Vahva asiakastunnistus (SCA)

Riippuen siitä miten verkkokauppiaat tällä hetkellä maksunsa hoitavat, uudet vahvaa asiakastunnistusta koskevat säännöt voivat vaikuttaa maksujen käsittelyyn merkittävästi. Lisäksi ne voivat vaikuttaa siihen, miten kuluttaja maksun suorittamisen kokee. Verkkokauppiaiden on hyvä tietää seuraavat asiat muutokseen valmistautumiseksi:

  1. Verkossa tehtäviltä korttimaksuilta vaaditaan 3D Secure -todennus (tai vastaava). Nets eCommerce -verkkomaksuratkaisut ovat SCA-vaatimusten mukaisia*. Kortteja myöntävät pankit ovat vastuussa vahvasta asiakastunnistuksesta ja voivat jatkossa kieltäytyä hyväksymästä todentamattomia maksuja.

  2. Jos maksu on kauppiaan käynnistämä tai toistuva, tästä on ilmoitettava varmennusviestin yhteydessä. Tämä saattaa vaatia päivitystä maksupalvelun tarjoajan API-rajapintaan –ilmoitamme erikseen, jos se on tarpeen.

Vahva tunnistus voi sujua vaivattomasti! Kortteja myöntävät pankit ovat tehneet asiakastunnistuksesta tehokkaampaa ja siirtyminen uudempaan 3D Secure -versioon parantaa toimivuutta entisestään.

Uuden version käyttöönoton vaiheet ja kauppiaille tarjolla olevat vaihtoehdot riippuvat siitä, mikä Nets-ratkaisu on käytössä. On tärkeää tutustua maksupalvelun tarjoajan antamiin ohjeisiin, jotta 3D Secure -ratkaisu on toteutettu oikein verkkokaupassasi.

Jos 3D Secure on jo käytössäsi, täytät vaatimukset!

Tiedämme, että PSD2-direktiivistä ja vahvasta asiakastunnistuksesta kiertää paljon monenlaista tietoa. Siksi olemme keränneet tähän alle selkeästi kaiken tarpeellisen tiedon. Nets huolehtii hankalilta ja monimutkaisilta tuntuvista maksuasioista puolestasi, jotta voit keskittyä siihen, mitä teet parhaiten!

Lue alta tarkemmin, mitä PSD2 ja SCA merkitsevät. Lisäksi saat kaiken tarvittavan tiedon 3D Secure -ratkaisusta ja uusiin sääntöihin valmistautumisesta.

* Tarkista palvelukohtaiset tiedot, sillä eri maksuratkaisuilla voi olla erilaiset vaatimukset ja valmiusaikataulut.

Mitä vahva asiakastunnistus (SCA) tarkoittaa ja mitä maksutapahtumia se koskee?

Verkkomaksuihin liittyvät petokset ovat nykyään entistä edistyneempiä ja niiden määrä on lisääntynyt viime vuosina. EU'n uudessa maksudirektiivissä (EU Payment Services Directive II, PSD2) on näiden petosten vähentämiseksi uusia sääntöjä vahvan asiakastunnistuksen (SCA) käytöstä.

PSD2-direktiivissä määrätään periaatteessa, että vahva asiakastunnistus vaaditaan kaikkien maksajan (siis kuluttajan) käynnistämien sähköisten maksutapahtumien (siis korttimaksujen ja tilisiirtojen) yhteydessä. PSD2:n mukainen vahva asiakastunnistus tarkoittaa sitä, että kuluttajalta pyydetään kaksivaiheista tunnistautumista (Two Factor Authentication, 2FA) maksutapahtumien suorituksen yhteydessä.

Tunnistautumisessa on käytettävä kahta seuraavista todentamistavoista, joiden pitää olla toisistaan riippumattomia:

Tieto: jokin asia, jonka vain kuluttaja itse tietää = salasana, PIN-koodi

Fyysinen esine: jokin esine, joka on vain kuluttajalla = varmenne, mobiililaite

Ominaisuus: kuluttajan fyysinen ominaisuus = biometrinen sormenjälki, kasvojentunnistus

Nykyään korttimaksut suoritetaan verkossa yleensä niin, että annetaan korttinumero, jonka jälkeen maksajalta pyydetään tunnistautumista 3D Securen kautta salasanalla tai muulla vastaavalla.

Kuluttajan pankilla on päävastuu vahvan asiakastunnistuksen käytöstä ja toteuttamistavasta. Vahvan asiakastunnistuksen tehokas toteutus vaatii korttimaksujen yhteydessä lisäksi toimia myös maksupalvelun tarjoajalta (Payment Service Provider, PSP) ja korttimaksujen lunastajalta.

Kaikki maksutapahtumat eivät vaadi vahvaa tunnistautumista!

PSD2-direktiivissä sanotaan, että maksajan käynnistämät maksutapahtumat vaativat vahvan asiakastunnistuksen. Siten on tietyntyyppisiä maksutapahtumia, jotka eivät vaadi kaksivaiheista tunnistautumista:

  • Maksun vastaanottajan käynnistämiä” (siis verkkokauppiaan käynnistämiä) maksutapahtumia ei pidetä maksajan käynnistäminä, joten niissä ei voida käyttää vahvaa asiakastunnistusta ja ne muodostavat poikkeuksen säännöstä. Tämä on monimutkainen asia, joten kerromme siitä tarkemmin alla.

