Marcus OlssonFrilansande webbutvecklare

PSD2 (SCA) – en månad kvar

Den 14:e september träder EUs nya direktiv PSD2 i kraft (Payment Services Directive, "tvåan" syftar på att det är det uppdaterade direktivet). Direktivet innehåller en rad regler, lagar och plikter för framförallt banker.

Men det finns dels också en stor punkt som påverkar framförallt oss konsumenter – samt en som påverkar alla de (inklusive mig själv) som arbetar med betalningar på nätet.

SCA

Kanske den största och mest kända punkten i PSD2. SCA står för Strong Customer Authentication – och innebär helt enkelt att bankerna (och i förlängning betalningsportaler/terminaler) har skyldighet att säkerställa att det faktiskt är innehavaren av t.ex. ett betalkort som genomför betalningen.

Detta görs genom att minst två av följande tre verifieringskrav uppfylls:

  • A) Verifiering genom något som kunden vet (t.ex. PIN-kod eller lösenord)
  • B) Verifiering genom något som kunden har (t.ex. en telefon eller annan hårdvara)
  • C) Verifiering genom något som kunden är (biometrisk verifikation, t.ex. fingeravtryck)

För oss i Sverige så blir det oftast inga större skillnader från idag. Vi är redan vana med att verifiera betalningar med t.ex. BankID och uppfyller då A & B. Använder man t.ex. Apple Pay uppfyller man samtliga tre krav.

I.o.m. att PSD2 träder i kraft så kommer förmodligen vi konsumenter att se det extra autentiseringssteget i fler betalningar och kommer med stor sannolikhet att lära känna Visas Verified by Visa och Mastercards SecureCode-varianter likaså ("3D Secure").

Det speciella med SCA i PSD2 är att detta gäller för samtliga terminaler som vill hantera kunder hos Europeiska banker, så även t.ex. amerikanska e-handlare behöver implementera system för att stödja t.ex. 3D-secure.

Undantag i SCA och särskilda villkor

Det finns vissa specialfall där SCA inte behöver uppfyllas, t.ex. så får mindre belopp (i nuläget belopp under €30) dras upp till fem gånger från ett kort utan extra verifikation. Men med största sannolikhet så kommer förmodligen bankerna att kräva autentisering i så många fall som det rimligt går.

Vissa banker och sektorer har även fått dispans på att skjuta upp implementationen av SCA upp till 18 månader fr.o.m. den 14:e september.

Sedan vi såklart specialfallet Storbritannien – även deras banker har fram till 2021 att implementera direktivet fullt ut. Men även här får man nog räkna med att fr.o.m. den 14:e september så kommer deras banker (i alla fall storbankerna så som Barclays och HSBC) att avböja transaktioner utan extra autentisering i många fall.

Anpassning av betalningslösningar

Om du driver en e-butik eller säljer något på nätet har du förhoppningsvis redan lite koll på SCA i alla fall. Använder du en "komplett" plattform som t.ex. Tictail Shopify eller Texttalk är sannolikheten väldigt stor att du inte ens behöver tänka på det eller genomföra några extra åtgärder.

Men för oss som har egna betallösningar via t.ex. Stripe har det varit hektiskt på sistonde.

Stripe SCA betalning på Webbjobb.io, med Apple PayStripes nya betalningsterminal (med Apple Pay) på webbjobb.io.

Jag har skrivit om Stripe förr, men än en gång har de gjort ett fantastiskt jobb med deras produkter för att anpassa dem efter SCA och ge löpande information om hur jag som användare påverkas.

Har i veckorna byggt om och lanserat tre uppdaterade betallösningar (både med deras klientbasserad Checkout-lösning och deras serverbaserade Session-lösning) genom Stripe – samtliga i det här fallet ovanpå Laravel. Har bara gott att säga.

Open Banking och konsumenters rätt till sin data

En kanske inte lika känd punkt i PSD2 men minst lika viktig för oss konsumenter är "Open Banking". Denna delen trädde egentligen i kraft redan i januari 2018 (även här har bankerna tid på sig att anpassa sina system).

Idén med Open Banking är att standardisera och sammarbeta kring hur banker hanterar data, transaktioner och andra bankprodukter. Och på sikt även låta oss konsumenter ta del av vår egen data – eller om vi så vill, låta en tredje part ta del av den informationen. Lite så som elmarknaden fungerar idag i Sverige, där vi som elköpare kan låta t.ex. Greenely och andra liknande tjänster komma åt vår information.

I praktiken innebär detta att banker ska öppna upp API:er där vi själva kan bestämma vem eller vilka som får hämta vår egna data.

Varför inför EU den här regeln? Tanken är främst att stärka konsumenters rättigheter kring vår egen information och utsätta bankerna för konkurrens mellan länderna. Men en kanske lika intressant punkt är tanken att detta ska stimulera innovation inom bankväsendet i EU.

Vilket är helt sant då en rad nya möjligheter kommer att öppnas. Tänk dig t.ex. en app där du kan se en övervy av dina aktier oavsett bank. När du sedan vill köpa fler aktier så väljer appen den plattformen med lägst courtage automatiskt – för dig spelar det ingen roll vilken bank det är då allt ändå är samlat.

Eller en app som håller koll på ditt bolån och automatiskt lägger om det när en annan bank erbjuder en bättre ränta.

I teorin kommer detta att vara möjligt på sikt.


Kategorier

EU Internet Webbutveckling Övrigt

Tidigare inlägg
Jag bygger hus

Relaterade inlägg
Flytten till Cloudflare har börjat
"Ditt lösenord är..."
Extended Validation Certificates are Dead

🏠 Tillbaka till artiklarna