Direktivet (2) om betaltjänster (Payment Services Directive 2, PSD2) kräver stark kundautentisering (SCA) för alla korttransaktioner som utförs ansikte mot ansikte (med kortet närvarande) eller i butiksmiljö.
Denna branschövergripande förändring införs enligt lag den 14:e september 2019 för att minska betalningsbedrägerier och förbättra säkerheten för konsumenter och företag i hela EU.
Stark kundautentisering
Stark kundautentisering innebär att bankerna måste verifiera att kortinnehavaren är den äkta ägaren av betalkortet innan de godkänner transaktionen.
För att bevisa att kunden är den äkta ägaren till kortet måste kortinnehavaren på begäran tillhandahålla minst två av tre möjliga autentiseringsfaktorer till sin bank.
Autentiseringsfaktorer
Dessa kan omfatta en kombination av två av följande:
Kunskap – detta avser något som bara kortinnehavaren och hans eller hennes bank känner till.
Pinkod är redan den industristandardmetod som används för att uppfylla detta krav.
Besittning – detta är något som kortinnehavaren har som erkänns av hans eller hennes bank.
I butiksmiljön uppfyller enheter med chip och pinkod och kontaktfritt automatiskt detta krav.
Tillhörighet – detta är något unikt för korthållaren och kan verifieras av hans eller hennes bank.
Fingeravtryck, ansiktsigenkänning eller irisskanning är exempel på faktorer som kommer att öka i användning och tillgänglighet med tiden i och med att tekniken utvecklas och mognar.
Chip- och pinkodstransaktioner
Chip och pinkod är ett väletablerat, beprövat och framgångsrikt inslag i det europeiska betalningslandskapet. Dessa transaktionstyper uppfyller redan tvåfaktorkravet och efterlever direktivet. Du kan fortsätta behandla dessa transaktioner på samma sätt som du gör idag.
Kontaktfria transaktioner
Bekvämligheten med kontaktlösa transaktioner av typen ”tryck och gå” kommer fortsättningsvis att användas, men de nya föreskrifterna sätter övre gränser för mängden eller kumulativa transaktionsbelopp som kan uppstå innan korthållarens bank krävs för att utmana och verifiera kortinnehavaren.
Kortinnehavare kan fortsätta att göra kontaktfria transaktioner under 50 EUR tills de gör antingen fem på varandra följande kontaktfria transaktioner utan att tillhandahålla autentisering eller det totala värdet för oautentiserade transaktioner överskrider 150 EUR. Dessa är de övre gränserna som sätts av tillsynsmyndigheter. Banker kan välja att implementera striktare kontroller om de anser att transaktionen är av hög risk eller så kan din nationella tillsynsmyndighet implementera lägre gränser.
Oavsett hur det blir kan du precis som idag inte förutse när dessa gränser nås eller vilken särskild transaktion som utlöser ”steget upp” när det kommer till säkerhet.
Om du redan accepterar många kontaktfria transaktioner genom ditt företag känner du förmodligen redan till den här processen. Det är i dessa situationer kontaktfria betalningar avvisas och kortinnehavaren uppmanas att ange sin pinkod eller sätta in sitt kort i kortläsaren för att utföra en chip- och pinkodstransaktion.
Detta fullbordar transaktionen och återställer kortinnehavarnas övre gränser vilket återställer deras möjlighet att bara ”trycka och gå” igen.
Manuellt bearbetade transaktioner – kortinnehavare närvarande
Manuellt bearbetade transaktioner där kortinnehavaren är närvarande kommer inte längre att tillåtas enligt föreskrifterna. Dessa transaktionstyper omfattar magnetband samt chip- och pinkods-”fall back”-transaktioner som slutförs genom att manuellt ange kortinformationen i betalningsenheten. Enligt lag måste dessa transaktionstyper nu nekas av bankerna eftersom de inte kan verifieras med två faktorer.
Manuellt bearbetade transaktioner – kortinnehavare EJ närvarande
Om du anger transaktioner i din betalningsenhet för hand eftersom du tar telefon- eller postorderbetalningar som en del av ditt företag kan du fortsätta att göra det. Transaktioner per postorder och telefonbeställning ligger utanför omfånget för föreskrifterna.
