Det skal være sikkert at handle på nettet. Derfor kræver betalingsloven, at kortudstedere og kortindløsere benytter stærk kundeautentifikation (SCA), når kunderne skal betale over 225 kr.
I fysisk handel i Danmark har der i længere tid været anvendt SCA i form af chipkort (noget betaleren har) og pinkode (noget betaleren ved).
I ikke-fysisk handel, primært netbutikker, har SCA traditionelt ikke været anvendt i vidt omfang i Danmark. Danske kortudstedere og kortindløsere har dog siden januar 2021 skulle sørge for, at også betalinger ved køb på nettet sker ved anvendelse af SCA.
På grund af de betydelige udfordringer, der har været i sektoren med at opfylde kravet frem mod januar 2021, har Finanstilsynet foretaget en undersøgelse af, hvordan kravet er blevet efterlevet, og hvilken effekt kravet har haft.
Nedenfor er en række af konklusionerne fra rapporten fremhævet.
Misbrug med betalingskort er faldet til en tredjedel
Formålet med indførelsen af kravet om anvendelse af SCA var at sænke misbruget med betalingskort og andre elektroniske betalingsformer.
Undersøgelsen viser, at misbruget efter indførelsen er faldet, så andelen af tilfælde, hvor et betalingskort bliver misbrugt, er faldet til cirka en tredjedel i forhold til første halvår af 2020.
”Kravet om anvendelse af SCA er blevet implementeret på en måde, der virker til at have haft en markant effekt på misbruget af betalingskort. Det synes vi grundlæggende er en succeshistorie”, siger kontorchef Tobias Thygesen.
Tallene viser også, at antallet af tilfælde, hvor et betalingskort bliver misbrugt på trods af anvendelsen af SCA, var stigende fra januar til april 2021. I takt med at kortudstederne implementerer nye løsninger til at nedbringe misbruget, arbejder svindlere sideløbende på at udvikle nye metoder til at omgå sikkerhedsforanstaltningerne og fortsætte misbruget på trods af det øgede sikkerhedsniveau.
”Tallene understreger, at der er et behov for, at markedsdeltagerne løbende vurderer effekten af sikkerhedsløsningerne og foretager justeringer i de tekniske systemer, uddanner kortholderne i digital sikkerhed og igangsætter andre relevante tiltag, der kan sikre kortholderne mod nye typer misbrug”, siger kontorchef Tobias Thygesen.
Påbud om anvendelse af undtagelsen for lavværdi-betalinger
Betalinger op til og med 225 kr. kan undtages fra kravet om anvendelse af SCA. Men er der betalt for samlet mere end 750 kr. uden anvendelse af SCA, eller er undtagelsen anvendt fem gange, skal der igen anvendes SCA.
Finanstilsynet gav i forbindelse med undersøgelsen kortudstedere, der anvender SDC som datacentral, et påbud om at anvende undtagelsen inden for de rigtige beløbsgrænser. Læs mere om påbuddene.
Der er enkelte udfordringer med wallet-løsninger
Finanstilsynet har undersøgt brugen af wallet-løsninger som MobilePay Online, ApplePay og GooglePay, hvor kortudstederne anvender såkaldt delegeret autentifikation. Finanstilsynet finder, at der er enkelte udfordringer ved disse løsninger. Dette er nærmere beskrevet i rapportens kapitel 4.
Baggrund for undersøgelsen
Kravet om anvendelse af SCA trådte i kraft 14. september 2019 for såvel fysisk som ikke-fysisk handel. Grundet sektorens betydelige udfordringer med at efterleve kravet for kortbetalinger i e-handlen, fastsatte den Europæiske Banktilsynsmyndighed (EBA) en forlænget implementeringsperiode med én fælleseuropæisk deadline for håndhævelsen af de nye regler den 1. januar 2021 for den ikke-fysiske handel. Målet med forlængelsen af implementeringsperioden var at undgå store forstyrrelser i e-handlen, der kunne opstå ved afviste betalinger. For at sikre en stabil betalingsafvikling henover årsskiftet og for at undgå driftsmæssige forstyrrelser i julehandlen accepterede Finanstilsynet undtagelsesvist, at reglerne i praksis var gældende for alle betalinger senest den 11. januar 2021.
På grund af udfordringer med at efterleve kravet i netbutikker har Finanstilsynet gennemført en temaundersøgelsen om danske betalingstjenesteudbyderes anvendelse af SCA ved kortbetalinger i e-handlen.