ANNONSE

Ikke la SCA og 3D Secure ødelegge konverteringen

Ikke la SCA og 3D Secure ødelegge konverteringen
Louise Sverdrup

Nye regler for sikker digital betaling

ANNONSE

Utallige saker om svindel med kredittkort har fått EØS til å skjerpe kravene til sikkerheten ved nettbetaling. Det får betydning for europeiske nettbutikker når reglene om SCA (Secure Customer Authentification) trer i kraft 14. september.

Hva er SCA?

Reglene om SCA er en del av EU-direktivet PSD2 som også gjelder i Norge. PSD2 har bl.a. til formål å minske risikoen for svindel ved digitale betalingstransaksjoner. Kort fortalt går SCA-reglene ut på at alle nettbetalinger i fremtiden må autentiseres av kunden ved hjelp av to av følgende:

  • Noe man vet, f.eks. et passord eller en PIN-kode
  • Noe man eier, f.eks. en smarttelefon eller en fysisk «token»
  • Noe man er, dvs. biometriske data som kan avleses ved hjelp av f.eks. en fingeravtrykksleser, en irisskannereller ansiktsgjenkjenningsprogramvare

I de aller fleste tilfellene vil denne autentiseringen bli gjort ved hjelp av 3D Secure.

Fordeler og ulemper med SCA

For nettbutikker gir SCA den fordelen at ansvaret for en transaksjon går over til banken som har utstedt kundens kredittkort. Det betyr at det er banken som må dekke kundens tap i tilfelle svindel, i stedet for nettbutikken.

SCA hat til gjengjeld den ulempen at det forlenger utsjekkingen og på denne måten øker risikoen for at kunden forlater nettbutikken uten å kjøpe noe.

Vår søsternettside Ehandel.dk har snakket med Erik Olofsson, nordisk direktør for betalingsleverandørenStripe som begynte å forberede seg på SCA allerede for to år siden.

– Da de gjorde en lignende endring i India for et par år siden, så man fra en dag til en annen at konverteringen falt med 20 %. Visa tror ikke det kommer til å påvirke Europa like mye, men de tror det kan ligge rundt 10 % i begynnelsen, sier Erik Olofsson.

Om SCA virkelig får så stor innflytelse på konverteringen, er likevel tvilsomt. Thomas Jensen fra den danske betalingsleverandøren QuickPay tror ikke at fallet i konverteringen blir så markant.

– 3D Secure blir fortsatt mer og mer normalt å gå igjennom når man handler på nett, og det ser vi også på tallene våre. På bare et år har andelen av alle betalinger gjennom QuickPay med 3D Secure gått fra 10% til 16%. Både butikker og kortholdere har etter hvert vent seg til 3D Secure. Og de nettbutikkene vi taler med som har innført 3D Secure, opplever ikke noe større/målbart fall i konverteringene, forteller Thomas Jensen.

Hvilke betalingsformer krever 3D Secure?

Kravet om SCA gjelder for alle digitale betalingsformer. Noen av dem oppfyller betingelsene i seg selv og trenger derfor ikke 3D Secure. Det gjelder bl.a. de digitale lommebøkene Apple Pay og Google Pay. Derimot vil 3D Secure være påkrevd ved betaling med slik som Visa og MasterCard.

– De fleste kortbetalinger vil kreve autentisering med 3D Secure. Ved bankoverføringer – og Swish – blir brukere normalt autentisert når de logger inn på sin bankkonto og når de begynner å overføre. Bankautentisering skjer ikke via 3D Secure, men ved hjelp av f.eks. BankID eller det danske NemID, sier Erik Olofsson.

Han forteller at det fortsatt er uklart nøyaktig hvilke betalingsformer som kommer til å kreve SCA.

– Klarnas «Pay Now» vil sannsynligvis kreve SCA. Derimot er «Pay Later» teknisk sett en faktura / utsatt betaling så jeg tror ikke at SCA er nødvendig i utsjekkingen. I stedet må SCA brukes når kunden faktisk betaler fakturaen et par uker senere, sier han.

Hvem gjelder reglene for?

