Finanssivalvonta sallii tilapäisiä helpotuksia vahvan tunnistamisen toteuttamiseen verkkokaupan korttimaksamisessa

Asiakkaan vahvan tunnistamisen vaatimus maksamisessa tulee sitovana voimaan 14.9.2019. Sääntely perustuu toiseen maksupalveludirektiiviin ja tulee saman sisältöisenä voimaan koko Euroopassa. Sääntelyllä pyritään parantamaan maksamisen turvallisuutta ja vähentämään väärinkäytöksiä. Myös kuluttajansuoja paranee. Verkkokaupan korttimaksamisessa muutos tarkoittaa sitä, että pelkällä kortin pinnalle painetuilla korttinumerotiedoilla ei voi enää pääsääntöisesti maksaa verkko-ostoksia. Jatkossa palveluntarjoajan on myös tunnistettava asiakas käyttäen vahvaa tunnistamista maksukortilla tehtävän maksun yhteydessä.

Vahvan tunnistamisen tilanne Suomessa

Vahvaa tunnistamista on jo käytetty Suomessa osassa verkkokauppaostoksia maksujen vahvistamiseen, vaikka se ei ole ollut pakollista. Uuden sääntelyn myötä vahvasta tunnistamisesta tulee pääsääntö, ellei maksutapahtuma kuulu sääntelyssä olevien poikkeusten piiriin. Samalla myös vahvan tunnistamisen menetelmät muuttuvat, kun uudet turvallisuusvaatimukset tulevat voimaan.

Finanssivalvonta on selvittänyt verkkokaupan korttimaksamisen eri osapuolten valmiutta uuden sääntelyn noudattamiseen. Saatujen vastausten perusteella Finanssivalvonta on arvioinut, että Suomessa verkkokaupan valmiudessa toteuttaa korttien liikkeeseenlaskijoina olevien pankkien edellyttämää vahvaa tunnistamista 14.9.2019 alkaen on paikoin merkittäviä puutteita.

Finanssivalvonnan kanta

Finanssivalvonta ei aio tilapäisesti kohdistaa hallinnollisia seuraamuksia valvottaviinsa, vaikka valvottavat laiminlöisivät lakiin perustuvan velvollisuutensa tunnistaa asiakas vahvasti verkkokaupan korttimaksujen yhteydessä. Tällä pyritään turvaamaan verkkokaupan korttimaksamisen jatkuvuus häiriöittä ja halutaan välttää kohtuuttoman haitan aiheutumista kuluttajille. Siirtymäajalla edesautetaan myös toimialan sujuvaa siirtymistä sääntelyn vaatimukset täyttäviin ratkaisuihin. Finanssivalvonnan linjaus on yhteneväinen Euroopan pankkiviranomaisen 21.6.2019 antaman kannanoton kanssa, jossa annetaan kansallisille valvojille mahdollisuus myöntää toimialan eri osapuolille lisäaikaa vahvan tunnistamisen vaatimien muutosprosessien toteuttamiseen.

Finanssivalvonnan myöntämä lisäaika vaatimusten ja muutosprosessien toteuttamiselle on tilapäinen. Finanssivalvonta päättää siirtymäajan pituudesta kuluvan vuoden aikana kuultuaan Euroopan pankkiviranomaisen ja muiden jäsenvaltioiden valvojien näkemyksiä asiasta. Finanssivalvonta tulee myöhemmin tänä vuonna edellyttämään kaikilta sen valvottavilta, jotka ovat verkkokaupan korttimaksamisen osapuolia, suunnitelmaa muutosprosessin toteutukselle.

Vahvan tunnistamisen voimaantulon vaikutukset

Vahvaa tunnistamista koskeva sääntely tulee voimaan 14.9.2019. Finanssivalvonta ei voi muuttaa sääntelyn voimaantulopäivää. Sääntelyn voimaantulolla on vaikutuksia muun muassa väärinkäytösten korvausvastuutilanteisiin kuluttaja-asiakkaan ja sen palveluntarjoajan välillä ja siten tällä linjauksella ei heikennetä kuluttajan oikeuksia korttimaksamisessa. Finanssivalvonta muistuttaa, että kuluttajaviestinnässä tulee antaa oikea kuva vastuunjakosäännöistä väärinkäytöstilanteissa.

Finanssivalvonnan kannanotto tunnuslukulistojen asemasta

Finanssivalvonta on 24.6.2019 antanut erillisen kannanoton tunnuslukulistoista osana asiakkaan vahvaa tunnistamista. Sen mukaan asiakkaiden tulee voida käyttää nykyisiä tunnuslukulistoja maksamisessa ja maksutilien käytössä niin kauan, kunnes pankki on riittävällä tavalla varmistanut uusien menetelmien käytettävyyden, saavutettavuuden ja toimintavarmuuden.

Lisätietoja antaa

Sanna Atrila, johtava lakimies, puhelin 09 183 5552, sanna.atrila(at)finanssivalvonta.fi

Liitteet

• Opinion of the EBA on the elements of strong customer authentication under PSD2 21.6.2019
• Finanssivalvonnan kannanotto 24.6.2019

Taustatietoa PSD2-sääntelystä

Vahvalla tunnistamisella tarkoitetaan maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kolmesta toisistaan riippumattomasta vaihtoehdosta. Nämä vaihtoehdot ovat tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (esimerkiksi pin-koodi, salasana) hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (esimerkiksi matkapuhelin, tunnuslukulaite) sekä maksupalvelun käyttäjän yksilöivä ominaisuus (esimerkiksi sormenjälki, kasvokartasto).

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja käyttää maksutiliään tietoverkon välityksellä, käynnistää sähköisen maksutapahtuman tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Sääntelyn mukaista vahvaa tunnistamista on siis käytettävä pääsääntöisesti kaikissa maksaja-aloitteisissa sähköisissä maksutapahtumissa esimerkiksi verkkopankissa, verkkokaupassa tai kaupan maksupäätteellä.

Sääntelyssä on rajattuja tilanteita, joissa vahvaa tunnistamista ei tarvitse toteuttaa. Tällaisia ovat esimerkiksi enintään 50 euron lähimaksut kivijalkakaupassa tai enintään 30 euron verkkomaksut. Näissäkin tilanteissa vahva tunnistaminen vaaditaan, kun ostokerroille tai ostojen yhteismäärälle asetetut turvarajat tulevat täyteen.

Lisätietoa PSD2 sääntelystä Finanssivalvonnan verkkosivuilta.