SecurityUser.com

2018-04-11

Bättre koll på bedrägerinivåer behövs inför PSD2

Matthew Cox, Senior Director, Fraud, Cyber & Compliance på FICO.

Snart träder betaltjänstdirektivet PSD2 (Payment Services Directive 2) i kraft, med syfte att stimulera innovation inom banksektorn och bidra till säkrare och effektivare betalningar. Men för leverantörer av betaltjänster är det lätt att trassla in sig i direktivets detaljer, exempelvis regelverket för stärkt kund identifiering eller de nya tekniska standarderna, skriver Matthew Cox, på amerikanska företaget FICO, i senaste numret av tabloidtidningen SecurityUser.

Vår bedömning är att PSD2 också tyvärr kommer skapa nya möjligheter för kriminella, som kan dra nytta av den förvirring som följer vid ett systemskifte. Därför är det viktigt att betaltjänsteleverantörerna förbereder sig noggrant och klarar av att balansera regelefterlevnad, bedrägeribekämpning och kundupplevelse.

En nyhet med PSD2 är att bekämpning av betalningsbedrägerier blir betaltjänsteleverantörernas ansvar och direktivet vägleder hur man ska hantera frågan. Exempelvis säger regelverket om stärkt kundautentisering (Strong Customer Authentication, SCA) att betaltjänstleverantörer ska säkerställa att transaktioner genomförs av den verkliga kunden genom minst två av dessa tre metoder:

  • Något de har, såsom en säkerhetsdosa eller mobiltelefon
  • Något de vet, såsom ett lösenord eller annan hemlig information
  • Något de är, såsom biometrisk information, exempelvis fingeravtryck eller irisavläsning

Dessa verifieringssteg kan störa transaktionen för kunden och påverka dennes köpupplevelse. Det blir viktigt för aktörerna att uppfylla regelverket samtidigt som man minimerar störningarna i kundernas köpprocesser, för att kunna locka nya kunder och hålla kvar de befintliga. Ett viktigt instrument för detta är transaktionsriskanalys.

PSD2 tillåter transaktionsrisk analys för köp under 500 euro. På så vis säkras transaktionen på ett sätt som är omärkbart för kunden. Men detta kräver att betaltjänstleverantörer kan hålla bedrägerier under vissa specificerade nivåer. Detta innebär att det blir viktigt att hålla koll på de parametrar som finns kring användandet av transaktionsriskanalys.

Svenska betaltjänsteleverantörer måste förbereda sig genom att förstå sin nuvarande nivå av bedrägerier och var nivåerna behöver vara för att de ska kunna använda sig av transaktionsriskanalys. Man måste också i detalj skapa sig en förståelse för vad som lett till bedrägerinivåer som eventuellt är högre än de som krävs, och sätta upp en plan för hur man ska minska bedrägerinivåerna till de nivåer som PSD2 anger.

Det är också värt att notera att betaltjänstleverantörer inte bara behöver förbereda sig själva på PSD2, de behöver även förbereda sina kunder. Detta innebär inte bara att man måste informera dem om de troliga effekterna av PSD2, utan också informera dem om den stärkta kundautentiseringsprocessen och se till att de har tillgång till nödvändiga autentiseringsmetoder när dessa behövs.

Som alla bedrägeriansvariga vet så är det inte lätt att ens sänka bedrägerinivåerna med någon tiondels promille, och man vet också att det tar tid att åstadkomma förändringar. Men bedrägerinivåerna är så centrala i PSD2 att ett misslyckande att förbereda sig vore att förbereda sig för ett misslyckande. Därför måste svenska betaltjänstleverantörer börja planera för PSD2 i tid.

Matthew Cox
Senior Director, Fraud, Cyber & Compliance på FICO

Läs senaste numret av SecurityUser gratis som e-tidning här.


Leverantörer
Till toppen av sidan