De nye reglene gjelder for alle nettbaserte betalingstransaksjoner innen EØS, dvs. alle 28 EU-land samt Norge, Island og Liechtenstein.

– Man snakker om «one-leg»- og «two-leg»-korttransaksjoner. Det er en «two-leg»-transaksjon hvis både nettbutikken og banken som har utstedt kundens kredittkort, befinner seg i EU eller EØS. Har du for eksempel et europeisk utstedt kort som du bruker utenfor Europa, gjelder ikke reglene, forteller Erik Olofsson.

Bare få typer nettbetalinger faller utenfor PSD2s bruksområde. Det dreier seg om betaling med gavekort og betaling i forbindelse med bestilling via e-post og telefon.

SCA og 3D Secure 2.0

At en transaksjon skal gå gjennom 3D Secure, betyr ikke nødvendigvis at den krever SCA. Reglene om SCA rommer en rekke unntak som kan gjøre en avgjørende forskjell dersom man bruker 3D Secure versjon 2.0.

Første del av prosessen i 3D Secure 2.0 er en kryptert datautveksling mellom nettbutikken og banken som har utstedt kundens kredittkort. Ved hjelp av maskinlæring og mer enn 100 ulike data om kunden og den pågående transaksjon, deriblantbeløp, valuta, betalingshistorikk, tidspunkt, geolokasjon, IP-adresse, enhet og bevegelser, gjøres en vurdering av om transaksjonen kan fritas for SCA. I motsatt fall vil kunden bli bedt om å autentisere betalingen ved hjelp av en engangskode.

Datautvekslingen er usynlig for kunden, og 3D Secure 2.0 forlenger derfor kun betalingsforløpet hvis det vurderes at SCA er påkrevd.

Unntak fra kravet om SCA

Jo færre transaksjoner som pålegges SCA, desto mindre påvirkes konverteringen. Unntakene som er beskrevet her, gjør det mulig å unngå SCA ved mange transaksjoner.

Unntakene gjelder ikke automatisk. Reglene er utformet slik at man må spørre banken som har utstedt kundens kort, om lov for å benytte seg av et unntak, og banken har rett til å avvise en slik forespørsel.

– PSP-en må spørre banken som har utstedt kortet, om fritak for hver transaksjon. En PSP kan likevel inngå en avtale med en nettbutikk om å spørre om spesifikke unntak – f.eks. «low value» – ved hver enkelt transaksjon, sier Erik Olofsson.

Innen netthandel kan man be om følgende unntak:

”Low value”-transaksjoner

Nettbetalinger under 30 € (290 kr.) kan i utgangspunktet fritas for SCA. Likevel er SCA påkrevd når minst ett av følgende vilkår er oppfylt:

  • Den aktuelle transaksjonen er kundens femte «low value»-betaling med vedkommendebetalingsform siden siste bruk av SCA.
  • Kundens betalinger (inkl. den aktuelle transaksjonen) siden siste bruk av SCA utgjør samlet 100 € (970 kr.) eller mer.

”Low risk”-transaksjoner

Nettbetalinger opptil 500 € (4860 kr.) kan fritas for SCA hvis de vurderes å være lavrisiko-transaksjoner.

Når en betalingstransaksjon begynner, blir det foretatt en sanntids-risikoanalyse ut fra dataene som utveksles mellom nettbutikken og den kortutstedende bank. Her blir det bl.a. tatt høyde for brukerens normale mønstre og eventuelle avvik ved vedkommende transaksjon.

Hvis risikoen vurderes å være tilstrekkelig lav, kan transaksjonen fritas for SCA, og kunden kan dermed hoppe over det ekstra autentifiseringstrinnet.

 «Low risk»-unntaket kan bare benyttes dersom både innløser og banken som har utstedt kortet, har en tilstrekkelig lav svindelrate. Jo større beløpet er, jo strengere er kravene til svindelraten.

Ifølge Visa vil hele 95 % av alle transaksjoner bli vurdert som ”low-risk” med 3D Secure 2.0. Eller sagt på en annen måte: ”Low risk”-unntaket skal ifølge Visa kunne frita 19 av 20 transaksjoner for det ekstra autentiseringstrinnet.

