Förändringar inom betalningsområdet till följ av PSD2

Det mycket omdiskuterade PSD2 – vad är det?

PSD2, dvs. EU:s andra betaltjänstdirektiv medförde även ändringar i den finska lagstiftningen vad gäller betalningar. Den nya lagstiftningen trädde delvis i kraft redan i januari 2018, men den framskrider stegvis, och i sin helhet är de nya författningarna om betalning i kraft fr.o.m. den 14 september 2019. PSD2 inverkar bland annat enligt följande:

• Utomstående tjänsteleverantörer (Third Party Payment Service Providers) kan komma ut på marknaden. Bankerna bör ge utomstående tjänsteleverantörer tillgång till kundernas betalkonton. Detta är möjligt endast om kunden har gett sitt samtycke till det. På så sätt frångås bankernas ensamrätt exempelvis till att kunden endast kan se sina kontouppgifter via bankens webbtjänst.
• Användningen av nätbankskoder och andra metoder för stark kundautentisering blir allt vanligare. Betalning på nätet kräver i regel alltid stark kundautentisering, dvs. i praktiken ofta att en betalningstransaktion bekräftas med nätbankskoder. Det är inte längre möjligt, annat än i undantagsfall, att betala på nätet enbart med betalkortsuppgifter.
• Syftet är att förbättra betalningssäkerheten. Genom de nya säkerhetskraven för nätbetalningar strävar man efter att minska missbruk. För kunderna syns detta bland annat i att nätbankens kodtabeller inte längre på samma sätt som tidigare kan användas vid betalning, såvida användningen av dem inte kompletteras med andra metoder. 
• Konsumentskyddet förbättras i händelse av missbruk. Banken ersätter kunden till fullo för obehöriga transaktioner, dvs. för transaktioner som gjorts utan kundens godkännande. Ett villkor för bankens ersättningsansvar är att kunden har iakttagit normal omsorgsfullhet då det gäller att förvara och använda betalmedlet samt meddelat om att betalmedlet förkommit eller hamnat i utomstående händer genast efter att detta har uppdagats.
  
  I de fall där kunden har handlat vårdslöst, har kundens självriskandel sänkts från tidigare 150 euro till 50 euro. Detta gäller emellertid inte situationer, där kunden har förfarit grovt vårdslöst eller uppsåtligen. I sådana fall är kunden själv till fullo ansvarig för den ekonomiska förlusten som missbruket orsakat.
  
  Utöver ovan nämnda situationer ansvarar kunden inte för missbruk i situationer, där tjänsteproducenten inte har förutsatt stark kundautentisering.
  
  Då ett betalmedel har missbrukats ska banken återbetala penningsumman till kunden snabbare än tidigare, dvs. inom 24 timmar efter reklamationen.

Vad avses med stark kundautentisering i samband med betalning?

Med stark kundautentisering avses den metod, med vilken kunden identifieras t.ex. i samband med en betalningstransaktion eller inloggning till ett betalkonto. Identifiering görs med en kombination av minst två av de tre följande alternativen:

• kunskap, dvs. något som endast betaltjänstanvändaren vet (t.ex. ett lösenord, PIN-kod)
• innehav, dvs. något som endast betaltjänstanvändaren har (t.ex. en mobiltelefon, kodläsare, kort vid betalning i affärens betalterminal)
• en unik egenskap som individualiserar betaltjänstanvändaren (t.ex. fingeravtryck, ansiktskarta)

De identifieringsverktyg som bankerna erbjuder används förutom vid betalning även i andra sådana tjänster som kräver stark elektronisk kundautentisering. Sådana tjänster är bl.a. myndigheternas e-tjänster (t.ex. FPA, polisen, skattemyndigheterna) och försäkringsbolagens e-tjänster. I dessa tjänster kan som identifieringsverktyg i allmänhet utöver bankernas identifieringsverktyg även användas teleoperatörernas mobilcertifikat och Befolkningsregistercentralens medborgarcertifikat.

