MobilePay spørgsmål og svar pr. 15.10.2019


PSD2

Hvad er PSD2?

PSD2 (Revised Payment Service Directive) er det reviderede betalingsdirektiv fra EU, der træder i kraft fra 14. september 2019. Med direktivet er kravene til sikkerhed i forbindelse med elektroniske betalinger skærpet, dvs. dermed også MobilePay-betalinger.  I praksis betyder det, at der skal minimum to faktorer til  for at godkende en elektronisk betaling. Det, der i daglig tale bliver kaldt to-faktor-godkendelse.

Hvornår træder PSD2 i kraft?

Den 14. september 2019.

Hvilke betalinger omfatter PSD2?

PSD2 gælder for elektroniske betalinger, dvs. også MobilePay-betalinger.

Hvem gælder PSD2-reglerne for?

PSD2 omfatter virksomheder, der udbyder betalingstjenester.

Hvad er SKA og ”to-faktor-godkendelse”?

SKA står for ”Stærk kundeautentifikation”. Stærk kundeautentifikation betyder, at der minimum skal to faktorer til  for at godkende en elektronisk betaling. Det, der i daglig tale bliver kaldt to-faktor-godkendelse, og som skal indeholde to af de tre nedenstående faktorer:

  1. noget man har (fx ens mobiltelefon eller betalingskort)
  2. noget man ved (fx en personlig kode)
  3. noget man er (fx ansigts-genkendelse eller fingeraftryk)

MobilePay-betalinger bygger som udgangspunkt på to-faktor-godkendelse:

  1. Betalingen sker fra din telefon (noget du har), som er knyttet til din MobilePay-app
  2. Og du åbner appen med en personlig kode (noget du ved) eller fingeraftryk/ansigtsgenkendelse (noget du er) for at godkende betalingen
 

Hvad er 3D Secure?

3D Secure (ofte forkortet 3DS ) er et ekstra sikkerhedslag, som man bruger i forbindelse med kortbetalinger. Det betyder, at en kortindehaver ved betaling får tilsendt en OTP-kode (One Time Password) på sms, som kortindehaveren skal indtaste for at kunne gennemføre en betaling.
Løsningen bliver typisk brugt ved kortbetalinger online.

Bruger MobilePay 3D Secure?

MobilePay bruger 3D Secure ved registrering af betalingskort i appen. Det betyder, at når du som bruger lægger et betalingskort i appen, godkender du kortet med en sms-kode, der bliver sendt til din telefon. På den måde sikrer vi, at den, der indtaster kortoplysningerne også er ejeren af det betalingskort, der bliver lagt i appen. 

I forhold til selve transaktionen imødekommer MobilePay kravet om stærk kundeautentifikation (SKA) og dermed de skærpede krav til sikkerhed, så her er der ikke behov for det ekstra step med 3D Secure i betalingen. Imidlertid afhænger betalinger med MobilePay Online også af, hvordan din bank og betalingsformidleren i den webshop, hvor du handler, har implementeret de nye sikkerhedskrav. 

  1. I de fleste situationer vil du opleve onlinebetalinger med MobilePay, som du plejer. Du logger ind i appen og swiper.
  2. I andre situationer vil du efter swipet også møde 3D Secure, dvs. en kode via sms som du skal indtaste, før betalingen er godkendt.

På sigt forventer vi, at brugeroplevelsen online igen vil blive den samme alle steder, så du blot logger ind og swiper.

 

Hvordan lever MobilePay op til kravet om SKA?

MobilePay-betalinger bygger som udgangspunkt på to-faktor-godkendelse:

  1. Betalingen sker fra din telefon (noget du har), som er knyttet til din MobilePay-app
  2. Og du åbner appen med en personlig kode (noget du ved) eller fingeraftryk/ansigtsgenkendelse (noget du er) for at godkende betalingen
 

Hvad betyder SKA for mig som forbruger?

Som udgangspunkt vil du fra den 14. september ikke opleve nogen forskel ved brug af MobilePay, fordi to-faktor-godkendelse ligger i MobilePay-betalingens DNA. De eneste situationer, hvor du vil kunne opleve en forskel, er:

Hvorfor skal jeg låse appen op igen, når jeg lige har betalt eller overført penge?

De skærpede krav til sikkerhed, som udspringer af EU’s reviderede betalingsdirektiv, PSD2, betyder, at der minimum skal to faktorer til  for at godkende en elektronisk betaling. Hvis du allerede er logget ind i MobilePay-appen og har lavet en betaling eller overførsel, og du vil lave en ny betaling eller overførsel, kræver reglerne derfor, at du skal indtaste din MobilePay-kode eller bruge fingeraftryk/ansigtsgenkendelse. 

