Guide til de vigtigste punkter fra PSD2
PSD2 (Payment Service Directive 2) indeholder nogle obligatoriske krav og retningslinjer for onlinehandel for hele betalingsbranchen.
Det er et EU-direktiv, skabt for at sætte en fælles standard for betalingsbranchen i hele EU28/EAA.
Direktivet bliver en del af alle medlemslandenes lovgivning fra d. 13. Januar 2018. Lovgivningen kommer til at erstatte det gamle PSD1 direktiv, som kom helt tilbage i 2007.
Bemærk, at de nye regler om surcharging træder i kraft i Danmark allerede fra d. 1. Januar 2018 (§ 121).
PSD2s vigtigste ændringer i forhold til webshopejere (merchants) er:
- Ny lovgivning omkring surcharging
- Bedre og mere sikker betalingsgodkendelse
Ny lovgivning omkring surcharging - hvad betyder det?
PSD2 kommer til at regulere, hvornår man må sende transaktionsgebyret videre til kortholder - også kaldet surcharging. Dette afhænger nemlig af, om købet er foretaget på et forbrugerkort eller erhvervskort.
Hvad er forskellen på “forbrugerkort” og “erhvervskort”?
Forbrugerkort (B2C)
Betalingskort (Debet, kredit etc.), som er udstedt til individuelle privatpersoner. Disse kort er forbundet med deres individuelle, personlige bankkonti og bruges til at købe forbrugervarer, f.eks. services, mad, etc.
Erhvervskort (B2B)
Betalingskort (Debet, kredit etc.), som er udstedt til et firma, udelukkende til brug ved firmarelaterede aktiviteter. Dette kort er forbundet med firmaets bankkonti og bruges til at købe forretningsrelaterede produkter, f.eks. en firmabil, udstyr, computere, freelancere, etc.
Det bliver ulovligt at vælte kortgebyret over på private forbrugere (B2C)
At vælte gebyrer over på den private forbruger, bliver ulovligt.
Dette kommer til at gælde for alle typer forbrugerkort 1, dvs. alle debet- og kreditkort fra Visa, Mastercard, Dankort etc., på både danske og udenlandske betalinger.
De nye regler gælder for online, såvel som fysiske butikker.
Surcharging på erhvervskort (B2B) vil stadig være tilladt
Det vil stadig være lovligt, at vælte gebyret over på kunden, når denne benytter et firma- eller erhvervskort, da disse ikke er omfattet af reglerne om surcharging.
Hvordan skal jeg forholde mig til de nye regler?
Vigtigheden i at modtage Visa og Mastercard
På trods af forbudet mod surcharging på forbrugerkort, er brugen af Visa & Mastercard betalinger i hele Europa en meget vital del af din forretnings vækst - ikke mindst når man tænker på, at ikke-kontante transaktioner i 2016 steg med 8,5% i Europa.
Ifølge den Europæiske Centralbank var der i 2016 i Europa 122 milliarder transaktioner, som udelukkende var ikke-kontante. 49%, eller 59,6 milliarder, af disse transaktioner blev foretaget med betalingskort.
Værdien af de ovenstående transaktioner var på 2,9 billioner Euro. En Nilson Report fra 2016 viste følgende fordeling af transaktionerne:
- 66% Visa
- 31% Mastercard
- 3% AMEX
- <1% andre korttyper
Hvad du bør overveje
Når du ikke længere kan sende gebyret videre til dine kunder, kan du overveje følgende:
- Hvor kan jeg lave alternative besparelser virksomheden, nu hvor jeg ikke længere må vælte gebyret over på forbrugerne?
- Vil jeg inkludere betalingsgebyret i den samlede pris for mine produkter/services?
Bedre og mere sikker betalingsgodkendelse
PSD2 promoverer SCA (Strong Customer Authentication) i onlinebetalinger ved at gøre brugen af to-faktor autentifikation (2FA), også kaldet Two-Factor Authentication, obligatorisk. Implementeringen af 2FA har dog en overgangsperiode.
Denne godkendelsesproces betyder, at man kontrollerer, at den kunde, som er ved at gennemføre et køb i din webshop, rent faktisk også er ejeren af kortet, som benyttes ved købet.
