Pressemeddelelse
Planerne betyder, at danske netbutikker i løbet af oktober 2020 bør begynde at bruge de nye IT-løsninger for at være sikre på at undgå afviste kortbetalinger. Reglerne træder i kraft 1. januar 2021, men allerede nu bør netbutikkerne gøre sig klar til de nye regler.
De europæiske tilsynsmyndigheder har fastsat en fælles implementeringsperiode med én deadline for håndhævelsen af de nye regler om stærk kundeautentifikation for kortbetalinger i e-handlen den 1. januar 2021. Målet med implementeringsperioden er at undgå store forstyrrelser i e-handlen. Det betyder, at alle kortudstedere (typisk pengeinstitutter) og kortindløsere i EU fra den 1. januar 2021 som udgangspunkt skal afvise kortbetalinger i netbutikker, der ikke er godkendt med stærk kundeautentifikation. Den fælles europæiske deadline betyder, at der vil være lige vilkår for alle kortudstedere, kortindløsere og netbutikker i hele EU.
For at sikre en stabil betalingsafvikling henover årsskiftet og for at undgå driftsmæssige forstyrrelser i julehandlen vil Finanstilsynet undtagelsesvist acceptere, at stærk kundeautentifikation i praksis anvendes for alle betalinger senest den 11. januar 2021. Det betyder, at Finanstilsynet forventer, at pengeinstitutter og andre kortudstedere senest fra 11. januar 2021 begynder at afvise kortbetalinger, der ikke er korrekt godkendt med stærk kundeautentifikation. Finanstilsynet understreger dog, at kravet om stærk kundeautentifikation har været gældende siden 14. september 2019.
Set i lyset af den lange tid, som sektoren og detailhandlen har haft til at komme på plads, finder Finanstilsynet det beklageligt, at en samlet løsning ikke kan være helt klar til 1. januar 2021, uden at dette kan give betydelige udfordringer for handlen i den resterende del af 2020. Finanstilsynet har derfor fundet anledning til at indskærpe kravene over for både sektoren og detailhandlen, og tilsynet forventer at følge op med tilsynsindsatser i begyndelsen af 2021.
Hvad er stærk kundeautentifikation?
Stærk kundeautentifikation – også kaldet tofaktor-autentifikation – indebærer, at der skal anvendes mindst to faktorer til at godkende en betaling. De to faktorer skal være noget, betaleren ved (f.eks. et password); noget, betaleren har (f.eks. en mobiltelefon, der kan modtage en engangskode); eller noget, betaleren er (f.eks. et fingeraftryk). Reglerne gælder i hele EU.
Formålet med reglerne er at styrke sikkerheden ved elektroniske betalinger i Europa. ECB opgjorde i august 2020 omfanget af misbrug med betalingskort i EU i 2018 til at udgøre 1,8 milliarder euro.
Hvad sker der nu, og hvad skal man gøre som netbutik?
Finanstilsynet har godkendt planer fra danske kortindløsere og pengeinstitutter for, hvordan de vil leve op til de nye regler inden den 1. januar 2021. Planerne indebærer, at alle aktørerne har systemerne på plads inden 1. januar 2021. For at sikre en stabil betalingsafvikling henover årsskiftet og forhindre it-problemer i juleperioden forventer Finanstilsynet som nævnt, at stærk kundeautentifikation senest anvendes for alle betalinger den 11. januar 2021.
Netbutikker og deres betalingsgateways bør derfor allerede nu forberede sig på de nye regler. Forberedelserne bør indebære, at de nye IT-løsninger er ordentligt testet og fungerer i praksis i god tid før den 1. januar 2021. Fungerer IT-løsningerne ikke ordentligt, risikerer netbutikker at få afvist sine betalinger. For at undgå afviste betalinger bør netbutikkerne derfor tage de nye IT-løsninger i brug snarest muligt. Alle kortindløsere og pengeinstitutter skal være klar til at understøtte brugen af de nye løsninger.
Finanstilsynet understreger, at implementeringsperioden ikke ændrer på, at reglerne om stærk kundeautentifikation trådte i kraft den 14. september 2019. Dette er bl.a. relevant for hæftelses- og ansvarsreglerne i lov om betalinger i tilfælde af, at der ikke er anvendt stærk kundeautentifikation.
Hvis netbutikker er i tvivl, om de er klar til de nye regler, bør de rette henvendelse til deres udbyder af betalingsgateway eller til deres kortindløser. Kortindløseren vil kunne oplyse nærmere om, hvordan implementerings-planerne vil påvirke den enkelte netbutik og betalingsgateway.
Finanstilsynet forventer at gennemføre tilsyn hos pengeinstitutter og kortindløsere i løbet af februar og marts 2021 med henblik på at sikre, at reglerne bliver implementeret. Tilsynet planlægges til februar og marts for at sikre, at pengeinstitutterne og kortindløserne har tid til at sikre at implementeringen er gennemført korrekt i løbet af januar, under hensyn til bl.a. IT-sikkerhedsmæssige tiltag som frozen zone, hvor der ikke sættes nye it-løsninger i produktion henover med årsskiftet.