Undersøgelsen skete, da Finanstilsynet blev bekendt med, at der for en række kortbetalinger, hvor Nets agerede som kortindløser, sandsynligvis ikke blev anvendt systemer, der muliggjorde overholdelse af reglerne om anvendelse af stærk kundeautentifikation ved gennemførelse af elektroniske betalingstransaktioner i fysisk handel som fastsat i § 128, stk. 1, i betalingsloven.
Nets udbyder indløsning af kortbetalinger i Danmark, hvilket er en betalingstjeneste efter betalingsloven. Nets agerer således i forbindelse med en kortbetaling som betalingsmodtagerens betalingstjenesteudbyder. Nets er i den forbindelse forpligtet til at sikre, at betalingstransaktioner iværksættes ved brug af stærk kundeautentifikation.
I betalingssituationer, som enten er omfattet af en undtagelse fra kravet om stærk kundeautentifikation, eller som falder uden for anvendelsesområdet for kravet om stærk kundeautentifikation, skal Nets sikre, at der er etableret systemer, der understøtter, at kortudstederen informeres om, at der er tale om en sådan betalingstransaktion.
Undlader Nets at sikre enten, at der anvendes stærk kundeautentifikation, eller at kortudstederen informeres om, at der er tale om en betaling, der er omfattet af en undtagelse eller er udenfor anvendelsesområdet, lever Nets således ikke op til betalingsloven.
Sammenfatning
Finanstilsynet vurderer, at Nets, i sin egenskab af kortindløser, ikke har levet op til sine forpligtelser i betalingsloven. Finanstilsynet har i den forbindelse givet Nets følgende tre påbud:
Finanstilsynet påbyder Nets at sikre, at der for betalingstransaktioner igangsat via ubemandede terminaler til betaling af transport- og parkeringsgebyrer enten anvendes stærk kundeautentifikation, eller at kortudstedende betalingstjenesteudbydere informeres om, at transaktionerne er omfattet af undtagelsen fra kravet om anvendelse af stærk kundeautentifikation i forbindelse med betalingstransaktioner igangsat via ubemandede terminaler til betaling af transport- og parkeringsgebyrer.
For at ovenfor nævnte undtagelse kan anvendes i praksis, er det en forudsætning, at betalingstjenesteudbyderne er i stand til at identificere, at en given betalingstransaktion bliver iværksat med det formål at betale en befordringsbillet eller et parkeringsgebyr. Finanstilsynet vurderer, at Nets ikke har gjort det muligt at sikre dette forhold.
Finanstilsynet påbyder derudover Nets at sikre anvendelse af stærk kundeautentifikation ved betalingstransaktioner igangsat via betalingsterminaler baseret på aflæsning af chip uden mulighed for at indtaste PIN-kode.
Finanstilsynet har erfaret, at Nets har indløst betalinger, hvor der ikke har været anvendt stærk kundeautentifikation i en række betalingsterminaler, da disse har været baseret på aflæsning af chip uden mulighed for at indtaste PIN-kode. Der er for betalinger via disse terminaler således ikke anvendt to autentifikationselementer.
Det er på den baggrund Finanstilsynets vurdering, at Nets ikke har overholdt sine forpligtelser i betalingsloven, da Nets har undladt at sikre, at der anvendes stærk kundeautentifikation for samtlige korttransaktioner, der ikke er omfattet af en udtagelse.
Finanstilsynet påbyder endelig Nets at sikre anvendelse af stærk kundeautentifikation ved betalingstransaktioner igangsat med anvendelse af magnetstribe som besiddelseselement for så vidt angår betalinger foretaget med betalingskort udstedt indenfor EU/EØS.
Finanstilsynet har erfaret, at Nets har indløst betalinger, hvor en magnetstribe blev anvendt som besiddelseselement for kort, der er udstedt indenfor EU/EØS.
Det er Finanstilsynets vurdering, at en magnetstribe ikke lever op til kravene om beskyttelse mod kopiering eller anden genskabelse. En magnetstribe kan dermed ikke regnes som et besiddelseselement til brug for stærk kundeautentifikation. Det er på den baggrund Finanstilsynets vurdering, at Nets på dette punkt ikke har overholdt sine forpligtelser i betalingsloven, da Nets har undladt at sikre, at der anvendes stærk kundeautentifikation.