To-faktor-godkendelse – skærpede krav til webshops

Gå tilbage

To-faktor-godkendelse – skærpede krav til webshops

Webshops-to faktor godkendelse

Netbutikker/webshops og øvrige hjemmesider, der tilbyder onlinebetalinger, bør være opmærksomme på, om de lever op til det netop ikrafttrådte PSD2-direktiv, herunder i relation til to-faktor-godkendelse. Alternativt risikerer de at hæfte for kundens tab.

Med virkning fra den 14. september 2019 er der på EU-plan trådt nye regler i kraft, der kræver handling fra alle, der sælger varer på nettet og modtager onlinebetalinger. Nærmere bestemt er det dele af det såkaldte betalingstjenestedirektiv (PSD2), der er trådt i kraft.

Krav til to-faktor-godkendelse

PSD2-direktivet stiller krav til en stærk kundeautentifikation, hvilket ifølge direktivets definition kræver indhentning af to eller flere elementer af viden, besiddelse eller iboende egenskab fra betaleren. Populært kaldet en ’to-faktor-godkendelse’.

Formålet er selvsagt at forhindre misbrug af betalernes kort- og betalingsoplysninger og dermed hæve det generelle sikkerhedsniveau ved online handel.

Konkret betyder kravet om en stræk kundeautentifikation altså, at en webshop/netbutik skal indhente minimum to faktorer til at godkende en betaling, for at den kan gennemføres.

Ændring fra én til to godkendelsesfaktorer

For webshops/netbutikker mv. betyder skærpelsen, at det ikke længere er tilstrækkeligt, at kunden bedes indtaste sine kortoplysninger og kontrolkode (CVV-kode).

Nej, nu skal endnu et godkendelseselement kobles på.

I praksis synes den mest enkle løsning – som mange også allerede benytter sig af – at betaleren skal godkende betalingen ved at indtaste en kode, som betaleren modtager på sms i forbindelse med transaktionen.

Undtagelser fra de skærpede regler

Alle køb under 30 € (225 kr.) er som udgangspunkt undtaget fra kravet om to-faktor-godkendelse, dog således at der skal ske to-faktor-godkendelse ved hver femte af sådanne mindre transaktioner, eller når flere af sådanne tilsammen overstiger 100 € (745 kr.). Det svarer til det, vi allerede kender fra kontaktløs kortbetaling i fysiske butikker, blot med lidt andre beløbsgrænser.

De tilfælde, hvor betaleren har ladet sine kortoplysninger registrere hos leverandøren og accepteret fremtidige abonnementstrækninger (af samme størrelse), vil heller ikke blive omfattet af de nye krav til to-faktor-godkendelse.

Endelig gives betaleren mulighed for selv at vælge og tilkendegive, for hvilke betalingsmodtagere betaleren ikke ønsker at blive afkrævet to-faktor-godkendelse.

Manglende handling kan koste dyrt

Hvis man som webshop/netbutik ikke lever op til de nye regler, risikerer man at hæfte for tab i tilfælde af misbrug.

Derudover risikerer man at miste betalinger, da PSD2-direktivet giver banker og kortudstedere mv. ret til at afvise betalinger, der er sket uden to-faktor-godkendelse.

Forlænget implementeringsperiode

Til trods for, at PSD2-direktivet – herunder hæftelsesreglerne ved manglende to-faktor-godkendelse – allerede trådte i kraft den 14. september 2019, meddelte Finanstilsynet den 4. september 2019 en forlænget implementeringsperiode.

Således er webshops mv. først endeligt forpligtede til at have implementeret to-faktor-godkendelse ved betalinger senest den 14. marts 2021. Formålet med den forlængede implementeringsperiode er at sikre, at e-handelsmarkedet ikke bliver for hårdt ramt af de nye krav.

Det er dog væsentligt at være opmærksom på, at den forlængede implementeringsperiode kun giver e-handelsaktører ret til ikke at leve op til kravene om to-faktor-godkendelse før den 14. marts 2021. Derimod finder reglerne om hæftelse ved svindel, hvor der ikke er anvendt to-faktor-godkendelse, også anvendelse i implementeringsperioden.

Vi tager naturligvis gerne en drøftelse af, hvordan reglerne bedst implementeres i din webshop.

Kontakt en ekspert på området

Advokat og partner (H)
M glm@wtc.dk
T +45 48 22 00 40
D +45 48 22 00 21

Få mere viden

flyttesyn-rapport

Skærpelse af reglerne om reelle ejere

Folketinget har vedtaget skærpede regler om registrering af reelle ejere. Overholdes de nye regler ikke, risikerer virksomheder i værste fald at blive tvangsopløst. Få overblik over de skærpede regler, og hvordan din virksomhed kan leve op til dem i denne artikel.

Læs mere »