Uppföljande bedömning av säkerheten vid onlinebetalningar – rekommendationer till kreditinstituten

Tillsynsmeddelandet av den 9 oktober 2025 har kompletterats den 24 oktober 2025 med en bakgrundsrapport//Bedrägerier och svindlerier i anslutning till kontobetalningar har blivit betydligt vanligare samtidigt som de metoder som används av brottslingar blir mer avancerade. Typiska bedrägerimetoder är till exempel nätfiske efter bankuppgifter med hjälp av bluffmeddelanden eller falska webbplatser, bluffsamtal och kontoöverföringar med hjälp av fjärrstyrningsprogram. Tekniska lösningar för säkra onlinebetalningar och stark autentisering av kunder måste svara på föränderliga säkerhetshot. Säkra kontobetalningar kräver ständig vaksamhet av både tjänsteleverantörerna och kunderna.

Finansinspektionen genomförde en tematisk bedömning i oktober—november 2023 för att undersöka finländska bankers kontroller och processer för säkerhet för internet- och mobilbanker samt onlinebetalningar i syfte att säkerställa stark kundautentisering och betalningssäkerhet mot missbruk av betalningsmedel och andra bedrägerier.

 

På basis av den tematiska bedömningen rekommenderade Finansinspektionen 2024 bankerna att utveckla kontrollerna för online- och mobilbetalningar så att användaren har mångsidigare möjligheter att sätta säkerhetsgränser för sina kontobaserade betalningar. Därtill rekommenderade Finansinspektionen att bankerna utvecklar övervakningen av betalningar så att de i allt högre grad kan stoppa betalningar som avviker betydligt från kundens tidigare betalningshistorik, till exempel vad gäller betalningens storlek eller mottagarna av kundens tidigare betalningar.

Kreditinstituten har förbättrat säkerheten för kontobaserade betalningar i enlighet med Finansinspektionens rekommendationer. De flesta kreditinstituten berättade att de före utgången av 2025 kommer att införa säkerhetsgränser per betalning och/eller per dag för kontobaserade betalningar. Flera kreditinstitut erbjuder också sina kunder en möjlighet att införa land- eller regionspecifika begränsningar för kontobaserade betalningar.

 

I enlighet med Finansinspektionens rekommendation har kreditinstituten också förbättrat andra kontrollmekanismer för att säkra kontobaserade betalningar. De har till exempel lagt till fördröjningar vid införandet av nya verktyg eller utvecklat andra säkerhetsmetoder. Kreditinstituten har också specificerat innehållet i de bekräftelsemeddelanden som skickas ut och bland annat lagt till varningar om eventuella bedrägeriförsök. 

 

Kreditinstituten övervakar kontobaserade betalningar som ett led i bedrägeribekämpningsarbetet i enlighet med Finansinspektionens rekommendationer. Övervakningen av kontobaserade betalningar måste dock utvecklas ytterligare så att faktorer relaterade till kundens beteende införlivas med övervakningen på ett mer mångsidigt sätt. Dessutom behövs effektiva åtgärder i realtid när avvikande kontotransaktioner upptäcks vid övervakningen av betalningar.

 

När det gäller andra åtgärder för bekämpning av bedrägerier nämnde kreditinstituten att de hade ökat informationen om bedrägerier både till kunderna och internt. Kreditinstituten har också satsat på personalens utbildning och ökat personalresurserna för bedrägeribekämpning. 

 

Utifrån svaren och samtalen identifierade Finansinspektionen lagstiftningsmässiga utmaningar som kan begränsa viktigt informationsutbyte om bedrägeribekämpning mellan olika aktörer. Finansinspektionen utreder tillsammans med andra myndigheter hur hindren för informationsutbytet ska elimineras. 

 

I den uppföljande bedömningen uttryckte kreditinstituten sin oro över bedrägerier som sprids via sociala medier och webbplatser. Enligt dem möjliggör ägare av sociala medier och webbplatser bedrägerier bland annat genom att tillåta falska annonser eller nätfiskewebbsidor, och operatörer utanför EU, såsom sökmotorer och sociala medieplattformar, försvårar tillsynen och tilldelningen av ansvar. Finansinspektionen är medveten om dessa utmaningar och kommer också att informera Europeiska kommissionen om resultaten av den uppföljande bedömningen till denna del.

I sin uppföljande bedömning identifierade Finansinspektionen god praxis inom branschen för att förbättra säkerheten och rekommenderar att alla kreditinstitut tillämpar den. 

I enlighet med bestämmelserna i förordningen om omedelbara betalningar, som träder i kraft den 9 oktober 2025, ska kreditinstituten tillhandahålla en tjänst där kunden själv kan sätta en gräns i euro per betalning eller per dag för omedelbara betalningar. 

 

Finansinspektionen rekommenderar att kreditinstituten tillhandahåller en möjlighet att sätta säkerhetsgränser både per betalning och per dag också för vanliga kontoöverföringar.

 

Dessutom rekommenderar Finansinspektionen att kreditinstituten sätter ett standardiserat värde per betalning eller dag för kontobaserade betalningar om kunden inte själv har gjort det. Kreditinstituten kan själva sätta gränser i euro per betalning för sina privatkunder på riskbasis. 

 

Finansinspektionen anser att en ändring av säkerhetsgränserna kräver införande av stark autentisering i enlighet med 85 c § 1 mom. 3 punkten i betaltjänstlagen (290/2010). 

Finansinspektionen rekommenderar att kreditinstituten också förbättrar andra kontroller för betalningssäkerheten, till exempel genom att

 

• införa en fördröjning eller annan motsvarande säkerhetskontroll i samband med installeringen av ett nytt identifieringsverktyg.
• begära en tilläggsbekräftelse av betalningar där banken i sin övervakning misstänker att betalningen är bedräglig.

Finansinspektionen rekommenderar att kreditinstituten utvecklar bedrägeriövervakningen i realtid så att den också omfattar faktorer relaterade till kundens beteende, såsom kundens tidigare betalningshistorik, betalningarnas storlek, transaktionstid, betalningskanal, betalningsmottagare eller betalarens avvikande läge.  

 

Finansinspektionen följer upp bankernas uppfyllelse av sina rekommendationer som ett led i sitt normala tillsynsarbete.

Kaisa Tukiainen, senior specialist, kaisa.tukiainen(at)fiva.fi