Nye EU-regler for betalinger med krav om stærk kundeidentifikation

Internetforretninger kan blive afskåret fra at modtage betaling, hvis de ikke er teknisk klar med stærk kundeidentifikation, når kravene træder i kraft 14. september 2019.
Nyhed

Betalingsrådet offentliggjorde 6. juni en udtalelse om kravene til betalinger og understregede, at alle på betalingsmarkedet frem mod den 14. september 2019 skal sørge for at understøtte de nye sikkerhedskrav. 

Først og fremmest ved et krav om stærk kundeidentifikation – eller to-faktor autentifikation, som betyder, at der anvendes mindst to faktorer til at godkende en betaling. Det indebærer, at en online kortbetaling skal godkendes med et ekstra element, eksempelvis indtastning af en engangskode modtaget via sms.

Forretninger og erhvervsdrivende

I fysisk handel i Danmark anvendes der allerede i dag stærk kundeautentifikation i form af autentifikation via chipkort og pinkode. Undtagelser fra kravet om stærk kundeautentifikation omfatter primært betalinger på op til 375 kr. med kontaktløse kort og betalinger i ubemandede terminaler til offentlig transport og parkering, såsom rejsekort og BroBizz.

Online handel

Formålet med de nye EU-regler er at gøre elektroniske betalinger mere sikre og være med til at dæmme op for misbrug i online handel, som udgør 80% af det samlede misbrug med danske betalingskort.

Kortindløsere og kortudstedere i Danmark, eksempelvis Nets og bankerne, tilbyder allerede i dag i vidt omfang løsninger til stærk kundeautentifikation. Internetforretninger bør derfor være særligt opmærksomme på de nye sikkerhedskrav for godkendelse af betalinger og skal sikre, at de er teknisk klar til at modtage betalinger godkendt med stærk kundeautentifikation senest 14. september 2019.

Undtagelser fra kravet om stærk kundeautentifikation i online handel omfatter bl.a. små betalinger på op til 225 kr. og betalinger til personer eller virksomheder, som betaleren selv har opført på en liste over betroede modtagere eller ved tilbagevendende betalinger på samme beløb til samme modtager, hvis den førte betaling er godkendt med stærk kundeautentifikation.

Ansvar for eventuelt misbrug

For forretninger kan betalinger, der ikke er godkendt med stærk kundeautentifikation, som udgangspunkt ikke gennemføres fra den 14. september 2019.

I de tilfælde, hvor kortudsteder, kortindløser eller forretning vælger at tilbyde betalinger uden brug af stærk kundeautentifikation, vil virksomheden som udgangspunkt hæfte for alle tab i forbindelse med et eventuelt misbrug, med mindre andet er aftalt mellem forretning, kortindløser og kortudsteder.

De nye regler medfører derudover, at en forbruger som udgangspunkt ikke hæfter for tab ved svigagtige betalinger, hvis der ikke er anvendt stærk kundeautentifikation.

Har du spørgsmål til de nye EU-regler og brug for hjælp til at sikre, at du overholder reglerne, er du altid velkommen til at kontakte Lund Elmer Sandagers afdeling for IT-ret.