Undtagelse fra kravet om stærk kundeautentifikation for betalingstransaktioner gennemført via sikre erhvervsrelaterede betalingsprocesser og -protokoller

Flere erhvervsdrivende benytter sig af forskellige former for økonomistyringssystemer, ERP-systemer eller andre lignende systemer. Disse systemer har ofte en integreret betalingsfunktion, som gør det muligt for den erhvervsdrivende at foretage betalinger via sit pengeinstitut direkte fra systemet. Disse former for betalinger er i nogen udstrækning undtaget fra kravet om anvendelse af stærk kundeautentifikation.

Ifølge § 128 i lov om betalinger skal en udbyder af betalingstjenester anvende stærk kundeautentifikation, når en bruger iværksætter en elektronisk betalingstransaktion, medmindre andet følger af forordninger og regler udstedt af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.

Den 14. marts 2018 trådte Kommissionens delegerede forordning (EU) 2018/389 af 27. november 2017 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 for så vidt angår reguleringsmæssige tekniske standarder for stærk kundeautentifikation og fælles og sikre åbne standarder for kommunikation (herefter ”den delegerede forordning”) i kraft.

Den delegerede forordning indeholder bl.a. et krav om, at alle udbydere af betalingstjenester i EU senest fra 14. september 2019 skal anvende stærk kundeautentifikation i overensstemmelse med den delegerede forordning. Forordningens kapitel 3 indeholder dog en række undtagelser fra kravet om anvendelse af stærk kundeautentifikation.

Artikel 17 i den delegerede forordning fastsætter, at en betalingstjenesteudbydere har mulighed for at undlade at anvende stærk kundeautentifikation i forbindelse med juridiske personer, som initierer elektroniske betalingstransaktioner ved brug af dedikerede betalingsprocesser eller -protokoller, der udelukkende stilles til rådighed for betalere, som ikke er forbrugere, hvis de kompetente myndigheder finder det godtgjort, at nævnte processer eller protokoller mindst sikrer samme grader af sikkerhed som dem, der er omhandlet i direktiv 2015/2366.

Reglerne indebærer således, at Finanstilsynet kan tillade, at et økonomistyringssystem, ERP-system eller lignende system, der har en integreret betalingsfunktion, kan undtages fra kravet om anvendelse af stærk kundeautentifikation, hvis systemet alene stilles til rådighed for erhvervsdrivende, og det indeholder processer eller protokoller, der mindst sikrer samme grader af sikkerhed, som var der anvendt stærk kundeautentifikation.

Finanstilsynets vil anse en dedikeret betalingsproces eller -protokol, der udelukkende stilles til rådighed for betalere, der ikke er forbrugere, som tilsvarende sikker i overensstemmelse med artikel 17, hvis: 

  1. Udbyderen af den dedikerede betalingsproces eller -protokol har implementeret sikkerhedsforanstaltninger, der sikrer et tilsvarende sikkerhedsniveau, som ville være opnået ved gennemførelse af kravene i forordnings kapitel 1, 2 og 4.
  2. Niveauerne for svigagtige og uautoriserede betalingstransaktioner gennemført via dedikerede betalingsprocesser og -protokoller er lig eller mindre end niveauer for svig for tilsvarende betalingstransaktioner, der er gennemført ved brug af stærk kundeautentifikation. 

    En udbyder af betalingstjenester skal ikke ansøge Finanstilsynet om tilladelse til at undlade at anvende stærk kundeautentifikation i forbindelse med erhvervsrelaterede betalinger, jf. artikel 17 i den delegerede forordning. Finanstilsynet vil som del af det ordinære tilsyn vurdere, om det er godtgjort, at udbyderens dedikerede betalingsprocesser og -protokoller lever op til punkt 1 og 2 ovenfor.

