Nye regler for betalinger i webshops
af Mia Storm, Advokat (L)
Den 14. september 2019 træder et nyt EU-direktiv om betalingsløsninger i kraft. Ved at indføre et krav om stærk kundeautentifikation, skal de nye EU-regler gøre det mere sikkert at lave elektroniske betalinger.
Krav om ”stærk kundeautentifikation”
Helt grundlæggende indebærer stærk kundeautentifikation, at der skal anvendes minimum to faktorer til at godkende en betaling. Der skal være tale om noget kunden ved (f.eks. en PIN-kode), noget kunden ejer (f.eks. et betalingskort) eller noget kunden er (eks. fingeraftrykslæser eller ansigtsgenkendelse).
Vi kender allerede den stærke kundeautentifikation fra fysiske butikker, hvor køb via chippen i et betalingskort skal følges op af en pinkode. De nye regler betyder imidlertid, at der også skal anvendes stærk kundeautentifikation ved elektroniske betalinger. Det vil sige, at en online kortbetaling skal godkendes med eksempelvis indtastning af en engangskode modtaget via SMS. En del webshops anvender allerede et sådant system i dag – f.eks. 3D Secure - men med de nye regler bliver to-faktor-godkendelse altså hovedreglen frem for undtagelsen.
Ligesom der findes en beløbsgrænse for fysisk handel på betalinger op til 375 kroner, findes der også en beløbsgrænse for ikke-fysisk handel, således at betalinger på op til 225 kroner er undtaget fra kravet om stærk kundeautentifikation. Ydermere kan der nævnes undtagelser som betalinger med faktura, lavrisiko-transaktioner og abonnementsbetalinger.
Direktivet vil som udgangspunkt kun påvirke forretninger, der modtager betaling via onlinehandel, da der som nævnt allerede anvendes stærk kundeautentifikation ved fysisk handel. Men eftersom onlinehandel fylder mere og mere, er der mange virksomhedsejere, der skal tage højde for de nye regler.
Undgå at din webshop går i sort
Internetforretninger, der ikke er klar til at anvende stærk kundeautentifikation fra den 14. september 2019, vil som udgangspunkt være afskåret fra at modtage betalinger, da betalinger uden stærk kundeautentifikation ikke må gennemføres.
Anvender din webshop nogle af de nævnte undtagelser, og tilbyder du dermed betalinger uden brug af stærk kundeautentifikation, skal du være opmærksom på, at du hæfter for alle tab i forbindelse med et eventuelt misbrug.
Anvender du allerede stærk kundeautentifikation, er det ikke nødvendigt at tage yderligere notits af ovenstående. Det vil dog være en god idé at tjekke, at din beløbsgrænse – for hvornår du beder kunden om to-faktor-godkendelse – ikke er sat for højt, men svarer til de nye regler, dvs. 225 kroner.
Hvis ikke du anvender stærk kundeautentifikation, er det vigtigt, at du kontakter din kortindløser eller betalingsgateway-udbyder og påbegynder implementering, så du er klar til den 14. september.
Har du spørgsmål til ovenstående, er du som altid velkommen til at kontakte os på tlf. 70 22 88 68 eller mail@otello.dk.