Generelle emner

En udbyder af betalingstjenester skal anvende stærk kundeautentifikation af brugeren, medmindre andet følger af forordninger eller regler udstedt af Kommissionen. Du kan læse mere om stærk kundeautentifikation her.

Stærk kundeautentifikation


I medfør af PSD2-direktivets art. 97 skal en udbyder af betalingstjenester anvende stærk kundeautentifikation af brugeren, medmindre andet følger af forordninger eller regler udstedt af Kommissionen i medfør af direktivets art. 98. Reglerne om stærk kundeautentifikation implementeres ved betalingslovens § 128. Kravet om anvendelse af stærk kundeautentifikation træder i kraft sammen med de reguleringsmæssige tekniske standarder, hvilket forventes at ske i andet kvartal 2019.

Hvad er stærk kundeautentifikation?

Stærk kundeautentifikation kaldes også to-faktor kundeautentifikation. Stærk kundeautentifikation indebærer, at betalingstjenesteudbyderen skal anvende minimum to af tre sikkerhedselementer, der er kategoriseret som viden, besiddelse og iboende egenskab.

  • Viden indebærer, at sikkerhedselementet skal indeholde noget, som kun brugeren ved, eksempelvis et kodeord eller en PIN-kode.

  • Besiddelse indebærer, at sikkerhedselementet skal indeholde noget, som kun brugeren besidder, eksempelvis en enhed eller applikation som kan generere en tidsbegrænset engangskode til en online betaling, eller chippen i et betalingskort ved en fysisk betaling.

  • Iboende egenskab indebærer, at sikkerhedselementet skal indeholde noget, som kun brugeren er, eksempelvis brugerens fingeraftryk eller anden unik biometrisk data.

Sikkerhedselementerne skal være uafhængige, så brud på ét sikkerhedselement ikke svækker pålideligheden af de øvrige sikkerhedselementer.

Eksempler på allerede eksisterende stærk kundeautentifikation er NemID, online kortbetalinger ved hjælp af SMS-kode, eller kombinationen af chip og kode ved betaling i en fysisk butik.

Udbydere af betalingstjenester skal som udgangspunkt anvende stærk kundeautentifikation af brugeren, hver gang brugeren ønsker at tilgå en betalingskonto online, initiere en elektronisk betaling, eller udføre handlinger gennem en fjernkanal som kan indebære en risiko for misbrug. Kundens bank skal ifølge betalingslovens § 128, stk. 5 tilbyde betalingstjenesteudbydere, at den stærke kundeautentifikation kan foretages med de autentifikationsprocedurer, som banken stiller til rådighed for sine brugere.

Undtagelser

For at øge brugervenligheden ved lavrisikobetalinger og lavrisikoydelser indeholder direktivet i art. 98 hjemmel til, at Kommissionen kan vedtage undtagelser til kravet om brug af stærk kundeautentifikation. Undtagelserne i medfør af direktivets art. 98 fastsættes i de reguleringsmæssige tekniske standarder, som udarbejdes af The European Banking Authority (EBA).

Lavrisikobetalinger vil typisk være betalinger af lave beløb, mens lavrisikoydelser typisk vil være adgang til online kontoinformation, uden at der sker afsløring af følsomme betalingsdata.

EBA offentliggjorde i februar 2017 dets endelige udkast til de reguleringsmæssige tekniske standarder, som derefter blev sendt til godkendelse ved Kommissionen. Kommissionen har imidlertid foreslået fire ændringer til væsentlige dele af de reguleringsmæssige tekniske standarder. EBA har udtrykt utilfredshed med tre af de fire ændringsforslag, men det er nu op til Kommissionen at afgøre, om man vil gennemtvinge ændringerne alligevel. De reguleringsmæssige tekniske standarder finder anvendelse 18 måneder efter deres offentliggørelse i Den Europæiske Unions Tidende. Det Europæiske Råd og Parlamentet har efter offentliggørelsen 3 måneder til at nedlægge veto eller foretage ændringer til de reguleringsmæssige tekniske standarder, såfremt de måtte ønske dette.