2FA udføres ved at spørge den person, som foretager købet om 1. “den kendte” faktor (f.eks. kortdetaljer og/eller CVV osv.) og 2. “den ejede” faktor:
- Engangspassword (f.eks. en nummerkode sendt til kortholderens registrerede telefonnummer eller e-mail)
- Biometrisk feature (f.eks. kortholders fingeraftryk, der er tilknyttet kortet)
- QR-kode (en QR-kode på din skærm, som skal scannes af den mobilenhed, der er tilknyttet kortet. (Eksempelvis Google Authenticator)
Fordelene ved 2FA
- Kunderne er beskyttet mod tyveri
- Webshopejere (Merchants) er beskyttet mod svindel og potentielle chargebacks på grund af svindel
Overgangsperiode
PSD2 lovgivningen træder i kraft den 13. januar 2018, men der vil være en overgangsperiode - i hvert fald indtil september 2019. Dette betyder, webshopejer, udsteder og indløser har mulighed for ikke at anvende 2FA frem til september 2019.
Overgangsperioden er fastsat, for at de involverede parter kan vænne sig til de nye regler Regulatory Technical Standards2.
Undtagelser i forhold til 2FA-kravene
Tilbagevendende betalinger3 (f.eks. abonnementer og medlemskaber, der løbende trækkes på samme kort)
Kontaktløse elektroniske betalingstransaktioner på salgsstedet (POS), med visse undtagelser:
en enkelt transaktion må ikke overstige 50 euro
det samlede antal transaktioner må ikke overstige 150 euro eller 5 på hinanden følgende transaktioner uden godkendelse
Fjernbetalte elektroniske betalingstransaktioner af mindre beløb4, f.eks onlinebetalinger og Mobilepay, med visse undtagelser:
en enkelt transaktion må ikke overstige 30 euro
det samlede antal transaktioner må ikke overstige 100 euro eller 5 på hinanden følgende transaktioner uden godkendelse
Kunder, der får adgang til balancen på deres betalingskonti online i forbindelse med din webshop5, f.eks en wallet
Uovervågede terminaler ved f.eks. vejafgift, brobetaling og parkering
Betalinger til sig selv (dvs. når betaleren og betalingsmodtageren er den samme enhed med samme konto hos en indløser)
For at overholde 2FA-kravet fra PSD2 er den bedste mulighed at implementere 3-D Secure6 eller Apple Pay.
3-D Secure er en sikkerhedsfunktion, der er udviklet i samarbejde med Visa og Mastercard, blandt andet med det formål at godkende kortindehaveren i forbindelse med et køb. 3-D Secure beskytter din virksomhed mod bedrageri. 3-D Secure skifter ansvaret til udstedende bank.
Apple Pay er en sikker mobilbetaling og digital tegnebogstjeneste. Kunder kan betale med deres telefoner uden at skulle indtaste kort og personlige oplysninger, hver gang de ønsker at købe. Oplysningerne gemmes i Wallet-appen.
Clearhaus understøtter til 3-D Secure og Apple Pay transaktioner. Se vores features.
Læs det officielle PSD2 dokument. Vi anbefaler også at du sætter dig ind i de Regulatory Technical Standards (2FA).
1 - Forbrugerkort der en del af four-party scheme, der er omfattet af Interchange Fee Regulation. Kort fortalt er forordningen om udvekslingsgebyr et EU-direktiv, der angiver de maksimale gebyrer, som udstedende banker (kundernes banker) kan opkræve for at tilbyde tjenester relateret til korttransaktioner.
2 - The Regulatory Technical Standards blev udviklet af Den Europæiske Banktilsynsmyndighed sammen med Den Europæiske Centralbank.
3 - Hvis dine kunder skifter betalingskort eller der er andre ændringer i forhold til abonnementskunder, skal du muligvis udføre 2FA.
4 - Betalinger via nettet eller igennem en enhed, som kan bruges til fjernkommunikation.
5 - Første gang dine kunder får adgang til saldoen på deres betalingskonti eller wallet, skal 2FA anvendes. Hvis det er mere end 90 dage siden dine kunder senest har fået adgang til saldoen på deres betalingskonti, skal 2FA anvendes igen.
6 - 2FA fra PSD2 kræver mindst 3-D Secure version 1.0.2 for fuldt ud at opfylde kravet.
