Hovedpoengene fra PSD2 - Hvordan du kan imøtekomme kravene
PSD2 (Payment Service Directive 2) inneholder noen obligatoriske krav og retningslinjer for e-handel for hele betalingsbransjen.
Det er et EU-direktiv skapt for å sette en felles standard for betalingsbransjen i hele EU/EØS.
Direktivet blir en del av alle medlemlandenes lovgivning fra 13. Januar 2018. Direktivet kommer til å erstatte det gamle PSD1 direktivet, som kom i 2007.
PSD2s viktigste endringer i forhold til nettbutikkeiere (forhandlere) er:
- Ny lovgivning omkring surcharging
- Bedre og mer sikker betalingsgodkjennelse
1. Ny lovgivning for surcharging - hva betyr det?
PSD2 regulerer når man kan sende kortgebyret (transaksjonsgebyret) videre til kortholder - også kalt surcharging. Dette er nemlig avhengig av om kjøpet er foretatt med et forbrukerkort eller et bedriftskort.
Hva er forskjellen på “forbrukerkort” og “bedriftskort”?
Forbrukerkort (B2C)- Betalingskort (Debet, kredit etc.), som er utstedt til individuelle privatpersoner. Disse kortene er forbundet med deres individuelle, personlige bankkonto og brukes til å kjøpe forbruksvarer, som for eksempel tjenester, mat, osv.
Bedriftskort (B2B)- Betalingskort (Debet, kredit, etc) som er utstedt til et firma, utelukkende til bruk ved firmarelaterte aktiviteter. Dette kort er forbundet med firmaets bankkonto og brukes til å kjøpe forretningsrelaterte produkter, for eksempel en firmabil, utstyr, PC’er, freelancere, etc.
1.1. Det blir ulovlig å velte kortgebyret over på private forbrukere (B2C)
Det blir ulovlig å velte gebyrer over på den private forbrukeren.
Dette kommer til å gjelde alle typer forbrukerkort 1, det vil si alle debet- og kredittkort fra Visa, Mastercard, Dankort etc., på både norske og utenlandske betalinger.
De nye reglene gjelder for online, såvel som fysiske, butikker.
1.2. Surcharging på bedriftskort (B2B) vil fortsatt være tillatt
Det vil fortsatt være lovlig å velte gebyret over på kunden når han benytter et bedriftskort, da denne typen kort ikke er omfattet av reglene om surcharging.
Hvordan skal jeg forholde meg til de nye reglene?
Viktigheten i å motta Visa og Mastercard
På tross av forbudet mot surcharging på forbrukerkort, er bruken av Visa og Mastercard betalinger i hele Europa en meget vital del av din forretningsvekst - ikke minst når man tenker på at kontantløse transaksjoner i Europa steg med 8,5% i 2016.
Ifølge den Europeiske Sentralbanken var det i 2016 122 milliarder transaksjoner i Europa, som utelukkende var kontantløse. 49% eller 56,9 milliarder, av disse transaksjonene ble foretatt med betalingskort.
Verdien av de ovennevnte transaksjonene var på 2,9 billioner Euro. En Nilson Report fra 2016 viste følgende fordeling av transaksjonene:
- 66% Visa
- 31% Mastercard
- 3% AMEX
- <1% andre korttyper
Hva bør du overveie
Når du ikke lenger kan sende gebyret videre til kundene dine, kan du vurdere følgende:
- Hvor kan jeg finne alternative besparelser, nå når jeg ikke lenger kan velte gebyret over på forbrukerne?
- Vil jeg inkludere kortgebyret i den samlede prisen for produktene/tjenestene mine?
2. Bedre og mer sikker betalingsgodkjennelse
PSD2 promoterer SCA (Strong Customer Authentication) for onlinebetalinger ved å gjøre bruken av to-faktor autentisering (2FA), også kalt Two-Factor Authentication, obligatorisk. Implementering av 2FA har dog en overgangsperiode.
Denne autentiseringsprosessen betyr, at man kontrollerer, at kunden som gjennomfører et kjøp i din nettbutikk, faktisk er eieren av kortet som benyttes ved kjøpet.
