänd legitimeringsmetod (PIN kod).

  • Vad behöver jag som tar betalt via en kortterminal göra nu?

    Din kortterminal måste kunna ta emot betalningar med både Chip & PIN och Kontaktlöst.