Den mest udbredte løsning til stærk kundeautentifikation i Danmark baserer sig på kortoplysninger og en engangskode fremsendt med SMS. EBA’s udtalelse skaber klarhed over hvilke løsninger, EBA anser for at opfylde kravene til et element ved stærk kundeautentifikation. Ifølge udtalelsen kan en SMS-engangskode anses som en valid autentifikationsfaktor, mens dette ikke er tilfældet for kortoplysninger. EBA bemærker i udtalelsen endvidere, at der i særlige tilfælde kan iværksættes migrationsplaner for implementeringen af de nye krav, der rækker udover 14. september 2019.
Regler gælder fra 14. september 2019
Finanstilsynet understreger, at EBA’s udtalelse ikke ændrer på, at reglerne for stærk kundeautentifikation gælder fra 14. september 2019. Alle betalingstjenesteudbydere skal derfor som udgangspunkt leve op til reglerne på dette tidspunkt.
Finanstilsynet forventer, at danske kortudstedere og -indløsere senest 14. september 2019 har sikret, at kortbetalinger i e-handelen omfattet af kravene om stærk kundeautentifikation gennemføres med brug af en SMS-engangskode eller en anden løsning, der medfører tilsvarende eller bedre beskyttelse mod svindel.
Konkrete migrationsplaner
Kortudstedere og -indløsere, der har eller er ved at implementere autentifikationsløsninger, som er baseret på kortoplysninger og engangskoder, kan efter en konkret aftale med Finanstilsynet fortsætte med at anvende denne autentifikationsløsning efter den 14. september 2019. Det forudsætter, at der udarbejdes en konkret migrationsplan, som sikrer implementering af autentifikationsløsninger, der er i overensstemmelse med EBAs udtalelse. Disse planer skal godkendes af Finanstilsynet. Kortudstedere og -indløsere, der ønsker dette, bør snarest muligt rette henvendelse til Finanstilsynet.
Finanstilsynet offentliggjorde 4. juni 2019 sammen med Betalingsrådet en udtalelse om de kommende regler. I udtalelsen blev det understreget, at alle aktører på betalingsmarkedet skal sikre sig, at der den 14. september 2019 er løsninger på plads, der gør det muligt at anvende stærk kundeautentifikation.