Kortköp med okänt slutbelopp

Det ställs högre krav på branscher där man inte vet exakt vilket slutbelopp som kommer att belasta kortkunden. Dessa branscher är exempelvis biluthyrning, hotell, parkering och drivmedel. I dessa fall gäller ökade krav på att informera kortkunden innan kortköpet om vilket belopp som kommer att reserveras på kortet och att kortkunden ska acceptera detta belopp innan transaktionen genomförs.
För dig som är verksam inom dessa branscher är det viktigt att i samband med kortköp alltid informera kortkunden vilket belopp som kommer att reserveras.
 

Vidaredebitering

Enligt lag finns det idag ett förbud mot vidaredebitering (extra avgift) av kortkund i samband med kortköp, detta förbud kommer finnas kvar i Sverige.
För Danmark och Finland förändras lagen genom att förbudet förändras till att endast omfatta privata kort som är utgivna av en kortutgivare inom EU. Förbudet gäller både fysisk miljö, e-handel, automat samt telefonorder.
I Norge finns det inget förbud mot vidaredebitering och här sker ingen förändring.
 

RTS betyder Regulatory Technical Standards

Det är en ny teknisk standard som är till för att kunna genomföra syftet med det andra Betaltjänstdirektivet från EU/EES (PSD2). Den tekniska standarden är obligatorisk och införs via lagstiftning i EU-länderna.

SCA står för Strong Customer Authentication, på svenska stark kundautentisering (kundidentifiering) i samband med att man genom för transaktioner.

Det innebär höjda krav på säkerheten i samband med att transaktioner görs. Din kortkund behöver legitimera sig genom att använda minst två av följande:

- Något man kan, ex lösenord

- Något man äger, ex smartphone

- Något man är, ex fingeravtryck

Kraven har tagits fram för att göra transaktioner mer säkra och minska antalet bedrägerier.

Kortbetalningar via webbsida och/eller app

Förenklad kortbetalning (köp via lagrad kortinformation)

Gäller alla korttransaktioner där kortutgivaren är inom EU/EES

Korttransaktioner som görs i butik utan att kortkunden är närvarande, till exempel Abonnemangsbetalningar (så kallad Recurring).

Telefonorder (utan betallänk)

Anonyma förbetalda kort (så kallat Prepaid-kort, presentkort)

Korttransaktioner där kortutgivaren är utanför EU/EES

Kortutgivare och kortinlösare.

Den 14 september 2019

Då är det ingen skillnad mot idag.
 

Kortvarumärkena (exempelvis Mastercard, Visa, AMEX) har enats om en ny version av den tekniska standarden för 3D Secure som medför ännu säkrare och enklare sätt att legitimera sig. Den nya versionen kallas EMV 3DS och innebär bland annat:

- Krav att skicka mer information till kortutgivaren om kunden och kortköpet för en bättre riskbedömning. Exempel är adressuppgifter, kundens e-post och telefonnummer.
- Att kortutgivare har möjlighet att erbjuda nya sätt för kortkunder att legitimera sig, till exempel biometriska metoder (fingeravtryck och liknande).
- En anpassning av gränssnitt för mobila enheter.

Den nya versionen av 3D Secure ska vara implementerad aktiverad 1 juli 2020

 

- Installera och aktivera 3D Secure om inte detta redan är gjort
- Ta bort logik för eventuell Dynamisk 3D Secure
- Från april införa nya logotypes från Visa och Mastercard på din webbsida/App när din Betalväxel aktiverat nya versionen av 3D Secure
- Kontakta din Betalväxel för att få instruktioner om vilka förändringar som du som butik behöver göra i anropen till Betalväxel, exempelvis mer information om kortköpet
- Kontakta din Betalväxel för att diskutera tillgängliga övervakningssystem för att du ska kunna få kontroll på eventuellt bedrägliga korttransaktioner.
 

Kortutgivare kommer att neka korttransaktioner där kortutgivaren inte getts möjlighet att godkänna transaktioner med stark kundautentisering dvs 3D Secure.
 

Om du tidigare beviljats dispens från Swedbank avseende 3D Secure så medför lagändringen att din dispens nu sägs upp och upphör att gälla från och med den 14 september 2019. Du måste därför installera och aktivera stöd för 3D Secure.
 