Undantag från stark kundautentisering
Oövervakade enheter för godkännande av kort
Av praktiska skäl gäller föreskrifterna inte för vissa branschtyper. Dessa undantag gäller endast för obevakade transport- och parkeringsmaskiner förknippade med Merchant Category Codes (MCC) för den branschen. Alla andra obevakade enheter, som bland annat försäljningsautomater omfattas av föreskrifterna och måste stödja möjligheten att utföra SCA på begäran via pinkod eller chip och pinkod.
Områden där föreskrifterna ej gäller – ”One Leg Out”
Lagen gäller endast inom Europeiska ekonomiska samarbetsområdet (EEA), vilket innebär att kort som utfärdats utanför detta geografiska område fortfarande kan behandlas inom EES som vanligt, inklusive magnetband och signatur, chip och pinkod, ”fall back” och manuellt inmatade transaktionstyper. Det är inte lätt att identifiera att ett kort har utfärdats av en bank utanför EES. Fortsätt att bearbeta dina transaktioner som du gör idag så kommer kortinnehavarens bank automatiskt att upptäcka att dessa transaktioner inte behöver utmanas.
Att förbereda sig för deadlinen
De största förändringarna som introducerats med de nya föreskrifterna kan upplevas i transaktionskanalerna med högre risk. Dessa är betalningstransaktioner som görs via fjärrkanaler som internet och mobiltelefoner, där kortinnehavaren inte är närvarande och stark kundautentisering inte redan används i stor utsträckning.
Otillgängligheten av lämpligt utvecklade teknikplattformar som krävs för att genomföra dessa förändringar har utmanat branschen och fått Europeiska bankmyndigheten att överväga en förlängning av deadlinen av tillämpningen.
Vissa nationella tillsynsmyndigheter har redan åtagit sig att förlänga tidslinjen för efterlevnad för dessa mer komplexa transaktionsflöden i den ”virtuella” miljön, så omedelbar verkställighet är inte att förvänta.
Detta är inte fallet för dina transaktioner i den fysiska världen. Är du beredd?
Vad detta innebär för din affärsverksamhet
Fortsätt att behandla dina korttransaktioner på försäljningsstället på dina enheter på samma sätt som du gör idag.
Upplevelsen av chip- och pinkodsbearbetningen kommer fortsättningsvis att vara oförändrad.
Du bör vara medveten om att du för kontaktfria transaktioner kan se en ökning i antalet gånger din kund ombeds att ange sin pinkod eller slutföra transaktionen genom att sätta in sitt kort i läsaren och utföra en chip- och pinkodstransaktion.
Dina kunders betalningsupplevelse kan variera under de första månaderna av implementeringen och övergången till de nya ”step up”-svar som bankerna kommer att införa. Vissa banker kommer att behöva gå igenom en fas med nytt utgivande av kort för att implementera ändringarna, och inte alla betalningsaccepterande enheter och deras anslutningsportaler och processorer förväntas kunna samordna sina uppdateringar i hela EU på ett exakt sätt.
Om ditt företag drivs av stora mängder kontaktfria transaktioner och du aktivt hanterar köer och upptagna kassor är det troligtvis på sin plats att ha mer personal tillgänglig i fall av en höjning av pinkods- eller chip- och pinkodsförfrågningar, men för det mesta behöver du bara att se till att din personal informeras om förändringen.
Vad du ska göra om en transaktion avvisas
Bearbeta dina kort och kontaktfria transaktioner på vanligt sätt.
Om en kontaktlös transaktion inte verkar fungera eller transaktionen avslås, råd kunden att sätta in sitt kort och utföra en chip- och pinkodstransaktion.
Under förutsättning att kortinnehavaren har tillgängliga medel på kontot återställer den här proceduren kortets övre gränser som ställts in av deras bank och transaktionen fortsätter.
Om transaktionen fortfarande avvisas, råd kortinnehavaren att kontakta sin bank och begär i det fallet en annan betalningsmetod.
Riskera inte att förlora transaktioner eller förlora kunder.
Se till att all din personal är medvetna om dessa förändringar. Att öka säkerhetsnivån för transaktioner hjälper oss alla att skydda oss mot bedrägeri.