Redegørelse om påbud til kortudstedere, der anvender SDC som datacentral – anvendelse af stærk kundeautentifikation

Finanstilsynet har undersøgt om kortudstedere, der anvender SDC som datacentral, efterlever reglerne i lov om betalinger (betalingsloven) om krav til anvendelse af stærk kundeautentifikation ved kortbetalinger i e-handlen.

Undersøgelsen skete, da Finanstilsynet blev opmærksom på, at kortudstedere, der anvender SDC som datacentral, har anvendt undtagelsen for lavværdi-betalinger forkert.

Følgende kortudstedere anvender SDC som datacentral: Basisbank, Borbjerg Sparekasse, Broager Sparekasse, Dragsholm Sparekasse, Fanø Sparekasse, Folkesparekassen, Forbrugsforeningen, Frøs Sparekasse, Klim Sparekasse, Lån og Spar Bank, Middelfart Sparekasse, Rise Sparekasse, Rønde Sparekasse, Sparekassen Balling, Sparekassen Bredebro, Sparekassen Djursland, Sparekassen for Nørre Nebel og Omegn, Sparekassen Kronjylland, Sparekassen Thy, Stadil Sparekasse og Sønderhå-Hørsted Sparekasse. Alle kortudstederne er blevet tildelt et påbud om anvendelse af stærk kundeautentifikation.

Kortudstederne har undtaget kortbetalinger på internettet fra anvendelsen af stærk kundeautentifikation, såfremt værdien af den enkelte betaling ikke oversteg 350 kr. og den samlede værdi af betalinger, siden der sidst blev anvendt stærk kundeautentifikation, ikke oversteg 800 kr. Det overstiger de tilladte grænser på 225 kr. for den enkelte betaling og 750 kr. for den samlede værdi af betalinger, siden der sidst blev anvendt stærk kundeautentifikation.

Finanstilsynet vurderer, at kortudstederne derfor ikke har overholdt kravet om anvendelse af stærk kundeautentifikation, når en bruger igangsætter en elektronisk betaling. Kravet følger af § 128, stk. 1, nr. 2, i lov betalinger.

Finanstilsynet har derfor påbudt kortudstederne at efterleve § 128, stk. 1, nr. 2, for alle elektroniske kortbetalinger iværksat af en betalingstjenestebruger (brugeren).

Kortudstederne har alle meddelt, at de pr. 20. august 2021 kun har undtaget transaktioner under 225 kr. fra anvendelsen af stærk kundeautentifikation, og der kun kan foretages transaktioner for samlet 750 kr., inden der igen anvendes stærk kundeautentifikation.

Finanstilsynet anser på den baggrund påbuddene for opfyldt.

Baggrund

Det følger af § 128, stk.1, nr. 2, i betalingsloven, at betalingstjenesteudbydere, herunder kortudstedere, skal sikre anvendelsen af stærk kundeautentifikation, når en bruger iværksætter en elektronisk betalingstransaktion.

Kommissionens delegerede forordning (EU) 2018/389 fastsætter dog en række undtagelser til kravet. Ifølge artikel 16 i den delegerede forordning kan betalingstjenesteudbydere undlade at anvende stærk kundeautentifikation for elektroniske fjernbetalinger (f.eks. kortbetalinger på internettet) såfremt:

  1. at værdien af den enkelte betaling ikke overstiger 30 euro (ca. 225 kr.) for den enkelte betaling, og
  2. enten at den samlede værdi af betalinger, siden der sidst blev anvendt stærk kundeautentifikation, ikke overstiger 100 euro (ca. 750 kr.), eller at der højst er gennemført fem betalinger med det anvendte betalingsinstrument, siden der sidst blev anvendt stærk kundeautentifikation.

Opfyldes én eller begge af disse to betingelser ikke, skal betalingstjenesteudbydere enten sikre anvendelsen af stærk kundeautentifikation eller sikre, at betingelserne for en anden undtagelse i kapitel III i den delegerede forordning er opfyldt.