Vad avses med en utomstående tjänsteleverantör?

I samband med PSD2 hör man ofta talas om utomstående tjänsteleverantörer. Med detta avses sådana nya tjänsteleverantörer som möjliggörs genom den nya regleringen av verksamheten. Dessa är:

• leverantörer av betalningsinitieringstjänster (tjänst via vilken man kan betala direkt från konto)
• leverantörer av kontoinformationstjänster (tjänster via vilka man kan kontrollera uppgifterna på sina betalkonton)
• utgivare av kortbaserade betalningsmedel (nya tjänsteleverantörer får erbjuda kunderna betalkort, som ansluts till ett konto i kundens bank)

I samband med PSD2 bör bankerna ge utomstående tjänsteleverantörer tillgång till kundernas betalkonton, förutsatt att kunden gett sitt samtycke till det, och genom att utnyttja detta kan det uppstå nya tjänster. En sådan utomstående tjänsteleverantör kan exempelvis utveckla en tjänst, i vilken kunden samtidigt kan kontrollera saldona på sina betalkonton och transaktioner i olika banker. I de utomstående tjänsteleverantörernas tjänster används den autentiseringslösning som kundens kontobank tillhandahåller.

Finns det någon som övervakar tjänsteleverantörernas verksamhet?

Alla aktörer som tillhandahåller betaltjänster står i Finland under Finansinspektionens tillsyn. Innan verksamhet inleds ska utomstående tjänsteleverantörer ansöka om auktorisation eller registrering hos Finansinspektionen. Finansinspektionen upprätthåller en förteckning över de tjänsteleverantörer som är tillsynsobjekt samt en förteckning över gränsöverskridande tjänster för utländska tjänsteleverantörer som har lämnat in en anmälan om tillhandahållande av tjänster i Finland. Av förteckningen är det möjligt att kontrollera att aktören har ett adekvat tillstånd att tillhandahålla tjänster inom finanssektorn i Finland.

Är det obligatoriskt att använda de nya tjänsterna?

Kunden väljer även i fortsättningen vilka tjänster han eller hon vill använda. Å andra sidan väljer butiksägarna även i fortsättningen vilka betalningssätt de erbjuder kunderna för inköp av nyttigheter.

Vem kan se mina kontouppgifter?

Även om bankerna i och med PSD2 ska ge utomstående tjänsteleverantörer tillgång till kundernas konton, baserar sig den egentliga tillgången till uppgifterna endast på kundens uttryckliga samtycke. Ingen aktör utanför banken får i och med den nya regleringen på annat sätt rätt till kundernas kontouppgifter. Den uttryckliga rättigheten att använda kontoinformationstjänster gäller kunden själv och inga andra aktörer. 

Blir det svårare att betala?

Målet med PSD2 är att öka säkerheten vid betalning. För att säkerheten ska kunna förbättras, bör även betalningssätten ändras, och regleringen medför vissa ändringar i de dagliga betalningarna i och med de strängare säkerhetskraven på stark kundautentisering. Å andra sidan möjliggör regleringen betalningar utan stark kundautentisering då det gäller vissa betalningar med liten risk.

Kan man fortsättningsvis betala med betalkortsuppgifterna på nätet?

Tidigare har det varit möjligt att betala i många nätbutiker genom att mata in betalkortsuppgifterna i tjänsten. Från och med den 14 september 2019 går det inte längre att betala enbart genom att mata in betalkortsuppgifterna i nätbutiken, utan stark kundautentisering bör även användas i samband med betalningen.¹  I vissa undantagsfall, såsom vid små inköp på högst 30 euro, krävs stark autentisering nödvändigtvis inte. Stark autentisering krävs emellertid vid små nätbetalningar, då de säkerhetsgränser som ställts för ett köptillfälle eller för det sammanlagda beloppet inköp uppnås.

Kan kodtabellen fortfarande användas?