Hvad betyder SKA for mig som virksomhed?

Et af formålene med de skærpede sikkerhedskrav er generelt at mindske misbrug ved betaling og derved sikre både forbrugeren og dig som virksomhed, så tilliden i samfundet til betalinger generelt bliver opretholdt.

Skal jeg gøre noget som virksomhed?

Som udgangspunkt skal du som virksomhed ikke gøre andet, end du plejer.

Hvad sker der, hvis betalingen ikke lever op til SKA?

Hvis en betaling ikke lever op til kravet om SKA, vil den ikke gå igennem – medmindre den lever op til nogle af undtagelserne fra SKA, som bankerne kan vælge at gøre brug af.

Skal jeg som integrator af MobilePay Subscriptions implementere ændringer?

Nej, du skal som integrator af MobilePay Subscriptions-løsningen ikke lave nogen ændringer for, at MobilePay Subscriptions lever op til de skærpede sikkerhedskrav.

Hvordan lever Subscriptions-løsningen op til krav om SKA?

Ved betaling med MobilePay Subscriptions vil  der ikke være nogen forskel i forhold til før den 14. september, fordi løsningen allerede imødekommer de skærpede sikkerhedskrav. 
Når brugeren godkender betalingsaftalen, sker det via to-faktor-godkendelse:

  1. Godkendelse af betalingsaftalen sker fra brugerens telefon (noget brugeren har)
  2. Og brugeren logger ind i appen med en personlig kode (noget brugeren ved) eller fingeraftryk/ansigtsgenkendelse (noget brugeren er) for at godkende betalingsaftalen

De efterfølgende opkrævninger er undtaget fra kravet om to-faktor-godkendelse, fordi betalingerne betragtes som merchant-initierede (MIT), og det ligger i den aftale, som kunden har godkendt, at virksomheden må trække det aftalte beløb med en fast frekvens.

 

Hvordan lever one off-betalinger via MobilePay Subscriptions op til krav om SKA?

Brugeren godkender en one off-betaling via MobilePay Subscriptions med to-faktor-godkendelse:

  1. Godkendelse af betalingen sker fra brugerens telefon (noget brugeren har)
  2. Og brugeren logger ind i appen med en personlig kode (noget brugeren ved) eller fingeraftryk/ansigtsgenkendelse (noget brugeren er) for at godkende betalingen
 

Har det nogen betydning i forhold til SKA, hvis virksomheden ændrer i frekvensen i kundens betalinger?

Ændrer virksomheden  væsentligt i aftaleforholdet med kunden, vil virksomheden skulle oprette en ny aftale, som kunden skal godkende. Væsentligt betyder fx hvis beløbet stiger betydeligt, eller kunden vælger et helt andet produkt.

Overholder MobilePay Subscriptions kravet om SKA, hvis de faste betalinger har varierende beløbsstørrelse?

I og med at betalingsaftalen godkendes via SKA (to-faktor-godkendelse) i aftaleoprettelsen, betyder det ikke noget, om de efterfølgende opkrævninger har varierende størrelse, hvis det tydeligt fremgår af den aftale, virksomheden har med kunden. Nogle aftaler afregner varierende forbrug, og her vil beløbet variere fra gang til gang. Så længe det er en del af virksomhedens aftale med kunden, er det ikke et problem.

Sker der væsentlige ændringer i aftaleforholdet mellem virksomheden og kunden, skal der oprettes en ny betalingsaftale med SKA.  
Det er virksomhedens ansvar at sikre, at virksomhedens aftale med kunden lever op til kravene i PSD2. MobilePay sikrer, at selve betalingen via MobilePay Subscriptions er i overensstemmelse med de skærpede sikkerhedskrav.

 

Hvad betyder det, at betalingen er merchant-initieret (MIT)?

Merchant-initieret opkrævning betyder, at kunden ikke er involveret i selve initieringen af opkrævningen. Eneste tidspunkt, hvor kunden direkte er involveret, er i oprettelsesøjeblikket, hvor der også i nogle tilfælde kan initieres en betaling. Kunden godkender altid selve betalingsaftalen med SKA (dvs. to-faktor-godkendelse).
De efterfølgende opkrævninger er udelukkende initieret af virksomheden, der med en aftalt frekvens, opkræver et beløb, der ligger inden for den aftaleramme, som virksomheden har med kunden. 
Kunden har dermed ingen aktiv rolle i initieringen af opkrævningen. Først når opkrævningen vises i MobilePay-appen frem mod forfaldsdatoen, kan kunden afvise betalingen.  Ellers sker betalingen automatisk på forfaldsdato.