Tillsynsmeddelande 6.9.2019 – 47/2019

Finansinspektionen tillåter temporära lättnader med stark kundautentisering vid kortbetalningar i näthandeln

Kravet på stark kundautentisering vid betalning träder i kraft på ett bindande sätt den 14 september 2019. Regleringen baserar sig på det andra betaltjänstdirektivet och träder i kraft med samma innehåll i hela Europa. Strävan med bestämmelserna är att förbättra säkerheten vid betalning och minska missbruket. Även konsumentskyddet förbättras. Vid kortbetalning i näthandeln innebär ändringen att man i regel inte längre kan betala nätköp enbart med de kortnummeruppgifter som finns tryckta på kortets yta. I fortsättningen måste tjänsteleverantören också identifiera kunden med hjälp av stark autentisering i samband med betalningar som görs med betalkort.

Läget för stark autentisering i Finland

Stark autentisering har redan använts i Finland för att bekräfta en del betalningar av inköp i näthandeln trots att det inte varit obligatoriskt. I och med de nya bestämmelserna blir stark autentisering huvudregel, om inte transaktionen omfattas av undantagen i lagstiftningen. Samtidigt förändras också metoderna för stark autentisering när de nya säkerhetskraven träder i kraft.

Finansinspektionen har klarlagt beredskapen hos de olika parterna vid kortbetalning i näthandeln att efterleva de nya bestämmelserna. Utifrån de erhållna svaren har Finansinspektionen bedömt att det i Finland ställvis finns avsevärda brister i näthandelns beredskap att genomföra den starka autentisering som bankerna i egenskap av kortutfärdare förutsätter från och med den 14 september 2019.

Finansinspektionens ståndpunkt

Finansinspektionen tänker temporärt inte vidta några administrativa påföljder mot företagen under tillsyn även om de försummar sin lagstadgade skyldighet att använda stark kundautentisering i samband med kortbetalningar i näthandeln. På detta sätt försöker man trygga fortsatta och störningsfria kortbetalningar i näthandeln och vill man undvika orimliga olägenheter för konsumenterna. Övergångstiden främjar också en smidig övergång till lösningar som uppfyller lagstiftningens krav. Finansinspektionens riktlinjer överensstämmer med Europeiska bankmyndighetens ställningstagande av den 21 juni 2019, där de nationella tillsynsmyndigheterna ges möjlighet att bevilja olika parter i branschen tilläggstid för att genomföra de ändringsprocesser som krävs för stark autentisering.

Den tilläggstid som Finansinspektionen beviljar för att uppfylla kraven och genomföra ändringsprocessen är temporär. Finansinspektionen beslutar om övergångstidens längd före årets slut efter att ha hört Europeiska bankmyndighetens och andra medlemsstaters tillsynsmyndigheters synpunkter på saken. Finansinspektionen kommer senare i år att förutsätta att alla företag under tillsyn som är parter vid kortbetalning i näthandeln har en plan för hur de tänker genomföra ändringsprocessen.

Konsekvenserna av ikraftträdandet av stark autentisering

Lagstiftningen om stark autentisering träder i kraft den 14 september 2019. Finansinspektionen kan inte ändra ikraftträdandedagen för bestämmelserna. Lagstiftningens ikraftträdande har konsekvenser för bland annat ersättningsansvaret mellan konsumenten-kunden och tjänsteleverantören i missbrukssituationer och dessa riktlinjer försämrar sålunda inte konsumenternas rättigheter vid kortbetalning. Finansinspektionen påpekar att informationen till konsumenterna måste ge en korrekt bild av bestämmelserna om ansvarsfördelningen i missbrukssituationer.

Finansinspektionens ställningstagande om kodkortens ställning

Finansinspektionen har den 24 juni 2019 meddelat ett separat ställningstagande om kodkort som identifieringsmetod vid stark kundautentisering. Enligt det ska kunderna kunna använda de nuvarande kodkorten för betalningar och betalkonton tills banken har säkerställt att de nya metodernas användbarhet, tillgänglighet och driftsäkerhet på ett tillfredsställande sätt.

Närmare upplysningar lämnas av

Sanna Atrila, ledande jurist tfn 09 183 5552, sanna.atrila(at)fiva.fi

Bilagor

Bakgrundsinformation om PSD2-bestämmelserna

Med stark kundautentisering avses sådan elektronisk identifiering av betaltjänstanvändare där autentiseringsuppgifternas konfidentialitet skyddas och där det används ett förfarande som grundar sig på minst två av tre alternativ som är fristående från varandra. Dessa alternativ är kunskap, dvs. något som bara betaltjänstanvändaren vet (till exempel pinkod, lösenord), innehav, dvs. något som bara betaltjänstanvändaren har (till exempel mobiltelefon, kodkalkylator), samt en unik egenskap hos betaltjänstanvändaren (till exempel fingeravtryck, ansiktsidentifiering).

Tjänsteleverantörer ska använda stark kundautentisering, om betalaren använder sitt betalkonto via ett datanät, initierar en elektronisk betalningstransaktion eller genomför en åtgärd på distans som kan innebära en risk för missbruk. Stark autentisering enligt bestämmelserna ska således i regel användas i alla elektroniska transaktioner som betalaren initierar till exempel i nätbanken, näthandeln eller handelns betalterminaler.

Bestämmelserna tillåter vissa begränsade situationer där stark autentisering inte behöver användas. Till dem hör till exempel kontaktlösa betalningar på högst 50 euro i små butiker eller nätbetalningar på högst 30 euro. Även i dessa situationer krävs stark autentisering när de säkerhetsgränser som angetts för antalet inköp eller det sammanlagda beloppet av inköpen uppnås.

Mer information om PSD2-bestämmelserna på Finansinspektionens webbplats.

 

Motsvarande tillsynsmeddelande på finska publicerades den 5.9.2019