Artikeln uppdaterad 2021-04-14.
Skriven av Christofer Sandin.

Stark kundverifiering vid kortbetalningar

EU:s nya regelverk för kortbetalningar, Strong Customer Authentication (SCA), började att gälla redan 14 september 2019, så det har varit på gång ett tag, men från och med 1 januari 2021 är övergångsfasen slut och lagen gäller för alla kortköp i EU. På svenska kallas regelverket för stark kundverifiering.

Kravet ingår i ett större regelverk som kallas Payment Services Directive 2 (PSD2) som antogs av EU för några år sedan och syftet är att skapa bättre förutsättningar för säkra och effektiva betalningar, framförallt för privatpersoner.

SCA gäller för alla kortbetalningar som görs av konsumenter inom EU. Det finns visserligen undantag, exempelvis om köpet är under €30 och har låg risk, men du måste ändå ha ett system på plats för de köp som inte täcks av undantagen.

Vad det betyder i praktiken är att säljare inom EU måste verifiera köp med hjälp av så kallad tvåfaktorsautentisering för att bankerna skall låta köpet gå igenom.

Vad betyder autentisering med två faktorer?

Tvåfaktorsautentisering (2FA) är en säkerhetslösning som går ut på att du måste kunna verifiera dig med två olika saker för att autentiseringen skall godkännas.

Två faktorer betyder alltså egentligen bara två olika saker.

Det vanligaste exemplet är troligen när du knappar in ett lösenord på Internet och även måste knappa in en engångskod som du får via SMS. Då skyddas du av två faktorer, ditt lösenord som du kan och engångskoden som skickats till din telefon.

I fallet ovan så skickas engångskoden till din telefon vilket gör det mycket svårare att hacka ditt konto, jämfört med om man endast behöver kunna ett lösenord, eftersom man då även måste antingen komma över sms:et eller ha fysisk tillgång till telefonen.

Många större företag har både implementerat och rekommenderar tvåfaktorsautentisering på senare tid, bland annat Apple för att skydda ditt Apple-ID och Google för att skydda ditt Google-konto.

Hur fungerar tvåfaktorsautentisering vid kortköp?

För att godkänna ett köp måste köpare i EU alltså verifiera sig med två av följande faktorer gentemot sin bank efter 1 januari 2021:

något som köparen vet (exempelvis kod/lösenord),
något som köparen har (exempelvis en mobilenhet eller en dator), och
något som köparen är (del av den fysiska personen så som t.ex. ett fingeravtryck).

I stort är detta givetvis bra, då det gör hela köpupplevelsen säkrare för individen, men det kommer även innebära en rejäl omställning.

I vissa fall kommer det inte att påverka så mycket, utan flyta på relativt naturligt, men i andra fall kommer säljaren få det betydligt svårare att arbeta som innan.

Betalningsflöden där man betalar direkt (så som vid en checkout i en webbshop) påverkas inte speciellt mycket, då det är relativt naturligt att koppla på ytterligare en faktor i det steget.

Flöden där man klassiskt sparat undan kortuppgifter för att sedan dra pengar vid ett senare tillfälle kommer bli betydligt krångligare (så som exempelvis hotell ofta arbetar) då detta kan leda till att köparen måste verifiera köpet även vid ett senare tillfälle, vilket lär bli väldigt mycket krångligare att få till för säljaren.

Stripe har tagit fram en kort film på två minuter som förklarar detta

I praktiken betyder detta följande; i de fall där en stark kundverifiering behövs dyker det upp ett nytt steg mellan steget då användaren skriver in sina kortuppgifter och steget där det dras pengar från kortet. I detta steg kommer den nya 2FA att äga rum.

Det nya steget kan däremot se lite olika ut beroende på vilken bank kunden har, men kommer innehålla en verifiering av ytterligare en faktor så som

en engångskod,
att man skall verifiera sig i bankens app,
att man skall verifiera sig med Mobilt BankID, eller
verifiera sig med ett fingeravtryck,

för att få till en 2FA.

Stöd för 2FA?

Det finns en standard som heter 3D Secure (3DS) som kan användas redan idag, och som faktiskt används av många svenska banker, som i teorin borde räcka för att leva upp till SCA då 3D Secure innebär att köparen måste göra ytterligare en verifiering vid köpet. Standarden kallas även ibland för andra saker av kortbolagen, så som Visa Secure och Mastercard Identity Check.

I Sverige skedde detta tidigare ofta via en bankdosa men har idag nästan mer eller mindre ersatts av Mobilt BankID eller bankens app.

Det finns även en ny standard som heter 3D Secure 2 (3DS2) som bankerna successivt började gå över till under 2019. Anledningen är att 3DS2 är framtagen för att göra det enklare att leva upp till de nya lagkraven och SCA.

Hur ser det ut för Craft Commerce och Stripe?

För oss är Stripe den betalningsmottagaren som vi oftast använder oss av när vi bygger e-handel. Stripe har ett API som heter Payment Intents API som har inbyggt stöd för SCA. Stripe listar ut om kunden behöver verifiera sig på fler än ett sätt, och om det behövs så sker en tvåfaktorsautensiering. Behövs det inte, så sker kortköpet direkt. Smidigt.

Craft Commerce och Stripe har stöd inbyggt.

För Craft Commerce finns en uppdaterad version av den officiella plug-in som sköter kommunikationen med Stripe, Stripe for Craft Commerce, som har stöd för deras Payment Intents API.

Så för vår favoritkombination, e-handel med Craft Commerce och betalningar via Stripe, så är det alltså grönt ljus.

Referenser

Stark kundautentisering, Finansinspektionen
Så här förbereder du dig för PSD2 direktivet för kortbetalningar (SCA), Svensk Handel
European payments are changing, Stripe
PSD2 and a new reality in European banking, Thales
3D Secure 2: Making authentication better , Adyen
Så fungerar SCA – nya kravet från EU på kortbetalningar, Nets
Everything You Need to Know About Strong Customer Authentication (SCA) and 3D Secure 2.0 , WP Simple Pay
Payment services (PSD 2) - Directive (EU) 2015/2366

Relaterade artiklar

Artikel
Affärsnytta med webbstandards och tillgänglighet
Artikel
Guide till GDPR
Artikel
Vad är tillgänglighetsdirektivet?