Stærk kundeautentifikation
Europa Parlamentet og Rådets direktiv 2015/2366 af 25. november 2015 om betalingstjenester på det indre marked (PSD2) stiller i artikel 97 krav om, at der anvendes stærk kundeautentifikation, når en bruger:
- Tilgår sin betalingskonto online.
- Iværksætter en elektronisk betalingstransaktion.
- Udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.
Stærk kundeautentifikation defineres som en autentifikation, som er baseret på brugen af to eller flere elementer, der er kategoriseret som:
- Viden – noget som kun brugeren ved – eksempelvis en PIN-kode.
- Besiddelse – noget som kun brugeren har i besiddelse – eksempelvis en chip i et kort.
- Iboende egenskab – noget som kun brugeren er – eksempelvis et fingeraftryk.
Disse elementer skal være uafhængige, således at brud på ét element ikke svækker pålideligheden af de andre elementer. Samtidig skal de være designet på en sådan måde, at fortroligheden af autentifikationsdata beskyttes.
Formålet med bestemmelsen er at pålægge alle betalingstjenesteudbydere at sikre, at der bruges stærk kundeautentifikation – også kaldet to-faktor autentifikation - når en bruger foretager en handling via en elektroniske kanal, der kan indebære en risiko for misbrug.
Praktiske eksempler på stærk kundeautentifikation kan være brugen af NemID til at gennemføre en kontooverførsel fra en netbank, online kortbetalinger med SMS-kode eller anvendelse af chip og PIN-kode i fysisk handel.
Lov om betalinger og overgangsperioden
Kravet om, at udbydere af betalingstjenester skal bruge stærk kundeautentifikation, lovfæstes med § 128, stk. 1, i lov om betalinger , der træder i kraft den 1. januar 2018. Kravet gælder, medmindre andet følger af forordninger og regler udstedt af Europa-Kommissionen i medfør af artikel 98 i PSD2.
Den europæiske banktilsynsmyndighed (EBA) skal udstede reguleringsmæssige tekniske standarder (RTS), der bl.a. fastsætter krav til stærk kundeautentifikation. RTS fastsætter desuden, i hvilke situationer der kan undtages fra kravet. Det følger af artikel 98 i PSD2. Når RTS foreligger i en endelig version, skal Europa-Kommissionen udstede den som en delegeret retsakt.
Det betyder, at den får direkte retsvirkning i medlemslandene.
Den 27. november i år vedtog Europa-Kommissionen det endelig udkast til RTS, og hvis Europa-Parlamentet eller Europarådet ikke gør indsigelser, træder RTS i kraft to måneder efter vedtagelsen, og får herefter retsvirkning 18 måneder fra ikrafttræden. Det forventes derfor, at RTS vil få direkte retsvirkning i Danmark ultimo 2019.
Da kravet om stærk kundeautentifikation i § 128, i lov om betalinger træder i kraft den 1. januar 2018, opstår der en overgangsperiode fra denne dag og indtil den delegerede retsakt træder i kraft i 2019, hvor der kan være tvivl om, hvilke regler der gælder.
Retningslinjer for sikre internetbetalinger
På nuværende tidspunkt fastsætter EBA’s retningslinjer til sikre internetbetalinger (retningslinjerne), som er udstedt den 19. december 2014, fælles minimumskrav til sikkerheden ved betalinger. Retningslinjerne har som formål at bekæmpe betalingssvindel på internettet og forbedre kundetilliden til internetbetalinger.
Finanstilsynet har siden den 1. august 2015 inkluderet retningslinjerne i tilsynet med udbydere af betalingstjenester, som efter anmodning fra Finanstilsynet har skulle dokumentere, at de efterlever retningslinjerne.
Punkt 7 i retningslinjerne fastsætter, at udbydere af betalingstjenester bør have procedurer for stærk kundeautentifikation, når en bruger initierer internetbetalinger eller giver adgang til følsomme betalingsdata. Punkt 7 fastsætter desuden, at alle kortudstedende udbydere af betalingstjenester bør understøtte muligheden for at bruge stærk kundeautentifikation, og at alle indløsere af kortbetalinger bør have teknologier, der muliggør brugen af stærk kundeautentifikation. Samtidig bør indløsere af kortbetalinger kræve, at deres e-handelsforretninger understøtter løsninger, der gør det muligt for udstederen at bruge stærk kundeautentifikation.
Retningslinjerne fastsætter dog, at udbyderen kan tilbyde brugen af alternative autentificeringsmetoder for kategorier af transaktioner med lav risiko, som er identificeret på forhånd. Det kan f.eks. dreje sig om transaktioner, der er kategoriseret som lavrisiko eller transaktioner, der involverer betalinger af små beløb.
Finanstilsynets praksis i overgangsperioden
Som beskrevet ovenfor vil der være en overgangsperiode fra lov om betalinger træder i kraft den 1. januar 2018 til det tidspunkt i 2019, hvor RTS træder i kraft.