PSD2 inverkar på användningen av de kodtabeller som utgör en del av nätbankskoderna. De kodtabeller på papper som bankerna nu använder kan lätt kopieras, vilket innebär att de inte som sådana längre uppfyller de utökade kraven på säkerhet vid betalning. Bankerna ska själva ta fram alternativa metoder till kodtabellen, vilka uppfyller kraven i regleringen eller som kompletterar användningen av kodtabeller. Finansinspektionen har gett ett ställningstagande om användningen av kodtabeller.

Då nätbankskoder används för stark kundautentisering i tjänster som ansluter sig till annat än betalning och användningen av betalkonto, t.ex. i myndigheternas tjänster (FPA, polisen, skattemyndigheterna), tillämpas i stället för regleringen om betaltjänster regleringen om autentiseringstjänster, som övervakas av Transport- och kommunikationsverket Traficom. PSD2 medför ingen ändring av användningen av nätbankskoder i dessa andra tjänster. Banken kan besluta om den fortfarande erbjuder kunderna en kodlista i dessa tjänster eller någon ny identifieringsmetod.

Hur betalar man i fortsättningen om man inte har en smarttelefon?

Finansinspektionen förutsätter att bankerna beaktar alla de olika kundgruppernas behov när de tillhandahåller nya autentiseringsmetoder. Det bör finnas en metod för stark autentisering som är lätt att använda för alla kundgrupper. Det enda villkoret för den nya metoden kan således inte vara att kunden har en smarttelefon, utan banken ska också kunna erbjuda andra autentiseringssätt.

Finansinspektionen har framhävt att bankerna vid behov ska erbjuda kunderna tillräcklig handledning och personlig rådgivning i hur de nya identifieringsverktygen och metoderna används.

Hur känner man igen bedrägeri?

Betalning är alltid också förknippat med risk för bedrägeri. Det är viktigt att vara medveten om risken för bedrägeri och att vara på sin vakt särskilt vid kontakttaganden som görs per telefon eller e-post. Det är mycket viktigt att hålla i minnet att banker, polisen eller andra myndigheter aldrig begär uppgifter om betalkort eller bankkoder per telefon, e-post eller i sociala medier.

Närmare information om bedrägerier finns i andra myndigheters tjänster:

• https://www.kyberturvallisuuskeskus.fi/sv/
• https://poliisi.fi/sv/cyberbrott
• https://www.kuluttajaliitto.fi/kampanjat/huijausinfo

Hur ska jag gå till väga, om jag misstänker att jag blivit lurad?

Om kortuppgifter eller nätbankskoder matats in på en misstänksam webbplats eller de har hamnat i en annan persons händer, ska de omedelbart spärras genom att ringa bankens spärrtjänst. Anmälan bör göras omedelbart, och det lönar sig att kontakta spärrtjänsten också fastän det bara skulle vara fråga om en misstanke. Bankernas spärrtjänst är öppen 24h/dygn varje bankdag. Kontrollera spärrtjänstens telefonnummer med din bank.

Meddela om bedrägeriet även till tjänsteproducenten, bankens kundtjänst och vid behov till polisen och andra myndigheter. Närmare information om anmälan av bedrägerier finns på Konkurrens- och konsumentverkets webbplats under Berätta om bedrägeriet.

Andra länkar:

Mer frågor och svar i anslutning till PSD2 har publicerats i tjänsten Uutismajakka på Finans Finlands webbplats.

Konkurrens- och konsumentverkets meddelande (12.9) I fortsättningen krävs stark autentisering i samband med köp på nätet.

Se EBAs tips (pdf) för hur du skyddar dig själv när du ska välja online- eller mobilbankstjänster.

¹ I sitt meddelande av den 5 september 2019 uppger Finansinspektionen att den observerat att parterna vid näthandel inte har beredskap att genomföra kraven på stark autentisering vid kortbetalning av nätköp. Finansinspektionen har trots att regleringen trätt i kraft gett branschen mera tid att genomföra de ändringar som stark autentiseringen kräver vid kortbetalning av nätköp.