Den 14. september 2019 skulle en række nye EU-sikkerhedsregler omkring kortbetalinger, det såkaldte SCA-regelsæt (Strong Customer Authentication), have været trådt i kraft. Ikrafttrædelsen er imidlertid blevet udskudt, hvilket jeg kommer tilbage til. Det er dog stadigvæk en god idé at orientere sig i reglerne, da det kommer tilbage på et senere tidspunkt.
De nye regler kan tvinge virksomheder, som anvender firmakort i forbindelse med onlinehandel (herunder betaling for flybilletter og hotelophold), til at ændre deres booking- og betalingsprocedurer. De nye sikkerhedsregler skal forhindre svindel i forbindelse med online-transaktioner, og i særdeleshed betalinger med firmaudstedte kort. En måde at sikre dette på bliver, at bruge en sekundær identifikationsfaktor, eller to-faktorgodkendelse, hvor PIN-koder skal bruges ved hver transaktion. En PIN-kode, som kun kortholderen kan få adgang til via sin mobiltelefon. Dvs. at det bliver svært for f.eks. sekretærer at gennemføre fly- og hotelbookinger på andres vegne.
Baggrund
SCA er en del af EU-direktivet PSD2 (Revised Payment Directive) som er det, der egentlig trådte i kraft lørdag d. 14. september. PSD2 er et revideret betalingsdirektiv, og følger op på PSD1, som blev implementeret helt tilbage i 1997.
I Danmark har vi faktisk allerede implementeret direktivet, da vi d. 1. januar 2018 indførte ”Lov om betalinger”, som tog højde for PSD2 og altså også SCA. Men på trods af at være ude i god tid, så er der her, 20 måneder senere, stadigvæk en del udfordringer, med at få det til at fungere i praksis. Der har nemlig været det lille problem, at bankernes API’er, altså den software, som skal sikre at bankernes software kan integrere med ny software, f.eks. fra en tredjepart, ikke er så simpel at udvikle. Det skønnes også, at der derudover kan opstå udfordringer omkring den dataudveksling, som bliver mulig med PSD2, men det må tiden vise.
Målet med PSD2 er, at man vil forsøge at tilpasse den igangværende digitalisering af samfundet, så den også samtidig gør det muligt at tilbyde både erhvervsliv og private forbrugere en række nye services. PSD2 skal bl.a. understøtte etablering af nye, innovative løsninger hos fintech-virksomheder, som f.eks. Acubiz.
Skal vi gå i panik?
Nej, ingen skal gå i panik. Hverken virksomheder, eller virksomheders kunder. Det kan bedst sammenlignes med dengang, da vi skulle tage stilling og forberede os på GDPR; ingen vidste rigtigt, hvad det gik ud på, men det var vigtigt, at være forberedt. Det var vi i Acubiz dengang, og det er vi også nu.
Den anden, og vel nok overvejende grundt til at der ikke bør opstå panik er, at det tirsdag d. 3. september 2019, som sagt, blev besluttet af Finanstilsynet, at datoen for indførslen af SCA-reglerne i Danmark, er blevet udskudt. Helt præcist med 18 måneder. Med det har Finanstilsynet altså givet kortudstedere, kort-indløsere og e-handelsplatforme yderligere 18 måneder til at sikre, at de nye regler overholdes.
Hvad skal vi gøre?
Der har været stort bekymring for, at en stor del af betalingerne i danske netbutikker ville blive afvist efter d. 14. september 2019. Men det sker altså ikke. Derudover, så argumenteres der i øjeblikket også for, at der skal fastsættes en tidsramme, som gælder for hele EU. Danmark er nemlig langt fra det eneste land, som udskyder reglerne. En fælles tidsramme for hele EU vil nemlig forhindre, at der gælder et sæt regler i Danmark, men ikke i f.eks. Frankrig, England og Tyskland. Det ville selvsagt være en konkurrenceforvridende situation, som ingen ønsker. Men tilbage til, hvad I så skal gøre nu? Ikke noget. Alt er, indtil videre, uændret for jer som brugere af betalingskort.
Fremtiden med PSD2
Når alt er på plads, hvordan ser verden så ud efter en fuld implementering af PSD2? Udover SCA, som formentlig bliver løst således, at I som forbrugere kan nøjes med førnævnte to-faktorgodkendelse, som ikke er meget anderledes end NemID, så er det en ændret banksektor, som vi kommer til at se i fremtiden.
Med EU-direktivet kan man nemlig i fremtiden forvente lavere priser for f.eks. bankydelser. Direktivet kommer nemlig til at åbne op for konkurrencen i banksektoren. Vi kan derfor forvente at de bankprodukter, som vi gør brug af som privatpersoner, men også kortbetalinger- og løsninger til virksomheder, kommer til at blive billigere.
Er det så bare bankerne, som sætter prisen ned? Nej, det er det ikke. Bankernes indtjening kommer til at falde, men det vil ske i kraft af at nye spillere vil dukke op på markedet. Med PSD2 er det nemlig muligt at give bankdata videre til tredjepart. En tredjepart kan herefter, med din godkendelse, få adgang til din virksomheds økonomiske oplysninger og på den baggrund give dig et overblik og tjekke markedet for bedre priser på dine ydelser – formentlig via en app eller lignende software.
Vær opmærksom på
PSD2 og den øgede konkurrence samt den nyvundne data-frihed, betyder i sagens natur, at du som forbruger eller virksomhedsleder skal være opmærksom på, hvem du giver adgang til dine bankdata. Nye spillere på markedet vil nemlig melde sig, og også spillere, som vi kender i dag, men som ikke nødvendigvis behandler dine data i din egen bedste interesse.