  • Postimyyntiin/puhelinmyyntiin liittyviä maksutapahtumia ei pidetä sähköisinä, joten niiltä ei myöskään vaadita vahvaa asiakastunnistusta.

  • Rajat ylittävät (”Cross border”) maksutapahtumat, joissa joko maksaja tai myyjä ei ole EU:n alueella ovat myös vahvan asiakastunnistuksen sääntöjen ulkopuolella.

Mitä verkkokauppiaiden pitää tehdä?

3D Secure on oltava käytössä verkossa tehtävissä korttimaksuissa

PSD2-direktiivin vahvan asiakastunnistuksen (Strong Customer Authentication, SCA) vaatimus tarkoittaa sitä, että maksajien tunnistus ei ole enää valinnaista. Kaikissa direktiivin alaisissa maksutapahtumissa on suoritettava vahva asiakastunnistus. Siten korttimaksut on varmennettava 3D Secure -tekniikalla (tai vastaavalla, jos on kyse muista kuin Visan tai Mastercardin korteista).

Mikä 3D Secure on?

3D Secure on tietoturvaprotokolla, joka suojaa kortinhaltijoita verkossa lisäämällä maksutapahtumiin lisävarmennuksen. 3D Secure on toteutettu eri korttipalveluissa eri tavoin (esim. Visan “Verified by Visa” ja MasterCardin “SecureCode”) ja kuluttajat tunnistavat nämä palvelut 3D Secure -sivulla näkyvistä tiedoista, kun painetaan vahvistuspainiketta.

3D Securen toteuttama vahva asiakastunnistus vaatii yleensä jonkin toimenpiteen, jolla kuluttaja voi varmentaa oman henkilöllisyytensä maksua tehdessään. Nykyään tämä toteutetaan useimmiten kortin myöntäneen pankin mobiilisovelluksella tai kuluttajan puhelimeen tekstiviestitse lähetettävällä kertakäyttöisellä salasanalla, jonka koodi syötetään selaimeen maksun loppuun suorittamiseksi. Kortin myöntänyt pankki päättää siitä, mitä varmennusmenetelmää käytetään.

On tärkeää huomioida, että käytettäessä 3D Secure -tekniikkaa Visa- ja Mastercard-maksuissa, verkkokauppiaat eivät ole takaisinmaksuvastuussa petosten yhteydessä. Siis korvausvastuu siirtyy verkkokauppiaalta kortin myöntäjälle. Tämä suoja takaisinmaksuvastuuta vastaan voi vaihdella paikallisten ja kansainvälisten maksukorttibrändien välillä.

3D Secure ei ole enää valinnainen…

Tällä hetkellä eurooppalaiset verkkokauppiaat ovat saaneet itse päättää haluavatko käyttää 3D Secure -varmennusta kuluttajien verkkomaksuissa. Jotkut verkkokauppiaat ovat pitäneet tätä maksutapahtumaa hankaloittavana tekijänä, joka on vaikuttanut loppuun suoritettavien ostosten määrään verkkokaupassa. Uusien vahvaa asiakastunnistusta koskevien SCA-sääntöjen myötä 3D Secure -tekniikkaa on käytettävä kaikissa verkossa tapahtuvissa korttimaksuissa, joitakin poikkeuksia lukuun ottamatta (käymme kohta nämä läpi). Kuten mainitsimme, kortteja myöntävät pankit hallitsevat vahvaa asiakastunnistusta ja monet niistä ovat jo ilmoittaneet kieltäytyvänsä maksuista, joita ei ole vahvistettu 3D Secure -varmennuksella.

On siis huomioitava se, että hylättyjen maksujen määrä voi nousta merkittävästi, jos 3D Secure ei ole käytössä verkkokaupassa, sillä korttien myöntäjien on myös noudatettava PSD2-direktiivin vahvan asiakastunnistuksen sääntöjä.

Asian hyvä puoli on se, että maksupalvelun tarjoajat (PSP -Payment Service Provider) ja korttimaksujen lunastajat hoitavat suurimman osan 3D Secure -tekniikan toteuttamisesta verkkokauppiaiden puolesta. Toisin sanoen, jos yritykselläsi ei ole käytössä erityisesti räätälöityjä omia järjestelmiä, Nets hoitaa 3D Secure -ratkaisun verkkokauppaanne ilman teiltä vaadittavia toimia.


Tyypillisiä käyttötapauksia

Kuuluvatko maksutapahtumat, joissa kuluttajan korttitiedot ovat tallennettuna, SCA-sääntöjen alaisuuteen?

Tallennetuilla korttitiedoilla (“Card on file”) tarkoitetaan tilannetta, jossa verkkokauppias on tallentanut kuluttajan korttitiedot, jotta seuraava ostoskerta olisi sujuvampi. Yleensä kuluttajalta kysytään maksua vahvistaessaan, haluaako hän tallentaa 16-numeroisen kortin numeron, voimassaoloajan ja kolminumeroisen CVC/CVV-koodin. Siten korttitietoja ei tarvitse täyttää seuraavalla ostoskerralla.