Nej, det kommer inte att vara tillåtet. 3D dispenser ersätts av överenskomna undantag från SCA med respektive kortinlösare.
 

Det är inte en godkänd lösning baserat på RTS/SCA och får därför inte längre användas.
 

Du behöver ta kontakt med din Betalväxel för att få svar på om du har 3D Secure eller inte.
 

Om du inte vet det kan du ta kontakt med Swedbank Pay Support 08-411 10 80 eller support.swedbankpay@swedbank.se som kan hjälpa dig.
 

Ett program som hjälper dig att identifiera risktransaktioner för att du ska kunna få kontroll på eventuella bedrägliga korttransaktioner. Ta kontakt med din Betalväxel för att få reda på vilka tillgängliga program de kan erbjuda dig.
 

Du behöver ta kontakt med din Betalväxel för att få tillgång till de nya logotyper som behöver laddas upp och finnas på din webbutik.
 

En tjänst som du kan erbjuda dina kortkunder om du har tjänsten Kortinlösen via internet. Kortkunden registrerar sig som användare på din webbsida och anger där sina namn- och adressuppgifter men även sina kortuppgifter. Därmed ingår kortkunden en förbindelse med ditt företag om förenklad kortbetalning. Inga kortuppgifter sparas hos dig utan lagras i en certifierad miljö hos din Betalväxel.
När kortkunden sedan vill handla väljer de att logga in med sitt användarnamn samt sitt lösenord och kan därefter enkelt genomföra köp utan att ha kortet i närheten eller behöva komma ihåg sin kod. Det här minskar risken för kortkunder som avbryter köpen.
Om du är intresserad av denna tjänst så ta kontakt med Swedbank Pay Support.
 

En tjänst som du kan erbjuda dina kortkunder om du har tjänsten Kortinlösen via internet och erbjuder en vara/tjänst som ett återkommande regelbundet abonnemang. Kortkunden uppger det kortnummer som ska användas för denna tjänst. Kortkunden ingår då en förbindelse med ditt företag gällande abonnemangsbetalning. Det är viktigt att det är tydligt för kortkunden vilka köp- och leveransvillkor samt avslutsvillkor som gäller för abonnemanget. Inga kortuppgifter sparas hos dig utan lagras i en certifierad miljö hos din Betalväxel.
Om du är intresserad av denna tjänst så ta kontakt med Swedbank Pay Support.
 

En tjänst för dig som har tjänsten Kortinlösen telefonorder. Genom din Betalväxel kan kortkunden erbjudas kortbetalning via betallänk. Du skickar en betallänk via e-post till kortkunden under samtalet. Kortkunden klickar på betallänken och kommer då till Betalväxelns betalsida där kortinformationen anges. Därefter identifierar kortkunden sig med 3D Secure och betalningen bekräftas efter en automatisk kortkontroll (auktorisation) hos Swedbank Pay. Betallänk är en säkrare betalningsmetod för dig då kortkunden är identifierad men också säkrare för kortkunden som slipper lämna ut kortuppgifter via telefon.
 

Ja, för att kortkunden ska få en smidig och positiv köpupplevelse kan kortutgivare (och ibland kortinlösare) använda sig av några definierade undantag från stark kundautentisering.

Dessa undantag är:

-Korttransaktioner upp till motsvarande 30 euro, dock med antal och beloppsbegränsningar enligt kortutgivarens beslut.

-Korttransaktioner mellan motsvarande 30 och 500 euro förutsatt att en riskbedömning utförts av kortutgivare och i förekommande fall kortinlösare

-Korttransaktioner som initieras av butik utan att kortkunden är närvarande, till exempel abonnemangsbetalningar (så kallad Recurring)

-White-listing vilket är ett avtal mellan kortutgivare och kortkund som reglerar användandet av SCA hos respektive butik.
 

Nej, trots alla undantag som finns är det alltid kortutgivaren som har sista ordet och kan alltid välja att begära och genomföra en stark kundautentisering (så kallad step-up). Hur kortutgivaren kommer att göra är alltså inte känt innan korttransaktionen genomförs.

Kortutgivaren begär en stark kundautentisering på en transaktion där kortinlösaren begärt undantag från SCA.

