PSD2 - nya regler för kortköp från 14 september

14 september sjösattes sista delen av betaltjänstdirektivet PSD2.

Publicerad | Betallösningar

14 september sjösattes sista delen av betaltjänstdirektivet PSD2 med nya regler kring stärkt kundautentisering och säker kommunikation. Vi frågade experten Stig Johansson vad det innebär för konsumenter, företagare och banker.

Stig Johansson är chefsstrateg på Svea, styrelsemedlem i föreningen Swedish Fintech Association och en av de som bidragit till implementeringen av PSD2 genom sin tidigare anställning hos Finansinspektionen. Vi frågade Stig vad de nya direktiven kommer att innebära.

Kundautentisering för konsumenter

– För konsumenter innebär det att du måste bevisa att du är du med minst två av tre metoder för identifiering. Metoderna är baserade på de tre faktorerna: Kunskap, innehav och egenskap dvs något du vet, något du har och något du är. I praktiken innebär det en pin-kod (något du vet), ett kort (något du har) och till exempel ett fingeravtryck (något du är), säger Stig Johansson.

Så handlar du i en butik och har ett kort men har glömt din pinkod kommer butiken inte längre att kunna släppa igenom ditt köp. Tidigare har man kunnat skriva under en ”slip” men den dörren är nu stängd.
Det finns undantag från reglerna, till exempel vid betalningar på lägre belopp, under 30 Euro (och kopplat till antal köp under en viss period). Så står du i lunchrestaurangen med ditt kontaktlösa kort och vill köpa en lunch för 100 kronor men har glömt din kod så går det bra även efter 14 september genom att ”blippa”.

De nya reglerna gäller inte bara i butik utan även när du handlar på nätet. För enstaka köp kommer du förmodligen inte att märka någon skillnad från hur du handlar idag. I de flesta nätbutiker krävs redan både kortnummer och någon annan form av identifiering. Men har du ditt kort kopplat till olika former av abonnemang där dina köp dessutom varierar i storlek under abonnemangstiden, då kan det vara så att dina köp inte går igenom lika smidigt som tidigare utan att du behöver identifiera dig.

De nya reglerna gäller inom EU

– De svenska konsumenterna är vana vid två-stegsverifiering idag, det krävs ofta både kortnummer och eID för att kunna handla på nätet och i den fysiska butiken anger vi redan vår pin-kod. Så vi kommer inte att känna av förändringen så mycket. Men det ser inte likadant ut i övriga Europa, där blir omställningen större, säger Stig.

I övriga Europa har man inte alls kommit lika långt med motsvarigheter till eID och inloggningslösningar. Tänk bara på Swish som seglat upp som ett av de vanligare betalsätten i Sverige idag och där vi identifierar oss via Mobilt BankID. Någon motsvarande lösning med lika stort genomslag finns just nu inte i övriga EU.

Utanför EU, om du handlar från företag i till exempel USA, är det ingen skillnad i rutinerna efter 14 september. Där kan du fortsätta att handla som vanligt. Och tittar vi på Norge som inte är med i EU men som brukar följa merparten av EU:s regelverk - där vet vi att även de kommer att följa efter övriga Europa gällande PSD2-regelverket.

Artboard Created with Sketch.
Stig Johansson
Svenska konsumenter är redan vana vid två-stegsverifiering.

Även företagare drabbas

Stig menar vidare att vi inte bara får titta på konsumenterna, det är viktigt att förstå att de nya reglerna drabbar betaltjänsteanvändare i allmänhet – även företagare.

Ett exempel på en bransch som kan få problem är resebranschen. Där kan kunderna idag ringa in och beställa en resa och lämna ifrån sig kortuppgifterna för betalning i telefonen – muntligt. I den köpsituationen finns ingen möjlighet till tvåstegsverifiering. Det innebär att resebranschen måste sätta upp nya rutiner för hur man ska kunna beställa och betala sin resa.

Tredjepartsaktörer

En annan viktig del i det nya direktiv som trädde i kraft 14 september gäller alltså så kallade Tredjepartsaktörer. Vad är en tredjepartsaktör och vad innebär de nya reglerna för bankkunderna?

– En tredjepartsaktör är ett företag som med auktorisering från FI har tillstånd för att hantera information om dina bankkonton, exempelvis för att initiera en betalning eller för att sammanställa din kontoinformation från flera olika banker. Detta förutsätter att du som betaltjänstanvändare godkänt att informationen hämtas så klart, säger Stig.

De nya reglerna innebär att bankerna är skyldiga att öppna upp information om dina konton hos dem. En tredjepartsleverantör ska via ett API kunna komma åt dina uppgifter för att du till exempel ska kunna få en tydlig överblick över dina bankkonton. Exempel på företag som jobbar med kontoinformation är budget-apparna Tink och Zlantar, men vi ser även banker som visar information från andra banker. Här finns även en stor möjlighet för nya typer av tjänster både mot konsumenter i rådgivande syfte samt mot företag för att automatisera vid tex. bokföring.

Det finns också tredjepartsleverantörer som i något läge vill initiera en betalning på uppdrag från dig. Exempel på ett sådant företag är Trustly. Även här måste bankerna öppna upp och släppa igenom betalningar från nya aktörer.

Är bankerna beredda på de nya rutinerna?

– Det ser lite olika ut hur långt man har kommit men eftersom just de här reglerna kommer från en delegerad förordning med tvingande regler som får direkt effekt har etablerade aktörer rutiner förhoppningsvis på plats.

Men det finns en del i övrigt att önska kring hur lättillgängliga och användarvänliga dessa är. Det är kanske en ”anpassning under protest” än så länge. Men det här kommer att ändras när man inser vinsterna med att erbjuda slutkunderna den information de vill ha, när de vill och var de vill, avslutar Stig.

Läs mer om PSD2 på Finansinspektionens webbplats.

Publicerad