Valvottavatiedote 18.10.2019 – 54/2019

Finanssivalvonta noudattaa EBAn esittämää vahvan tunnistamisen lisäaikaa verkkokaupan korttimaksamisessa – vaatimukset toteutettava 31.12.2020 mennessä

Euroopan pankkiviranomainen (EBA) on julkaissut 16.10.2019 kannanoton, joka koskee lisäajan myöntämistä vahvan tunnistamisen vaatimusten toteutuksessa verkkokaupan korttimaksamisessa.  Kannanotossaan EBA esittää näkemyksenään, että kansalliset valvojat voivat myöntää lisäaikaa vaatimusten ja muutosprosessien toteuttamiselle 31.12.2020 saakka. Lisäajalla tarkoitetaan sitä, että valvojat eivät tilapäisesti kohdista hallinnollisia seuraamuksia valvottaviinsa, vaikka valvottavat laiminlöisivät lakiin perustuvan velvollisuutensa tunnistaa asiakas vahvasti verkkokaupan korttimaksujen yhteydessä.

Nyt julkaistu EBAn kannanotto sisältää suosituksia toimenpiteistä, joilla kansallisten valvojien tulisi seurata korttimaksuprosessin eri osapuolien etenemistä vahvan tunnistamisen vaatimusten käyttöönotossa. Toimenpiteiden tavoitteena on varmistaa mahdollisimman yhdenmukainen valvonta kaikissa jäsenvaltioissa.   

Finanssivalvonta on omassa valvontatyössään päättänyt noudattaa EBAn kannanotossa esitettyä lisäaikaa sekä siinä kuvattua valvontatoimenpiteiden suunnitelmaa. Finanssivalvonta edellyttää kaikilta sen valvottavilta, jotka ovat verkkokaupan korttimaksamisen osapuolia, realistista suunnitelmaa muutosprosessin toteutukselle.

Finanssivalvonta valvoo, että sen valvottavat etenevät muutosprosessissa suunnitelman mukaisesti ja että vaatimukset toteutetaan lisäajan puitteissa. Finanssivalvonta kannustaa kaikkia verkkokaupan korttimaksamisen osapuolia priorisoimaan muutosprosesseihin liittyviä hankkeitaan ja pyrkimään siihen, että muutosprosessi on viety loppuun jo hyvissä ajoin ennen EBAn kannanotossa annetun lisäajan päättymistä.

Finanssivalvonta muistuttaa, että vahvaa tunnistamista koskeva sääntely on tullut voimaan 14.9.2019. Sääntelyn voimaantulolla on vaikutuksia muun muassa väärinkäytösten korvausvastuutilanteisiin kuluttaja-asiakkaan ja sen palveluntarjoajan välillä. Teknisten vaatimusten toteuttamiselle annettavalla lisäajalla ei heikennetä kuluttajan oikeuksia korttimaksamisessa. Kuluttajaviestinnässä tulee antaa oikea kuva vastuunjakosäännöistä väärinkäytöstilanteissa.

Lisätietoja antavat 

  • Sanna Atrila, johtava lakimies, puhelin 09 183 5552 tai sanna.atrila(at)finanssivalvonta.fi (21.10.2019 alkaen)
  • Hanna Heiskanen, johtava digitalisaatioasiantuntija, puhelin 09 183 5202 tai hanna.heiskanen(at)finanssivalvonta.fi
  • Anu Kettunen, lakimies, puhelin 09 183 5309 tai anu.kettunen(at)finanssivalvonta.fi
  • Heli Mäkitalo, riskiasiantuntija, puhelin 09 183 5369 tai heli.makitalo(at)finanssivalvonta.fi

 Liitteet

Opinion of the European Banking Authority on the deadline for the migration to SCA for e-commerce card-based payment transactions, julkaistu 16.10.2019

Finanssivalvonnan valvottavatiedote 5.9.2019

Finanssivalvonnan kannanotto 24.6.2019

Taustatietoa PSD2-sääntelystä

Vahvalla tunnistamisella tarkoitetaan maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kolmesta toisistaan riippumattomasta vaihtoehdosta. Nämä vaihtoehdot ovat tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (esimerkiksi pin-koodi, salasana) hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (esimerkiksi matkapuhelin, tunnuslukulaite) sekä maksupalvelun käyttäjän yksilöivä ominaisuus (esimerkiksi sormenjälki, kasvokartasto).

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja käyttää maksutiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Sääntelyn mukaista vahvaa tunnistamista on siis käytettävä pääsääntöisesti kaikissa maksaja-aloitteisissa sähköisissä maksutapahtumissa esimerkiksi verkkopankissa, verkkokaupassa tai kaupan maksupäätteellä.

Sääntelyssä on rajattuja tilanteita, joissa vahvaa tunnistamista ei tarvitse toteuttaa. Tällaisia ovat esimerkiksi enintään 50 euron lähimaksut kivijalkakaupassa tai enintään 30 euron verkkomaksut. Näissäkin tilanteissa vahva tunnistaminen vaaditaan, kun ostokerroille tai ostojen yhteismäärälle asetetut turvarajat tulevat täyteen.

Lisätietoa PSD2 sääntelystä Finanssivalvonnan verkkopalvelusta.