     

    Ad punkt 1:

    Den delegerede forordnings kapitel 1 fastsætter generelle sikkerhedskrav, som udbydere af betalingstjenester skal opfylde i forbindelse med anvendelse af stærk kundeautentifikation. Disse indebærer bl.a. at udbydere skal anvende transaktionsovervågningsmekanismer, som sætter dem i stand til at afsløre uautoriserede eller svigagtige betalingstransaktioner. Derudover skal udbydere løbende gennemgå de iværksatte sikkerhedsforanstaltninger, herunder sikre at de periodisk revideres. Til trods for at kapitel 1 ikke finder direkte anvendelse for en dedikeret betalingsproces eller -protokol, der udelukkende stilles til rådighed for betalere, der ikke er forbrugere, vil Finanstilsynet forvente, at der alligevel anvendes transaktionsovervågningsmekanismer, der gør udbyderen i stand til løbende at afsløre uautoriserede eller svigagtige betalingstransaktioner, og at udbydere løbende reviderer de iværksatte sikkerhedsforanstaltninger. Dette skal sikre, at der opnås et tilsvarende sikkerhedsniveau.

    Den delegerede forordnings kapitel 2 fastsætter mere specifikke regler omkring udførelsen af stærk kundeautentifikation, herunder krav til udformningen af de enkelte elementer, der indgår i autentifikationsløsningen. Dedikerede betalingsprocesser eller -protokoller, der udelukkende stilles til rådighed for betalere, der ikke er forbrugere, er ikke omfattet af kravene i kapitel 2, men Finanstilsynet vil forvente, at udbydere har iværksat lignende foranstaltninger for at beskytte fortroligheden og integriteten af de sikkerhedselementer, der anvendes i stedet. Det kan eksempelvis være i forbindelse med udstedelse af elektroniske certifikater, der udveksles mellem betaler, systemudbyder og udbyderen af betalingstjenesten. I disse tilfælde skal udbyderen af betalingstjenesten sikre, at udstedelsen sker under processer, der er designet således, at sikkerheden ikke kompromitteres, og i videst muligt omfang afklarer om kunden har de nødvendige forhold og procedurer til at håndtere løsningen på en sikker måde. I det omfang der udstedes autentifikationsløsninger, der er basseret på elementer karakteriseret som viden, besiddelse og iboende egenskab, bør disse leve op til standarder, der sikrer en tilsvarende sikkerhed som den delegerede forordnings artikel 6 til 9.

    Den delegerede forordnings kapitel 4 fastsætter regler om fortroligheden og integriteten af brugernes personaliserede sikkerhedsoplysninger. Det omfatter bl.a. regler omkring udstedelse, fornyelse og deaktivering af personaliserede sikkerhedsoplysninger. Økonomistyringssystemer, ERP-systemer eller andre lignende systemer med integrerede betalingsfunktioner installeres, aktiveres og anvendes typisk anderledes end traditionelle betalingsløsninger.

    Reglerne i den delegerede forordnings kapitel 4 finder ikke anvendelse for dedikerede processer og protokoller, men for at opnå en tilsvarende sikkerhed bør udbyderen iværksætte andre forebyggende foranstaltninger. Disse bør være tilpasset i forhold til de omstændigheder, der gør sig gældende for slutbrugeren af tjenesten. Foranstaltningerne kan eksempelvis omfatte den operationelle sikkerhed hos slutbrugeren, herunder ved tildeling af adgangsrettigheder og -betingelser til de systemer, der giver mulighed for at anvende de integrerede betalingsfunktioner. Udbyderen af betalingstjenesten bør eksempelvis i forbindelse med aftaleindgåelsen omkring anvendelse af den integrerede betalingsfunktion sikre, at virksomheden har tilstrækkelige foranstaltninger og procedurer til at kunne håndtere de operationelle risici omkring tildeling og håndtering af bruger- og adgangsrettigheder.      

     

     

    Ad punkt 2:

    For at en dedikeret betalingsproces- eller protokol kan siges at være tilsvarende sikker, er det en forudsætning, at den ikke giver anledning til højere misbrugsniveauer, end hvad der ville være forekommet ved anvendelse af stærk kundeautentifikation. Det indebærer, at en udbyder af betalingstjenester på foranledning skal kunne dokumentere, at niveauerne for svig og uautoriserede betalingstransaktioner gennemført via disse dedikerede betalingsprocesser eller -protokoller ikke overstiger de niveauer, der er for betalingstransaktioner, gennemført ved brug af stærk kundeautentifikation. Niveauerne skal beregnes i overensstemmelse med artikel 19 i den delegerede forordning.