Det betyder, at:
- Kravet om stærk kundeautentifikation træder i kraft den 1. januar 2018.
- Undtagelserne fra kravet om stærk kundeautentifikation træder i kraft i løbet af 2019 – samtidig med at RTS træder i kraft.
- Kravene til den tekniske indretning af løsninger til stærk kundeautentifikation træder i kraft i løbet af 2019 – samtidig med at RTS træder i kraft.
I overgangsperioden fra den 1. januar 2018 og til RTS træder i kraft vil Finanstilsynet bruge en del af de eksisterende retningslinjer om sikre internetbetalinger som fortolkningsbidrag til vurderingen af, hvilke krav der skal stilles til stærk kundeautentifikation blandt udbydere af betalingstjenester, og i hvilke situationer, hvor udbydere af betalingstjenester kan fravige kravet om stærk kundeautentifikation.
Det drejer sig helt konkret om pkt. 7-10.
Tekniske krav til indretning af løsninger for stærk kundeautentifikation
Finanstilsynet vil lade indholdet i retningslinjernes pkt. 7-10 indgå i det løbende tilsyn med udbydere af betalingstjenester.
Retningslinjerne fastsætter ikke specifikke tekniske standarder for, hvordan udbydere skal leve op til kravet om stærk kundeautentifikation. Indtil RTS træder i kraft, vil Finanstilsynet altså ikke fastsætte nærmere tekniske standarder for dette. En udbyder af betalingstjenester skal dog altid have betryggende kontrol- og sikkerhedsforanstaltninger på IT-området. Det følger af § 25, nr. 8, i lov om betalinger .
Finanstilsynet vurderer, at dette i overgangsperioden skal opfyldes i overensstemmelse med principperne i pkt. 7-10 i retningslinjerne. Finanstilsynet forventer derfor, at udbydere af betalingstjenester tager højde for en række forhold i indretningen af de systemer, de benytter, når en bruger tilgår sin betalingskonto online, iværksætter en elektronisk betalingstransaktion eller udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.
I det følgende uddybes disse forhold.
1. Krav om stærk kundeautentifikation (retningslinjernes pkt. 7)
Udbydere af betalingstjenester bør have procedurer for stærk kundeautentifikation, når en bruger initierer internetbetalinger eller giver adgang til følsomme betalingsdata. Alle kortudstedende udbydere af betalingstjenester bør desuden understøtte stærk kundeautentifikation. På samme måde bør alle indløsere af kortbetalinger understøtte teknologier, der muliggør stærk kundeautentifikation. Samtidig bør indløsere af kortbetalinger kræve, at deres e-handelsforretninger understøtter løsninger, der gør det muligt for udstederen at bruge stærk kundeautentifikation.
2. Tilmelding til og levering af autentificeringsværktøjer og/eller software til kunden (retningslinjernes pkt. 8)
Udbydere af betalingstjenester bør sikre, at kunders tilmelding til værktøjer til kundeautentifikation sker på en sikker måde. Det samme gælder udbyderes levering af disse.
3. Loginforsøg, session timeout og gyldighed af autentificering (retningslinjernes pkt. 9)
Udbydere af betalingstjenester bør begrænse antallet af login- eller autentificeringsforsøg, definere regler for session timeout og fastlægge tidsbegrænsninger for gyldigheden af en autentificering.
4. Overvågning af transaktioner (retningslinjernes pkt. 10)
Udbydere af betalingstjenester bør sikre, at der bruges systemer til transaktionsovervågning, som er udviklet med henblik på at forhindre, afsløre og blokere svigagtige betalingstransaktioner før endelig autentifikation. Mistænkelige transaktioner eller transaktioner med høj risiko bør gennemgå en særlig screenings- og evalueringsprocedure.
Undtagelser til kravet om stærk kundeautentifikation
Stærk kundeautentifikation skal altid anvendes, medmindre andet følger af regler eller forordninger fastsat af Europa-Kommissionen. Det følger af § 128, stk. 1, i lov om betalinger. RTS indeholder en række undtagelser fra kravet om stærk kundeautentifikation. Udbydere af betalingstjenester kan dog først støtte ret på disse undtagelser, når RTS er trådt i kraft.
I overgangsperioden vurderer Finanstilsynet, at udbydere af betalingstjenester kan bruge den anden sætning i punkt 7.5 i retningslinjerne som støtte for at undtage en række situationer fra kravet om stærk kundeautentifikation.
Sætningen lyder som følger:
”Det kan overvejes at anvende alternative autentificeringsmetoder for på forhånd identificerede kategorier af lavrisikotransaktioner, f.eks. på baggrund af en transaktionsrisikoanalyse, eller for transaktioner, der involverer betalinger af små beløb, som nævnt i betalingstjenestedirektivet.”
