20 aug 2019

Skærpede sikkerhedskrav ved online betalinger træder i kraft

Den 14. september træder dele af betalingstjenestedirektivet (PSD2) i kraft, hvilket betyder, at der fremadrettet skal tages højde for nye regler på området for onlinebetalinger. Reglerne vil påvirke betalingstjenesteudbydere såvel som virksomheder, der modtager betalinger fra forbrugere online.

De nye regler har til formål at forøge sikkerheden ved brug af elektroniske betalinger for herved at minimere antallet af misbrugstilfælde. Reglerne giver således en større sikkerhed for både betaleren og betalingsmodtageren, men kan samtidig skabe udfordringer for begge.

Kravet om to-faktor-godkendelse

Med de nye regler vil den mest fremtrædende ændring være, at der fremadrettet stilles krav om stærk kundeautentifikation, hvilket konkret vil sige et minimumskrav om to-faktor-godkendelse, før en online betaling kan gennemføres.

En to-faktor-godkendelse betyder, at der stilles krav om godkendelse og verificering af betalinger med to forskellige faktorer, før betalingen kan gennemføres. I praksis betyder det, at betaleren skal tilkendegive to forskellige ting, som kan bestå af de tre kategorier nedenfor:

  • Noget betaleren er (f.eks. et fingeraftryk eller stemmegenkendelse)
  • Noget betaleren ved (f.eks. en adgangskode eller spørgsmål)
  • Noget betaleren har (f.eks. et betalingskort eller applikation)  

For så vidt angår de forskellige kategorier bemærkes det, at der som minimum skal ske en kombination af to tilkendegivelser (en fra hver sin kategori), før kravet om to-faktor-godkendelse er opfyldt.

Undtagelser fra kravet

De nye regler gælder som udgangspunkt alle betalinger, men visse tilfælde vil dog være undtaget fra kravet om to-faktor-godkendelse, selvom der reelt sker en online betaling.

  1. Betalinger som maksimalt udgør op til EUR 30 er undtaget fra kravet, men det skal dog samtidig bemærkes, at der fortsat skal ske to-faktor-godkendelse ved hver femte betaling, eller såfremt det samlede beløb for flere betalinger overstiger EUR 100.  
  2. Ligeledes er betalinger til personer eller virksomheder, som betaleren selv har opført på en liste over betroede modtagere, også undtaget fra kravet.
  3. Herudover vil tilbagevendende betalinger på samme beløb til samme modtager være undtaget, når blot der er sket en to-faktor-godkendelse ved den første betaling.  

Hvilken betydning får de nye krav for din virksomhed?

Selvom der allerede eksisterer en række løsninger på området, som er i overensstemmelse med de kommende krav efter PSD2, er der fortsat mange virksomheder, der endnu ikke har implementeret to-faktor-godkendelse som led i deres betalingstjeneste, og som derfor endnu ikke er teknisk klar til de nye reglers ikrafttræden.

Som virksomhedsejer skal du derfor være særligt opmærksom på, at konsekvenserne ved fortsat at tilbyde betalinger uden to-faktor-godkendelse er, at virksomheden hæfter for tab i forbindelse med et eventuelt misbrug. Herudover kan du risikere at miste betalinger, da andre finansielle virksomheder, der har en rolle i betalingsstrømmen, kan afvise betalinger, der ikke lever op til to-faktor-godkendelse

Vi anbefaler derfor, at du som virksomhedsejer forholder dig til, om virksomhedens online betalingssystem lever op til de kommende sikkerhedskrav, inden disse træder i kraft, og i benægtende fald tager stilling til, hvilken type to-faktor-godkendelse virksomheden ønsker at implementere.  

Har du eller din virksomhed spørgsmål til de nye sikkerhedskrav ved online betalinger, er du altid velkommen til at kontakte os.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du brug for rådgivning til at overholde de nye krav?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.