Skärpta regler för kortbetalningar ska skydda mot bedrägerier

17 oktober, 2019

I de flesta fall krävs någon form av autentisering när en betalning genomförs, oavsett om det är i en fysisk butik, i en betalapp på mobilen eller på en e-handelswebbplats. Vi behöver helt enkelt kunna bevisa att vi är vem vi utger oss för att vara, antingen genom signering med Mobilt BankID eller med PIN-kod till ett betalkort. Det förekommer dock hemsidor där betalning endast görs baserat på betalkortsuppgifter, där ingen ytterligare autentisering behövs.

Rättare sagt, det förekom sådana sidor. För en månad sedan, den 14 september 2019, infördes nya regler som kräver starkare kundautentisering vid betalningstransaktioner inom hela EU. Syftet är att stärka konsumentskyddet och minska risken för kortbedrägerier. Reglerna är ett andra steg i att införa EU:s betaltjänstdirektiv i Sverige.

Nya regler kortbetalningar

EU:s betaltjänstdirektiv

De nya reglerna är en del av EU-direktivet PSD2, också kallat betaltjänstdirektivet, som publicerades i slutet av 2015 med målet att skapa säkrare och mer effektiva elektroniska betalningslösningar för konsumenter inom EU. Stora delar av direktivet trädde i kraft i Sverige redan 1 maj 2018 i form av en ny betaltjänstlag. I september infördes dock några ändringar i denna lag som innebär höjda säkerhetskrav vid vissa typer av betalningar.

De betalningar som omfattas av kravet på stark kundautentisering är:

    • Betalningar som görs i en butik inom EU
    • Betalningar som görs på internet inom EU
    • Betalningar som görs inom EU på en mobil enhet (Google Pay, Apple Pay, Samsung Pay, m.m.)

Tvåfaktorsautentisering

För att kontrollera att du är du vid en kortbetalning görs en autentisering. En ”stark kundautentisering” innebär att minst två fristående delar används vid identifieringen, så kallad tvåfaktorsautentisering. Enligt de nya reglerna i betaltjänstlagen ska denna autentisering bygga på minst två delar ur följande kategorier:

    • Något bara du vet (t.ex. en PIN-kod eller ett lösenord)
    • Något bara du har (t.ex. en säkerhetsdosa eller personlig mobilapplikation)
    • Något bara du ”är” (t.ex. fingeravtryck eller röst)

Ett konkret exempel på en sådan autentisering är signering med BankID där du måste skriva in ett lösenord (något bara du vet) eller använda fingeravtryck (något bara du ”är”) på en mobil som är knuten till dig (något bara du har).

Hur påverkar det mig?

    • Du kommer inte längre kunna genomföra ett köp online genom att bara ange kortnummer och tresiffrig kod.
    • Du kommer oftare behöva ange PIN-kod vid betalning med kort i butik (även vid kontaktlösa betalningar).
    • Kortbetalning med underskrift och ID-legitimering (ex. för att du glömt koden) godkänns inte längre.
    • Om de nya reglerna inte följs kan betalningen komma att nekas.

Generellt kan sägas att det, i och med lagändringen, blir viktigare för dig att komma ihåg din PIN-kod och alltid ha tillgång till Mobilt BankID eller säkerhetsdosa när du shoppar online. Det kommer alltså ta lite längre tid att genomföra ett kortköp på nätet och du kan behöva beställa en ny PIN-kod eller ett nytt kort om du glömmer din kod. Lite extra krångligt med andra ord – men det kanske är ett pris vi är villiga att betala för ett starkare skydd mot bedrägerier?