PSD2 (SCA) – en månad kvar

Marcus Olsson,

Den 14:e september 2019 träder EUs nya direktiv PSD2 i kraft (Payment Services Directive, "tvåan" syftar på att det är det uppdaterade direktivet). Direktivet innehåller en rad regler, lagar och plikter för framförallt banker.

Men det finns dels också en stor punkt som direkt påverkar oss som konsumenter och i förlängningen alla de (inklusive mig själv) som arbetar med betalningar på nätet.

SCA

Kanske den största och mest kända punkten i PSD2.

SCA står för Strong Customer Authentication – och innebär helt enkelt att bankerna (och i förlängning betalningsportaler/terminaler) har en skyldighet att säkerställa att det faktiskt är innehavaren av t.ex. ett betalkort som genomför betalningen.

Detta görs genom att minst två av följande tre verifieringskrav uppfylls:

  • A) Verifiering genom något som kunden vet (t.ex. PIN-kod eller lösenord)
  • B) Verifiering genom något som kunden har (t.ex. en telefon eller annan hårdvara)
  • C) Verifiering genom något som kunden är (biometrisk verifikation, t.ex. fingeravtryck)

För oss i Sverige så blir det allt som oftast inga större skillnader från idag. Vi är redan vana med att verifiera betalningar med t.ex. BankID och uppfyller då A & B. Använder man t.ex. Apple Pay uppfyller man samtliga tre krav.

När PSD2 träder i kraft så kommer förmodligen vi konsumenter att se det extra autentiseringssteget i fler betalningar än idag och kommer med stor sannolikhet att lära känna Visas "Verified by Visa" och Mastercards "SecureCode"-varianter ("3D Secure").

Det speciella med SCA i PSD2 är att detta gäller för samtliga terminaler som vill hantera europeiska kunder, så även t.ex. amerikanska e-handlare behöver implementera system för att stödja 3D-secure.

Undantag i SCA och särskilda villkor

Det finns vissa specialfall där SCA inte behöver uppfyllas, t.ex. så får mindre belopp (i nuläget belopp under €30) dras upp till fem gånger från ett kort utan extra verifikation. Men med största sannolikhet så kommer förmodligen bankerna att kräva autentisering i så många fall som det rimligt går.

Vissa banker och sektorer har även fått dispans på att skjuta upp implementationen av SCA upp till 18 månader (räknat från 14:e september).

Sedan har vi såklart specialfallet Storbritannien. Även deras banker har fram till 2021 att implementera direktivet fullt ut, men även här får man förmodligen räkna med att fr.o.m. den 14:e september så kommer i alla fall storbankerna så som Barclays och HSBC att avböja transaktioner utan extra autentisering i många fall.

Anpassning av betalningslösningar

Om du driver en e-butik eller säljer något på nätet har du förhoppningsvis i alla fall lite koll på SCA redan. Använder du en "komplett" plattform som t.ex. Tictail Shopify eller Texttalk är sannolikheten väldigt stor att du inte ens behöver tänka på det eller genomföra några extra åtgärder på egen hand.

Men för oss som har egna betallösningar via t.ex. Stripe har det varit hektiskt på sistone.

Stripe SCA betalning på Webbjobb.io, med Apple Pay Stripes nya betalningsterminal (med Apple Pay) på webbjobb.io.

Jag har skrivit om Stripe förr, men än en gång har de gjort ett fantastiskt jobb med deras produkter för att anpassa dem efter SCA och ge löpande information om hur jag som användare/utvecklare påverkas.

Har i veckorna byggt om och lanserat inte mindre än fyra uppdaterade betallösningar genom Stripe (både med deras klientbaserade Checkout-lösning och deras serverbaserade Session-lösning) – samtliga i det här fallet ovanpå Laravel. Har bara gott att säga.

Open Banking och konsumenters rätt till sin data

Slutligen; en kanske inte lika känd punkt i PSD2 men minst lika viktig för oss konsumenter är "Open Banking". Denna delen trädde egentligen i kraft redan i januari 2018 (även här har bankerna tid på sig att anpassa sina system).

Idén med Open Banking är att standardisera och sammarbeta kring hur banker hanterar data, transaktioner och andra bankprodukter. Och på sikt även låta oss konsumenter ta del av vår egen data – eller om vi så vill, låta en tredje part ta del av den informationen. Lite så som elmarknaden fungerar idag i Sverige, där vi som elköpare kan låta t.ex. Greenely och andra liknande tjänster komma åt vår information.

I praktiken innebär detta att banker ska öppna upp API:er där vi själva kan bestämma vem eller vilka som får hämta vår egna data.

Varför inför EU den här regeln? Tanken är främst att stärka konsumenters rättigheter kring vår egen information och utsätta bankerna för konkurrens mellan länderna. Men en kanske lika intressant punkt är tanken att detta ska stimulera innovation inom bankväsendet i EU.

Vilket är helt rätt då en rad nya möjligheter kommer att öppnas. Tänk dig t.ex. en app där du kan se en samlad övervy av alla dina aktier oavsett bank. När du sedan vill köpa fler eller nya aktier så väljer appen den plattformen med lägst courtage automatiskt – för dig spelar det ingen roll vilken bank det är då allt ändå är samlat.

Eller en app som håller koll på ditt bolån och automatiskt lägger om det när en annan bank erbjuder en bättre ränta.

I teorin kommer detta att vara möjligt på sikt.

Precis som när GDPR trädde ikraft så ska det bli spännande att se hur de olika aktörerna arbetar och vilka eventuella problem detta ställer till med.

Tyvärr så misstänker jag att det är de e-handlarna som inte är tillräckligt pålästa som kan få det lite tufft om deras kunders betalningar helt plötsligt inte går igenom.