Abonnementsbetalinger

Betaling av abonnementer der beløp og mottaker er de samme hver gang, kan fritas for SCA. Likevel må den første betalingen autoriseres. Abonnementer som er opprettet før 14. september, er ikke omfattet av de nye reglene og kan derfor fortsette uten bruk av SCA.

Hviteliste

Hvis en kunde registrerer en nettbutikk som «betrodd», kan betalinger fra kunden til nettbutikken fritas for SCA.

Sikre B2B-transaksjoner

Betalinger som gjøres med bedriftskort via såkalte «dedikerte betalingsprosesser eller -protokoller», kan fritas for SCA.

Selger-initierte transaksjoner

En selger-initiert transaksjon er en betaling med et lagret kort der kunden ikke er til stede ved utsjekking. Det kan f.eks. være ved utsatt betaling og abonnementer med variabelt beløp.

Teknisk sett er denne typen transaksjoner ikke omfattet av SCA, men i praksis skal de håndteres som unntak, og det er krav om SCA når kortet lagres eller ved første betaling.

3D Secure 1.0 vs. 3D Secure 2.0

3D Secure 2.0 er en vesentlig oppgradering i forhold til forrige versjon.

Med 3D Secure 1.0 utveksles det langt færre data mellom nettbutikken og banken som har utstedt kundens kredittkort, enn med 3D Secure 2.0. Det betyr at 3D Secure 1.0 ikke gir mulighet til å vurdere behovet for SCA, og at alle transaksjoner derfor må pålegges det ekstra autentifiseringstrinnet.

En annen fordel ved 3D Secure 2.0 er mobilvennligheten. Hvor 3D Secure 1.0 bærer preg av å være skapt lenge før de første smarttelefoner kom på markedet, fungerer 3D Secure 2.0 langt mer friksjonsfritt på mobile enheter. For eksempel kan kunden godkjenne en betaling uten å forlate appen som kjøpet skjer i.

Visa reklamerer også med at 3D Secure 2.0 reduserer transaksjonstiden med 85 prosent, og at 70 prosent færre vil forlate nettbutikken under betalingsprosessen med den nye versjonen av 3D Secure.

Hvordan forberede seg på SCA?

Siden SCA forlenger betalingsprosessen og øker risikoen for å gå glipp av ordrer, bør man som nettbutikk strebe mot å unngå overflødig bruk av SCA.

– Det som blir viktig for netthandlere, er å samarbeide med en betalingsleverandørsom vet hvilke unntak man skal spørre etter og hvordan man skal spørre etter dem, avhengig av hvilken bank som har utstedt kortet, sier Erik Olofsson.

Han oppfordrer netthandlere til å ta en prat med ulike PSP-er om hva de vil gjøre for å minimere antallet transaksjoner som krever SCA, hvilke unntak de kommer til å støtte, og ikke minst om de kommer til å støtte 3D Secure versjon 2.0.

Men viktigst av alt er likevel 3D Secure versjon 2.0 som er nøkkelen til å hoppe over SCA i mange tilfeller.

Tobias Lindh, Country Manager for Norden og Baltikum hos betalingsleverandøren Adyen, gjør oppmerksom på at de nye reglene til og med kan være en fordel for nettbutikker som gjør den nødvendige innsatsen for å bli klar til 14. september, herunder sørger for å være oppdatert til 3D Secure 2.0.

– Dersom konverteringen faller, mister man ikke alene omsetning, men også markedsandeler i forhold til konkurrentene. Omvendt kan man som nettbutikk velge å se de nye reglene som en enestående sjanse for å styrke sin posisjon på markedet, sier Tobias Lindh.

Hva skjer om man ikke overholder kravet om SCA?

– Hvis man ikke tilbyr 3D Secure i det hele tatt, vil alle korttransaksjoner i prinsippet bli blokkert fra 14. september. Vi tror likevel ikke at spesielt mange kommer til å havne der. Den praktiske worst-case er at man kjører den gamle versjonen av 3D Secure på alle korttransaksjoner, slutter Erik Olofsson.

Del artikkel: