Forfatter: Mario Ek Aparicio, Product Manager ved Vipps
13. januar 2018 ble PSD2 (Revised Payment Services Directive) innført. Dette er et EU-direktiv som stiller nye krav til hvordan betalingsformidling skal skje i EU og EØS. Mange er kjent med PSD2 som et “Open Banking” regelverk, altså at bankkunder skal få tilgang til sine banktjenester via tredjeparts nettjenester eller apper. Slik skal man øke konkurranse og innovasjon i bransjen og slippe til nye aktører.
Men som en del av innføringen av PSD2 stiller europeiske bankmyndigheter (EBA) ytterlige krav til sikkerhet (gjennom deres regulatory technical standards, RTS). Det er naturlig at det stilles strenge sikkerhetskrav i en setting hvor flere aktører får tilgang til kundenes banktjenester og kontoinformasjon. Men disse kravene stilles ikke bare i slike situasjoner, sikkerhetskravene gjelder for all online-betaling, altså netthandel generelt! Disse kravene trer i kraft 14. september.

I utgangspunktet sier EBAs sikkerhetskrav at alle betalinger på nett skal godkjennes av kunde, noe de kaller krav til Strong Customer Authentication eller SCA. Dette betyr i utgangspunktet at man vil kreve en godkjenning fra bruker mye oftere enn i dag. I praksis betyr dette at mange må gjennomgå en BankID-godkjenning der man i dag kun legger igjen kortnummeret. Heldigvis er BankID både utbredt og godt kjent hos norske forbrukere, og derfor vil BankID gi en god og enhetlig brukeropplevelse. Men konsekvensen er at brukere vil oppleve mer friksjon i betalingsøyeblikket, noe som vil føre til at noen flere avbryter kjøpet. Det er potensielt dårlige nyheter for nettbutikker!
Det finnes selvfølgelig en god del unntak til SCA – kravene. For det første trenger man ikke å godkjenne mindre beløp, litt slik Nordmenn er blitt veldig vant til med kontaktløs betaling, eller tæpping. Likevel stilles det krav til aktiv godkjenning for hver femte transaksjon, og da blir det vanskelig å lage en konsistent og enhetlig brukeropplevelse for betaling av småbeløp på farta.
Det er også mulig å få unntak basert på risiko, noe Visa og MasterCard mener skal kunne dekke opp til 95% av alle transaksjonene. Dette unntaket krever dog at bankene, som utsteder betalingskortene, har på plass teknologi for å gjøre risikovurdering i sanntid. Både kortutstedere og betalingstilbyderne må også benytte de nyeste versjonene av Visa og MasterCard sine sikkerhetssystemer (3D Secure 2) for å være i stand til å fange opp all informasjon som trengs for å gjøre risikovurderingen av transaksjonene. Selv om noen aktører i Norge har denne teknologien på plass, vil ikke alle norske banker være i stand til å lene seg på disse løsningene 14. september. Til syvende å sist kommer mye ansvaret og risiko til å ligge hos bankene hvis man ikke kan bevise at brukere har godkjent betalingene.

Denne situasjonen gjør det mulig for større aktører, eksempelvis digitale lommebøker som Apple Pay, Vipps og PayPal, å ivareta både sikkerhetskravene og brukeropplevelsen på en svært god måte i og med at de baserer seg på mobile enheter og biometri for innlogging og godkjenning av betalinger. Det er nemlig mulig å inngå avtaler med bankene om at man kan gjennomføre godkjenning av betalingene på vegne av banken, eksempelvis med fingeravtrykk eller FaceID. Dette er nok ikke noe en hvilken som helst fintech-startup vil klare å gjennomføre. Dette krever forhandlingskraft overfor bankene, og det er heller ingenting som hindrer bankene i å ta seg betalt for delegert godkjenning. Apple Pay har eksempelvis svært mange sluttbrukere som går til sine banker å uttrykker sterke ønsker om å bruke betalingstjenesten.
Så hva skjer 14. september når kravene til SCA trer i kraft?
I verste fall vil svært mange betalinger kreve godkjenning av kunde, noe som vil påvirke netthandelen negativt. Brukere som har lagret kort i hos brukerstedet, eller i nettleseren vil møte mye mer friksjon i betalingsøyeblikket. De overnevnte aktørene som leverer godkjenning med biometri kunne gi en mye bedre brukeropplevelse, i hvert fall på kort sikt.
Mange tror likevel at lite vil skje 14. september. EBA sier foreløpig ingenting om hvilke sanksjoner banker risikerer ved å ikke være 100% “compliant”. Men i Norge har det eksistert krav om SCA siden januar 2016. Derfor kommuniserte Finanstilsynet nylig at de har en forventning om at norske banker tar inn over seg SCA kravene som kommer gjennom PSD2. Videre er det slik at fravær av gyldig godkjenning av betalinger vil føre til at brukersteder må gjennomføre tilbakebetalinger til alle kunder som bestrider kjøpet (“it wasn’t me”). Dette er faktisk situasjonen allerede i Norge siden man allerede har krav om godkjenning av betalinger.
Det er vanskelig å si nøyaktig hva som skjer 14. september, men det er ingen som tror at hele netthandelsmarkedet vil stoppe opp. Likevel har dette høy prioritet i betalingsmiljøer i bankene, hos enkelte brukersteder og hos betalingstilbydere. Det er også besnærende å se at konsekvensen av PSD2, som skulle skape mer innovasjon og få flere aktører på banen, faktisk kan ende opp med å befeste posisjonen til allerede sterke og etablerte aktører.
Interessant? Del gjerne!