Finanstilsynet vurderer, at de kommende undtagelser i RTS vil falde indenfor rammerne af punkt 7.5 i retningslinjerne, sådan at de omfattede udbydere allerede på nuværende tidspunkt kan indrette deres systemer, så de afspejler undtagelserne i den kommende RTS.
Undtagelsen fra kravet om stærk kundeautentifikation i retningslinjerne kan, efter Finanstilsynets vurdering, forstås bredere end undtagelserne i RTS. Retningslinjerne fastslår, at udbydere kan bruge andre metoder til kundeautentifikation, hvis der er tale om transaktioner med lav risiko. RTS fastsætter derimod en række konkrete situationer, der kan undtages fra kravet om stærk kundeautentifikation.
I overgangsperioden vil det, i de situationer, hvor en udbyder ikke bruger stærk kundeautentifikation, altså være op til den enkelte udbyder at godtgøre, at der er tale om en transaktion med lav risiko.
Hvad betyder reglerne i praksis?
1. Virksomheder, der indløser eller udsteder betalingstjenester
Udbydere af betalingstjenester, der gør det muligt for en bruger at tilgå sin betalingskonto online, og at iværksætte en elektronisk betalingstransaktion eller at udføre en handling gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug, skal sikre, at der finder stærk kundeautentifikation sted. Dette gælder, medmindre udbyderen kan godtgøre, at der er tale om en transaktion med lav risiko. I disse tilfælde kan udbyderen bruge andre metoder til autentifikation.
Dette indebærer, at udbydere af betalingstjenester, der tilbyder udstedelse af betalingstjenester, skal sikre, at de udstedte betalingstjenester understøtter stærk kundeautentifikation. Udbydere af betalingstjenester, der tilbyder indløsning af betalingstjenester, skal sikre, at de betalingsmodtagere, som de indgår aftale med, forpligtes til at kræve, at der bruges stærk kundeautentifikation, når de modtager betalinger.
Det følger af lov om betalinger, at forpligtelsen til at sikre stærk kundeautentifikation påhviler udbyderen af betalingstjenester. Finanstilsynet opfordrer til, at betalingsmodtagere loyalt arbejder for at sikre, at de bruger stærk kundeautentifikation i alle tilfælde, da dette samlet set bidrager til at mindske risikoen for misbrug.
2. Virksomheder, der fungerer som mellemled mellem udbydere af betalingstjenester og mindre online-forretninger (PSPer)
Lov om betalinger og retningslinjerne finder ikke direkte anvendelse på virksomheder, der fungerer som mellemled mellem udbydere af betalingstjenester og mindre online-forretninger (ofte betegnet PSP). Indirekte vil de nye regler dog betyde, at disse virksomheder vil blive mødt med et krav om at sikre, at de enkelte online-forretninger kan benytte stærk kundeautentifikation, da betalingstjenesteudbydere i yderste konsekvens kan blive tvunget til at stoppe samarbejdet med en online-forretning, som ikke sørger for, at der kræves stærk kundeautentifikation ved gennemføre af betalingstransaktioner.
3. E-handelsforretninger og andre betalingsmodtagere
Betalingsmodtagere, eksempelvis e-handelsforretninger, er ikke direkte omfattet af reglerne om brugen af stærk kundeautentifikation. I praksis vil e-handelsforretninger og betalingsmodtagere, dog skulle kræve, at deres brugere anvender stærk kundeautentifikation, da betalingstjenesteudbydere i yderste konsekvens kan blive tvunget til at stoppe samarbejdet med en online-forretning, som ikke sørger for, at der kræves stærk kundeautentifikation ved gennemførelse af betalingstransaktioner.
Der kan kun undtages fra at bruge stærk kundeautentifikation, hvis transaktionen er kategoriseret som lavrisiko af den pågældende betalingsmodtagers udbyder af betalingstjenester. Det er dog udbyderen, der kan foretage denne vurdering, og ikke betalingsmodtageren, da det er udbyderen, som i sidste ende bliver holdt ansvarlig, hvis der ikke kræves stærk kundeautentifikation og brugeren lider et tab.
Ansvar, hvis der ikke bruges stærk kundeautentifikation, jf. § 100, stk. 7, i lov om betalinger
Hvis der sker en uberettiget anvendelse af en betalingstjeneste, hvor der ikke har været anvendt stærk kundeautentifikation, vil ansvaret blive placeret hos det led i betalingskæden, som har forsømt at sikre, at betalingstransaktionen skete i overensstemmelse med pkt. 7 i retningslinjerne, som beskrevet ovenfor.
Dette følger direkte af lov om betalingers § 100, stk. 7, som fastlægger fordelingen af ansvaret i det tilfælde, hvor der ikke er anvendt stærk kundeautentifikation i hele betalingskæden.
Vil du vide mere?
Kontakt betalingstjenesteteamet på finanstilsynet@ftnet.dk.