2FA utføres ved å spørre personen som foretar kjøpet om 1.”den kjente” faktoren (for eksempel kortdetaljer og/eller CVV osv.) og 2. “Den ekte” faktoren:
Engangspassord (for eksempel en kode som sendes til kortholderens registrerte telefonnummer eller e-mail).
Biometrisk funksjon (for eksempel kortholders fingeravtrykk som er tilknyttet kortet)
QR-kode (en QR-kode på skjermen din, som skal scannes av den mobile enheten som er tilknyttet kortet (eksempelvis Google Authenticator App)).
Fordelene ved 2FA
- Kundene er beskyttet mot tyveri
- Nettbutikkeiere (forhandlere) er beskyttet mot svindel og potensielle chargebacks på grunn av svindel
Overgangsperioden
Lovgivningen trer i kraft 13. Januar 2018, men det vil være en overgangsperiode - i hvert fall frem til september 2019. Dette betyr at nettbutikkeier, utsteder og innløser har mulighet for å ikke benytte 2FA fram til september 2019.
Overgangsperioden er fastsatt for at de involverte partene kan venne seg til de nye reglene, Regulatory Technical Standards2.
Unntakene til 2FA-kravene
Tilbakevendende betalinger3 (for eksempel abonnementsbetalinger og medlemsskaper som løpende trekkes fra samme kort)
Kontaktløse elektroniske betalingstransaksjoner på salgsstedet (POS), med visse unntagelser:
- En enkelt transaksjon må ikke overstige 50 Euro
- Det samlede antallet transaksjoner må ikke overstige 150 Euro og hver femte transaksjon må godkjennes
Fjernbetalte elektroniske betalingstransaksjoner av mindre beløp4, for eksempel onlinebetalinger og Mobile Pay, med visse unntak:
- En enkelt transaksjon må ikke overstige 30 Euro
- Det samlede antall transaksjoner må ikke overstige 100 Euro og hver femte transaksjon må godkjennes.
Kunder som får adgang til balansen på deres betalingskonto online, i forbindelse med din nettbutikk, for eksempel via en lommebok5
Uovervåkede terminaler, for eksempel veiavgift, bompenger og parkering.
Betalinger til seg selv (dvs. Når betaleren og betalingsmottakeren er den samme enhet med samme konto hos en innløser)
For å overholde 2FA-kravene fra PSD2 er den beste muligheten å implementere 3-D Secure6 eller Apple Pay.
3-D Secure er en sikkerhetsfunksjon som er utviklet i samarbeid med Visa og Mastercard, blant annet med det formål om å godkjenne kortholderen i forbindelse med et kjøp. 3-D Secure beskytter virksomheten din mot bedrageri. 3-D Secure skyver ansvaret over på utstedende bank.
Apple Pay er en sikker mobilbetaling og digital lommebok.Kunder kan betale med deres telefoner uten å måtte taste inn kortinformasjon og personlige opplysninger, hver gang de ønsker å handle. Opplysningene gjemmes i Wallet-appen.
Clearhaus støtter 3-D Secure og Apple Pay transaksjoner. Se våre funksjoner.
Les det offisielle PSD2-dokumentet. Vi anbefaler også at du setter deg inn i Regulatory Technical Standards (2FA).
1 - Forbrukerkort er en del av four-party scheme som er omfattet av Interchange Fee Regulation. Kort fortalt er reguleringen om kortgebyr et EU-direktiv, som opplyser de maksimale gebyrene, som utstedende banker (kundenes banker) kan kreve for å tilby tjenester relatert til korttransaksjoner.
2 - The Regulatory Technical Standards ble utviklet av Den Europeiske Banktilsynsmyndigheten sammen med Den Europeiske Sentralbanken.
3 - Dersom kundene dine skifter betalingskort eller det oppstår endringer i forhold til abonnementskunder, må du muligens benytte 2FA.
4 - Betalinger via nettet eller gjennom en enhet som kan benyttes til fjernkommunikasjon.
5 - Første gang dine kunder får adgang til saldoen på deres betalingskonto eller lommebok, skal F2A benyttes. Dersom det er mer enn 90 dager siden kundene dine har fått adgang til saldoen på deres betalingskonto, skal 2FA anvendes på nytt.
6 - 2FA fra PSD2 krever minst 3-D Secure versjon 1.0.2 for fullt å oppfylle kravet.