Planerne betyder, at danske netbutikker i løbet af oktober 2020 bør begynde at bruge de nye IT-løsninger for at være sikre på at undgå afviste kortbetalinger. Reglerne træder i kraft 1. januar 2021, men allerede nu bør netbutikkerne gøre sig klar til de nye regler.

De europæiske tilsynsmyndigheder har fastsat en fælles implementeringsperiode med én deadline for håndhævelsen af de nye regler om stærk kundeautentifikation for kortbetalinger i e-handlen den 1. januar 2021. Målet med implementeringsperioden er at undgå store forstyrrelser i e-handlen. Det betyder, at alle kortudstedere (typisk pengeinstitutter) og kortindløsere i EU fra den 1. januar 2021 som udgangspunkt skal afvise kortbetalinger i netbutikker, der ikke er godkendt med stærk kundeautentifikation. Den fælles europæiske deadline betyder, at der vil være lige vilkår for alle kortudstedere, kortindløsere og netbutikker i hele EU.

For at sikre en stabil betalingsafvikling henover årsskiftet og for at undgå driftsmæssige forstyrrelser i julehandlen vil Finanstilsynet undtagelsesvist acceptere, at stærk kundeautentifikation i praksis anvendes for alle betalinger senest den 11. januar 2021. Det betyder, at Finanstilsynet forventer, at pengeinstitutter og andre kortudstedere senest fra 11. januar 2021 begynder at afvise kortbetalinger, der ikke er korrekt godkendt med stærk kundeautentifikation. Finanstilsynet understreger dog, at kravet om stærk kundeautentifikation har været gældende siden 14. september 2019.

Set i lyset af den lange tid, som sektoren og detailhandlen har haft til at komme på plads, finder Finanstilsynet det beklageligt, at en samlet løsning ikke kan være helt klar til 1. januar 2021, uden at dette kan give betydelige udfordringer for handlen i den resterende del af 2020. Finanstilsynet har derfor fundet anledning til at indskærpe kravene over for både sektoren og detailhandlen, og tilsynet forventer at følge op med tilsynsindsatser i begyndelsen af 2021.

Hvad er stærk kundeautentifikation?

Stærk kundeautentifikation – også kaldet tofaktor-autentifikation – indebærer, at der skal anvendes mindst to faktorer til at godkende en betaling. De to faktorer skal være noget, betaleren ved (f.eks. et password); noget, betaleren har (f.eks. en mobiltelefon, der kan modtage en engangskode); eller noget, betaleren er (f.eks. et fingeraftryk). Reglerne gælder i hele EU.

Formålet med reglerne er at styrke sikkerheden ved elektroniske betalinger i Europa. ECB opgjorde i august 2020 omfanget af misbrug med betalingskort i EU i 2018 til at udgøre 1,8 milliarder euro.