SBS-regel ålägger banker. Konsumenter kommer att märka en förändring i hur köp och betalningar med ”plastpengar” godkänns när det gäller digitala transaktioner
Tisdagen den 1 juli träder den nya förändringen i kraft för användningen av kredit- och betalkort från banker och andra finansinstitut: närmare bestämt hur användaren autentiseras och betalningen med ”plastpengar” godkänns.
Inom ramen för detta har nya regler införts för att säkerställa säkerheten vid transaktioner med kredit- och betalkort, med kortet fysiskt närvarande (vid interaktion med en enhet, t.ex. en POS-terminal) eller utan kort (t.ex. vid digitala köp, där endast uppgifterna anges). Från och med den 1 juli måste bankerna därför se till att kunderna ombeds ange två autentiseringsfaktorer för att validera digitala transaktioner. Transaktioner i ”fysisk” form bör redan ha dessa två faktorer implementerade.
I juli 2024 hade eftersom man ansåg det nödvändigt att ändra det nuvarande regelverket för att ”klargöra företagens ansvar i förfarandena för validering av användarnas identitet och inhämtande av deras samtycke vid transaktioner, i fall av icke-erkända transaktioner och transaktioner som har behandlats utan att först kräva förstärkt autentisering”.
Förstärkt autentisering för kortbetalningar
Från och med den 1 juli måste finansiella företag i landet säkerställa att ”autentiseringsprocessen för användare som genomför transaktioner med kort” sker i enlighet med artikel 19 i cybersäkerhetsförordningen och genom de faktorer som kategoriseras i artikel 2 j) i samma förordning.
Det innebär att förstärkt autentisering krävs ”för åtgärder som kan leda till bedrägliga transaktioner eller annat missbruk av tjänsten till nackdel för kunden”. Detta skulle ske på grundval av användarautentiseringsfaktorer – de faktorer som används för att verifiera en användares identitet, som kan vara något som endast användaren känner till, något som endast användaren har eller något som användaren är (inklusive biometriska egenskaper).
Det kommer således att krävas en kombination av autentiseringsfaktorer som åtminstone tillhör två olika kategorier och som är oberoende av varandra. Detta görs redan vid transaktioner med fysiska kort, genom att ange en kod eller PIN-kod. Tidigare var detta dock inte nödvändigt och man behövde bara dra kortet för att validera betalningar.
Nu måste bankerna ha två autentiseringsfaktorer för användning av betalkort och kreditkort. De kommer att stå för förluster vid icke-erkända transaktioner som inte har verifierats på detta sätt. – Crédito Andina
Nu kommer två autentiseringsfaktorer att krävas i följande fall:
- För transaktioner med kortnärvarande krävs två faktorer, varav den första är kortets chip eller dess digitala representation. Den andra faktorn kan vara en hemlig kod (PIN) eller annan kod som fastställs av tillsynsmyndigheten. Detta är punkt 7.1 som redan är i kraft. Följande regler gäller
- För transaktioner med kort som inte är fysiskt närvarande krävs två faktorer, varav den första är uppgifterna som finns på kortets fysiska eller digitala representation. Den andra faktorn kan vara en dynamisk verifieringskod på kortet eller en annan faktor som kan verifieras online och som begärs av användaren. I detta fall måste företaget tillämpa dubbel autentisering för kort som utfärdats från och med den 1 juli 2025
- Men vid användning av kort som inte är fysiskt närvarande, med avseende på kort som utfärdats före den 1 juli 2025 och som fortfarande är giltiga efter detta datum, måste bankerna autentisera användaren senast vid förnyelsen
- För transaktioner med mobila plånböcker från tredje part som baseras på korttokenisering måste kortet registreras för användning av denna tjänst i enlighet med föregående avsnitt, och efterföljande transaktioner måste autentiseras genom korttokenisering och en andra faktor av annan art, även från och med den 1 juli.
- För transaktioner med extra kreditkort i form av kort som inte är fysiskt närvarande måste företaget från och med den 1 december 2025 autentisera användaren i enlighet med ovanstående, oavsett kortets utfärdandedatum.
För ansvar för förluster vid icke erkända transaktioner är företaget dock från och med den 1 april 2026 ansvarigt för förluster vid icke erkända transaktioner – såvida det inte kan styrka att användaren är ansvarig – endast vid användning av kort som inte är fysiskt närvarande (digitala transaktioner) för kort som utfärdats före den 1 juli 2025.
Vad är transaktioner med kort som inte är fysiskt närvarande?
Transaktioner med kort som inte är fysiskt närvarande är transaktioner där betalningsinstrumentet (kortet) inte interagerar direkt med den enhet som registrerar informationen.
Å ena sidan sker korttransaktioner med kort när man köper något i en butik och använder kortet för att betala i ett POS-system, antingen genom att mata in kortet eller genom att hålla det över en chip som detekteras automatiskt. Men korttransaktioner utan kort inkluderar onlineköp eller köp per telefon, där endast kortuppgifterna matas in.
