Nye regler for betaling vil påvirke våre kunder

Publisert september 11, 2019

EUs betalingstjenestedirektiv, PSD2, trådte i kraft i april i år, mens de tekniske kravene gjelder fra 14. september. Formålet med dette direktivet er å fremme sikre og enkle betalinger. EnterCards Head of Legal, Jens Von Friesendorff, forklarer hva dette betyr for våre kunder.

Som Head of Legal hjelper Jens Von Friesendorff selskapet med å følge lover og regelverk. Det kan være spørsmål om forbrukerrett, selskapsrett og kontraktsrett.

Forklar mer om PSD2-direktivet som ble innført for ett år siden

– Implementeringen skjer i to steg. Det første steget omfatter nye retningslinjer, oppdaterte kundevilkår og regler for håndtering av uautoriserte transaksjoner. Det andre steget, som gjelder fra 14. september, omfatter åpning av kanaler for tredjepartsleverandører gjennom såkalte APIer, og krav om sterk kundeautentisering.

Hva er APIer?

– Et API er en inngang til våre systemer og kundedata. En tredjepartsleverandør kan få tilgang til kundens konto dersom kunden har godkjent dette, og tredjeparten har de riktige sertifikatene. Det er en relativt enkel og standardisert prosess, men for å legge til rette for det kreves en god del utvikling hos banker, kredittselskap og tredjepartsleverandører.

– Om en kunde vil bruke for eksempel appen Tink for å få et samlet bilde av alle sine kontoer hos ulike banker, forutsetter det at Tink kobler seg opp mot EnterCards APIer. Da kan de på en sikker måte få tilgang til våre systemer og kundedata slik at de kan tilby de tjenestene de skal.

Hvordan påvirkes kundene av det nye direktivet?

– Kunder blir først og fremst berørt av nye krav til hvordan de skal autentisere seg, såkalt sterk kundeautentisering. Et eksempel er signaturkjøp i fysisk butikk hvor kunden tidligere hadde mulighet til å godkjenne en betaling ved å signere kvittering istedenfor å oppgi PIN-kode. Denne praksisen har vært uvanlig i Norge, men var mer utbredt i andre land. Muligheten for godkjenne betalinger uten pin kode vil i løpet av kort tid bli fjernet.

Vi har forberedt kundebehandlerne våre gjennom god opplæring, og vi har en solid kommunikasjonsplan på plass slik at vi kommuniserer med kunder og partnere både proaktivt og reaktivt.

– Nettbutikker må møte de nye kravene til autentisering ved å slutte seg til 3D Secure – en sikkerhetsfunksjon ved betaling på nett hvor kjøpet verifiseres med BankID eller engangskode på SMS. Transaksjoner over 30 euro skal følge kravene for sterk kundeautentisering.

Jens Von Friesendorff påpeker at det egentlig ikke kreves at butikkene møter kravene om sterk kundeautentisering, men at de i praksis er tvunget til å gjøre det. De nye kravene til banker og kredittselskap innebærer derfor at visse transaksjoner kan komme til å bli avvist fordi en del butikker ikke har tilpasset seg regelverket raskt nok.

– For EnterCard er det viktig at kundene våre forstår hvorfor en transaksjon eventuelt ikke kan godkjennes. 

Er markedet klare for de nye tekniske kravene?

– Ja. Det første PSD-direktivet trådte i kraft i 2010, og siden da har sikkerheten blitt stadig bedre. Markedet har også trengt tid på å forberede seg, og har for eksempel oppdatert store og komplekse betalingssystemer. Teknologien utvikles kontinuerlig, noe som muliggjør sterk kundeautentisering og åpne kanaler. Så de tekniske kravene kommer til riktig tid.