Misbrug med danske betalingskort er stigende. Misbruget udgjorde i 2018 ifølge Nationalbanken ca. 301 mio. kr., og heraf var knap 80 % af misbruget i onlinehandel. Derfor foreskriver de nye regler, at alle online betalinger skal opfylde kravene til ”stærk kundeautentifikation”.
Stærk kundeautentifikation – også kaldet to-faktor autentifikation – betyder, at der skal anvendes mindst to faktorer til at godkende en betaling. De to faktorer skal være noget, betaleren ved (fx et password), noget betaleren er (fx et fingeraftryk), eller noget betaleren har (fx et betalingskort).
Hvis du ikke har styr på to-faktor autentifikationen inden reglerne træder i kraft, vil betalinger i din webshop herefter blive afvist.
De nye EU-regler skulle træde i kraft den 14. september 2019, men Finanstilsynet har udsat datoen for indførslen til 14. marts 2021. Det skyldes ifølge Finanstilsynet at
"en lange række forretninger og såkaldte betalingsgateways, der leverer tekniske løsninger til e-butikkerne, ikke har nået at implementere de nye løsninger.
... Finanstilsynet vil derfor tillade, at kortudstedere, kortindløsere og e-handelen får yderligere 18 måneder til at sikre, at de nye regler overholdes." Kilde: Finanstilsynet
Det er ikke helt nyt
Du kender det faktisk allerede fra fysisk handel i dag, når du betaler med chipkort (noget du har) og pinkode (noget du ved). Undtagelsen er dog kontaktløs betaling på beløb under 350 kr.
Og du kender sikkert også allerede to-faktor autentifikation fra nogle internetbutikker, hvor du modtager en sms-kode på din mobil, som skal indtastes, før en betaling kan gennemføres.
Jeg har styr på det...
FDIH forventer, at betalinger foretaget under de eksisterende Verified by Visa, Dankort Secured by Nets og MasterCard SecureCode vil blive betragtet som ”sikre”. Så hvis din webshop allerede bruger disse, er du sandsynligvis på den sikre side – men tjek hellere med din betalingsleverandør.
Der er enkelte undtagelser, hvor ikke-fysiske betalinger kan slippe for to-faktor godkendelse:
- Små betalinger på op til 225 kr.
- Betalinger til personer eller virksomheder, som betaleren selv har opført på en liste over ”betroede modtagere”
- Tilbagevendende betalinger med direkte korttræk (fx abonnementer), når blot den første betaling i rækken er godkendt med stærk kundeautentifikation
... men bliver mit salg påvirket af to-faktor autentifikationen?
Den første gang din kunde støder på fx Verified by Visa eller Dankort Secured by Nets, skal hun registrere sit mobilnummer og bekræfte med NemID. Og dét kan tage shopping-humøret fra os alle!
Så du vil nok opleve, at der er en afmatning i salg blandt dine kunders førstegangssessioner.
En del af de webshops, der allerede benytter to-faktor godkendelsen, har oplevet et fald i salget, og kunder har måske prøvet at finde samme produkt i en anden webshop med færre barrierer. Lyspunktet her er, at kravet om to-faktor autentifikation gælder ALLE ikke-fysiske betalinger i EU, herunder Danmark. Så det er altså ikke nemmere at shoppe hos konkurrenten.
Gør det nemt for dine kunder
Heldigvis har vi i Danmark betalingskortets nemme bror, MobilePay, som vi kan ty til!
Flere betalinger vil sandsynligvis flytte til MobilePay, hvis kunderne ikke lige orker at sætte sig ind i den nye to-faktor godkendelse. Og da rigtig mange forbrugere har app’en installeret i forvejen og stoler på den, vil det synes som et nemmere check-out. For at kunden kan bruge MobilePay som betalingsmiddel ved e-handel kræver det blot en engangsbekræftelse via NemID.
FDIH forventer, at også MobilePay vil blive betragtet som to-faktor autentifikation, da den opfylder ”noget betaleren har” (betalingskortet tilknyttet MobilePay) samt ”noget betaleren ved/er” (kode/fingeraftryk). Det samme gælder Apple Pay, der bliver en stor konkurrent til MobilePay, når det for alvor rulles ud.
Hvad kan jeg ellers gøre for at hjælpe mine kunder?
Jeg anbefaler disse to konkrete steps, hvis du vil være så klar som muligt til de nye regler træder i kraft 14. marts 2021:
- Vær forberedt: Sørg for, at din webshop tilbyder en eller flere mobilbetalinger. Med MobilePay, Apple Pay, Facebook Pay og flere på vej bør du tilbyde de mest populære betalingsmuligheder, som du forventer, din målgruppe benytter.
- Informer om, hvad der vil ske: Tag dine kunder i hånden, og hjælp dem gennem check-out. Sørg for, at de er klar over, at et klik på ”Gå til betaling” kræver to-faktor godkendelse, at det tager under to minutter første gang, at det er for deres egen sikkerhed, og at det er EU-krav, som de vil møde overalt (læs: ”Alle de andre gør det også!”)
To-faktor autentifikation a.k.a. ”Stærk kundeautentifikation” vil sandsynligvis påvirke dit salg i starten, men ikke i det lange løb. Ændringerne gælder nemlig ikke kun dig, men også alle dine konkurrenter. Derudover vil flere betalinger sandsynligvis flytte til kendte og troværdige apps med mobilbetaling.
Om forfatteren
Er der noget, du er usikker på, eller har du andre spørgsmål til to-faktor autentifikation? Så send mig endelig en mail, og lad os snakke om det.