Näiden tietojen tallentamisella ei ole merkitystä maksutapahtuman määrittelyssä, jos kyseessä on kuluttajan käynnistämä kertaluontoinen maksutapahtuma (jossa siis kuluttaja valitsee ensin tuotteet ostoskoriin ja siirtyy sitten kassalle). Tätä pidetään edelleen kertaluontoisena maksutapahtumana vahvaa asiakastunnistusta koskevien sääntöjen kannalta.

Toisin sanoen, myös tallennettuja korttitietoja käyttävissä yksittäisissä kuluttajan käynnistämissä maksutapahtumissa on käytettävä 3D Secure -varmennusta (tai vastaavaa).

Mikä on kauppiaan käynnistämä maksutapahtuma (Merchant Initiated Transaction, MIT)?

Kauppiaan käynnistämiä maksutapahtumia koskevat seuraavat asiat:

  • Ne perustuvat kauppiaan ja kuluttajan väliseen sopimukseen/suostumukseen tuotteiden/palvelujen toimittamisesta ajan myötä.

  • Maksu perustuu siihen, että kuluttaja on valtuuttanut kauppiaan veloittamaan useampia toistuvia maksuja

  • Kauppiaan käynnistämien maksujen yhteydessä ei vaadita ”tiettyä edeltävää toimenpidettä maksajalta”

  • Toistuvan maksun valtuutus täytyy allekirjoittaa vahvalla asiakastunnistuksella, jonka jälkeen kultakin maksulta ei vaadita vahvaa asiakastunnistusta

Esimerkkejä kauppiaan käynnistämistä maksutapahtumista: Musiikin tai elokuvien suoratoistopalvelut, matkapuhelinliittymän laskut.

Pitääkö kaikille voimassa oleville sopimuksille tehdä uusi varmennus?

Lyhyesti sanottuna ei – direktiivissä on sääntö, jonka mukaan voimassa olevat sopimukset toistuvista tai kauppiaan käynnistämistä maksutapahtumista eivät vaadi uutta vahvaa asiakastunnistusta. Korttimaksujen lunastajan täytyy kuitenkin pystyä antamaan viite aiempiin maksutapahtumiin (maksutapahtuman tunnus, Transaction ID), jotta toistuvan tai kauppiaan käynnistämän maksutapahtuman tila voidaan vahvistaa.


Poikkeukset vahvasta asiakastunnistuksesta (SCA)

Monet ovat luonnollisesti huolissaan siitä, että vahvan asiakastunnistuksen vaatimukset hankaloittavat kuluttajien ostoskokemusta ja vähentävät loppuun asti suoritettuja ostoksia verkkokaupoissa. PSD2-direktiivissä on kuitenkin määritelty vahvan asiakastunnistuksen vaatimusten lisäksi poikkeustapauksia, joissa vahvaa tunnistautumista ei tarvita.

Tässä on jälleen hyvä pitää mielessä, että kuluttajan pankki (tai kortin myöntäjä) on päävastuussa vahvasta asiakastunnistuksesta ja siten myös siihen liittyvistä poikkeuksista. Vahvan asiakastunnistuksen poikkeukset eivät ole pankkien kannalta sitovia, tai siis pankit voivat päättää itse soveltavatko näitä poikkeuksia vai eivät.         

Tässä on joitakin PSD2-direktiivin mukaisia poikkeuksia vahvaan asiakastunnistukseen:

  • Määrältään alhaiset maksut: Kun kuluttaja tekee sähköisen etä-/verkkomaksun, joka on määrältään alle 30 euroa, maksutapahtuma voidaan hoitaa ilman vahvaa asiakastunnistusta. Vahva asiakastunnistus vaaditaan uudelleen joka viidennen maksun yhteydessä tai siinä vaiheessa, kun maksuista kertyvä summa ylittää 100 euroa.

  • Riskianalyysi (Transaction Risk Analysis, TRA): Jos kortin myöntäjä tai korttimaksujen lunastaja käyttää maksuihin liittyvää riskianalyysiä ja maksutapahtumaan liittyvän petoksen riskin arvioidaan olevan alhainen, vahvaa asiakastunnistusta ei välttämättä tarvita.

  • Luotettu maksunsaaja (”whitelisting”): Kun kuluttaja on määritellyt maksunsaajan (kauppiaan) luotettavaksi ja vahvistanut tämän valkolistauksen vahvalla asiakastunnistuksella, seuraavat maksut kyseiselle kauppiaalle eivät vaadi vahvaa asiakastunnistusta. 

Tämä on uusi PSD2-direktiivin alainen käytäntö, joten voi kestää jonkin aikaa, ennen kuin tätä SCA-sääntöjen poikkeusta aletaan soveltaa laajemmin. Kortteja myöntävät pankit käyttävät kuitenkin jo riskipohjaista asiakastunnistusta nykyisessä 3D Secure -ratkaisussa, joka mahdollistaa myös kuluttajan passiivisen tunnistuksen.