EBA har i det endelige udkast til de reguleringsmæssige tekniske standarder (kapitel 3, artikel 10-16) foreslået følgende undtagelser til kravet om anvendelse af stærk kundeautentifikation:

  1. Når betaleren alene får adgang til information om sine betalingskonti online, eller den konsoliderede information om sine forskellige betalingskonti, uden at der sker afsløring af følsomme betalingsdata. Der kræves stærk kundeautentifikation første gang der gives adgang, og efterfølgende kræves stærk kundeautentifikation minimum hvert kvartal (90 dage).

  2. Når betaleren initierer en kontaktløs betaling i en fysisk butik og følgende tre krav er overholdt: a) betalingen ikke overstiger 50 €, b) den kumulative sum af kontaktløse betalinger siden sidste anvendelse af stærk kundeautentifikation ikke overstiger 150 €, og c) der maksimalt er foretaget 5 betalinger siden sidste anvendelse af stærk kundeautentifikation.

  3. Når betalingen sker ved en ubemandet betalingsstation til betaling af transport- eller parkeringsudgifter.

  4. Når betaleren initierer en betaling til en betalingsmodtager på betalerens liste af betroede betalingsmodtagere. Der skal anvendes stærk kundeautentifikation ved oprettelse, tilføjelser og ændringer til betalerens liste af betroede betalingsmodtagere.

  5. Når betaleren opretter en serie af betalingsoverførsler på samme beløb og til den samme betalingsmodtager. Der skal dog anvendes stærk kundeautentifikation ved oprettelse af en serie af betalingsoverførsler, og ved efterfølgende ændringer af serien af betalingsoverførsler.

  6. Når betaleren initierer en betaling, og betaleren og betalingsmodtageren er den samme fysiske eller juridiske person, og begge konti er placeret i samme bank.

  7. Når betaleren initierer en elektronisk fjernbetalingstransaktion og følgende tre krav er overholdt: a) fjernbetalingstransaktionen ikke overstiger 30 €, b) den kumulative sum af fjernbetalingstransaktioner siden sidste anvendelse af stærk kundeautentifikation ikke overstiger 100 €, og c) der maksimalt er foretaget 5 fjernbetalingstransaktioner siden sidste anvendelse af stærk kundeautentifikation.

  8. Fjernbetalinger med lav risiko baseret på en real-time risikoanalyse. Undtagelsen kan anvendes for betalinger med en misbrugsrate under nogle af EBA fastsatte grænseværdier, og gælder for beløb mellem 100 € og 500 € afhængigt af misbrugsraten for det specifikke betalingsinstrument.

Ud over de af EBA fastsatte undtagelser, gælder der en undtagelse for udstedere af betalingsinstrumenter med begrænset anvendelse. Udstedere af betalingsinstrumenter med begrænset anvendelse er ikke forpligtede til at anvende stærk kundeautentifikation, men kan frivilligt vælge at gøre dette. Et betalingsinstrument med begrænset anvendelse vil eksempelvis være et benzinkort, et klubkort eller lignende.

Dynamisk forbindelse

Udbyderen skal sikre, at der etableres en dynamisk forbindelse, når der anvendes stærk kundeautentifikation. En dynamisk forbindelse betyder, at det skal være klart for betaleren, hvilket beløb der betales og til hvem, samt at autentifikationskoden kun skal kunne anvendes til den specifikke betaling, både for så vidt angår beløbets størrelse og betalingsmodtageren.

Ved kortbaserede betalingstransaktioner iværksat af eller via en betalingsmodtager hvor det specifikke beløb ikke på forhånd kan fastslås, skal brugeren oplyses om det maksimale beløb, som betalingstjenesteudbyderen kan blokere på brugerens konto. Når det præcise beløb bliver betalingstjenesteudbyderen bekendt, skal de resterende midler ifølge betalingslovens § 95 frigives. Dette vil eksempelvis være relevant ved køb af brændstof, hvor tankstationen vil kunne blokere et på forhånd fastsat beløb og frigive de resterende midler efter købet.

Del på LinkedIn Del på Facebook