Kortkunden avtalar med sin kortutgivare att köp hos butiker de vill handla ofta hos ska accepteras utan SCA. Du kommer sedan att behöva skicka denna information tillsammans med kortköpet till kortkundens bank. Hur detta ska gå till vet vi inte riktigt än. Denna funktion finns inte tillgänglig idag utan preliminärt från slutet av 2019 eller i början av 2020. Vi återkommer med mer information när det är klart.

Kortinlösaren bedömer och avtalar i samråd med respektive butik kring vilka undantag som kan begäras hos kortutgivare.

Om du tidigare beviljats tilläggsavtal gällande Chip utan pin från Swedbank Pay så upphör det avtalet att gälla från och med den 14 september 2019.
Användande av magnetspår, manuellt inknappat och signatur (gäller även Chip och signatur) kommer inte längre vara möjligt för kortkunder med kortutgivare inom EU/EES efter den 14 september 2019. Dessa kortutgivare kommer att neka köpet. Du behöver därför installera en kassa/terminal som kan ta emot chip med pin innan den 14 september 2019.
Efter den 14 september 2019 kan dina kortkunder även vid låga belopp behöva ange en godkänd verifieringsmetod till exempel PIN (eller blir hänvisad att genomföra ett Chip och PIN-köp), Det beror på att kortkundens kortutgivare önskar att kortkunden identifierar sig på ett säkert sätt.
 

Om du inte har en godkänd teknisk lösning, till exempel terminaler med enbart magnetspårlösning (icke EMV-terminaler) så behöver du kontakta din terminalleverantör för att byta ut din tekniska utrustning.
 

Det är din kunds kortutgivare som bestämmer när PIN ska anges. Det krävs PIN efter att ha uppnått ett visst totalbelopp eller ett visst antal köp även om beloppen är under gällande PIN-gräns.
 

Lagstiftningen anser att chip utan pin inte är en godkänd verifieringsmetod.
 

Den nya lagstiftningen kräver att kortkunden ska godkänna köpet med pin, eller annan godkänd verifieringsmetod.
 

Lagstiftningen kräver att kortkunden ska godkänna köpet med en stark kundautentisering, SCA, och anser att signatur inte är godkänd verifieringsmetod. Kunder med kort utanför EU/EES berörs inte av lagstiftningen och därför behöver signaturfunktionen fortsättningsvis finnas kvar.
 

På kortkunder med kort utgivna inom EU/EES kan kortutgivarna komma att neka kortköp som är manuellt inknappade.
 

Funktionen och möjligheten att manuellt knappa in kortnummer i en betalkortterminal kommer fortfarande att fungera, men kortutgivare inom EU/EES kommer att neka dessa köp.
 

Chip utan pin är en tillfällig tjänst som ersätts av Kontaktlöst. I och med att samtliga svenska kortutgivare har uppdaterat/uppdaterar sina kort med Kontaktlös-funktion så finns det inget behov längre av tjänsten Chip utan PIN. Swedbank väljer att redan under våren/sommaren 2019 påbörja avstängningen då vi tror att behovet av tjänsten inte längre behövs.
 

Kortkunden behöver godkänna sitt köp med exempelvis PIN eller en annan godkänd verifieringsmetod, enligt den nya lagstiftningen.
 

Ja, enligt nya lagstiftningen är även biometriska metoder så som tumavtryck, ansiktsscanning och ögonigenkänning godkända.
 

Inte helt klart än, men det troliga är att det kommer att fungera precis som idag, det vill säga din kund kommer i samband med köpet att behöva verifiera sig med en pin eller en annan godkänd legitimeringsmetod så som tumavtryck, ansiktsscanning eller ögonigenkänning.
 

Inte helt klart än, men det troliga är att det inte kommer att fungera som idag. Det kommer att behövas en godkänd legitimeringsmetod i samband med köpet vilket skulle kunna innebära att din kund (klockägaren) behöver slå in sin pinkod i terminalen.
 

Ta kontakt med Swedbank Pay Support 08-411 10 80 eller via e-post support.swedbankpay@swedbank.se
 

Undantag från SCA, (Strong Customer Authentication) genom att inte behöva använda pin. Trots detta så är det alltid kortutgivaren som har sista ordet och kan alltid välja att begära och genomföra en stark kundautentisering (så kallad step-up).