Tillsynsmeddelande 18.10.2019 – 54/2019

Finansinspektionen tillämpar den tilläggstid som EBA föreslår för stark autentisering vid kortbetalningar i näthandeln – kraven ska vara uppfyllda senast 31.12.2020

Europeiska bankmyndigheten (EBA) publicerade den 16 oktober 2019 ett ställningstagande som gäller beviljande av tilläggstid för uppfyllande av kraven på stark autentisering vid kortbetalningar i näthandeln.  I ställningstagandet framför EBA som sin åsikt att de nationella tillsynsmyndigheterna kan bevilja tilläggstid för uppfyllande av kraven och genomförande av ändringsprocesserna till den 31 december 2020. Med tilläggstid avses att tillsynsmyndigheterna temporärt inte vidtar några administrativa påföljder mot företagen under tillsyn även om de försummar sin lagstadgade skyldighet att använda stark kundautentisering i samband med kortbetalningar i näthandeln.

Det ställningstagande som EBA publicerat nu innehåller rekommendationer om åtgärder genom vilka de nationella tillsynsmyndigheterna ska följa hur de olika parterna i kortbetalningsprocessen går vidare med att införa kraven på stark autentisering. Syftet med åtgärderna är att säkerställa en så enhetlig tillsyn som möjligt i alla medlemsstater. 

Finansinspektionen har beslutat att tillämpa den tilläggstid som föreslås i EBA:s ställningstagande samt den plan för tillsynsåtgärder som beskrivs där i sitt eget tillsynsarbete. Finansinspektionen förutsätter att samtliga företag under dess tillsyn som är parter i kortbetalningar i näthandeln har en realistisk plan för genomförandet av ändringsprocessen.

Finansinspektionen övervakar att företagen under dess tillsyn genomför ändringsprocessen i enlighet med planen och att kraven uppfylls inom ramen för tilläggstiden. Finansinspektionen uppmuntrar alla parter i kortbetalningar i näthandeln att prioritera sina projekt i anslutning till ändringsprocesserna och sträva efter att ändringsprocessen slutförs i god tid innan den tilläggstid som anges i EBA:s ställningstagande går ut.

Finansinspektionen påminner om att lagstiftningen om stark autentisering trädde i kraft den 14 september 2019. Lagstiftningens ikraftträdande har konsekvenser för bland annat ersättningsansvaret mellan konsumenten-kunden och tjänsteleverantören i missbrukssituationer. Den tilläggstid som beviljas för uppfyllande av de tekniska kraven försämrar inte konsumentens rättigheter vid kortbetalning. Informationen till konsumenterna måste ge en korrekt bild av bestämmelserna om ansvarsfördelningen i missbrukssituationer.

Närmare upplysningar lämnas av  

  • Sanna Atrila, ledande jurist, telefon 09 183 5552 eller sanna.atrila(at)fiva.fi (från 21.10.2019)
  • Hanna Heiskanen, ledande digitaliseringsexpert, telefon 09 183 5202 eller hanna.heiskanen(at)fiva.fi
  • Anu Kettunen, jurist, telefon 09 183 5309 eller anu.kettunen(at)fiva.fi
  • Heli Mäkitalo, riskexpert, telefon 09 183 5369 eller heli.makitalo(at)fiva.fi

Bilagor

Opinion of the European Banking Authority on the deadline for the migration to SCA for e-commerce card-based payment transactions, publicerat 16.10.2019

Finansinspektionens tillsynsmeddelande 6.9.2019

Finansinspektionens ställningstagande 24.6.2019

Bakgrundsinformation om PSD2-bestämmelserna

Med stark kundautentisering avses sådan elektronisk identifiering av betaltjänstanvändare där autentiseringsuppgifternas konfidentialitet skyddas och där det används ett förfarande som grundar sig på minst två av tre alternativ som är fristående från varandra. Dessa alternativ är kunskap, dvs. något som bara betaltjänstanvändaren vet (till exempel pinkod, lösenord), innehav, dvs. något som bara betaltjänstanvändaren har (till exempel mobiltelefon, kodkalkylator), samt en unik egenskap hos betaltjänstanvändaren (till exempel fingeravtryck, ansiktsidentifiering).

Tjänsteleverantörer ska använda stark kundautentisering, om betalaren använder sitt betalkonto via ett datanät, initierar en elektronisk betalningstransaktion eller genomför en åtgärd på distans som kan innebära en risk för missbruk. Stark autentisering enligt bestämmelserna ska således i regel användas i alla elektroniska transaktioner som betalaren initierar till exempel i nätbanken, näthandeln eller handelns betalterminaler.

Bestämmelserna tillåter vissa begränsade situationer där stark autentisering inte behöver användas. Till dem hör till exempel kontaktlösa betalningar på högst 50 euro i små butiker eller nätbetalningar på högst 30 euro. Även i dessa situationer krävs stark autentisering när de säkerhetsgränser som angetts för antalet inköp eller det sammanlagda beloppet av inköpen uppnås.

Mer information om PSD2-bestämmelserna på Finansinspektionens webbplats.