Ställningstagande 24.6.2019 – 2/2019

Kodkort som identifieringsmetod vid stark kundautentisering

FIVA 8/01.02/2019

1 Bakgrund och lagstiftning

Kravet på stark kundautentisering syftar till att öka säkerheten i betalningar och medför ändringar i bankers och andra betaltjänstleverantörers möjligheter att använda kodkort i samband med internetbetalningar och användning av betalkonton. Lagstiftningen om kravet på stark autentisering grundar sig på det andra betaltjänstdirektivet och träder i kraft i sin helhet den 14 september 2019. I Finland har direktivet genomförts genom betaltjänstlagen.

Enligt betaltjänstlagen ska tjänsteleverantörer använda stark kundautentisering, om betalaren använder sitt betalkonto via ett datanät, initierar en elektronisk betalningstransaktion eller genomför en åtgärd på distans som kan innebära en risk för missbruk. Lagstiftningen ger möjligheter till flera undantag från kravet på stark autentisering.

Med stark kundautentisering avses sådan elektronisk identifiering av betaltjänstanvändare där autentiseringsuppgifternas konfidentialitet skyddas och där det används ett förfarande som grundar sig på minst två av tre alternativ som är fristående från varandra. Dessa alternativ är:

  1. kunskap, dvs. något som bara betaltjänstanvändaren vet,
  2. innehav, dvs. något som bara betaltjänstanvändaren har samt 
  3. en unik egenskap hos betaltjänstanvändaren.

För varje alternativ har föreskrivits särskilda säkerhetskrav, som ska beaktas vid genomförandet av stark autentisering. Kodkort är ett autentiseringselement i kategorin innehav, där ett säkerhetskrav är att autentiseringselementen ska vara föremål för åtgärder som syftar till att förhindra reproducering av kodkort när betalare använder dem.

2 Finansinspektionens ställningstagande

Tryckta kodkort som finländska banker i nuläget använder som identifieringsmetod är lätta att kopiera, och uppfyller därför i sin nuvarande form inte säkerhetskraven i den nya lagstiftningen. 

Fortsatt användning av kodkort förutsätter att stark kundautentisering i samband med internetbetalningar eller användning av betalkonton kompletteras med ytterligare element, som tillsammans säkerställer att transaktionen sker i enlighet med lagens krav om tvåfaktorsautentisering.

I detta ställningstagande tar Finansinspektionen inte ställning till fortsatt användning av kodkort för stark kundautentisering i andra tjänster än vid internetbetalning eller användning av betalkonto, såsom i myndighetstjänster. Bestämmelser om stark autentisering i sådana situationer finns i lagen om stark autentisering och betrodda elektroniska tjänster. Trafik- och kommunikationsverket TrafiCom svarar för tolkningen av lagen.

3 Viktigt att notera i ändringsprocessen

Målet med ändringen är att öka säkerheten vid betalningar och användning av betalkonto. Förutom säkerheten ska bankerna ägna särskild uppmärksamhet åt de nya metodernas användbarhet, tillgänglighet och driftsäkerhet.

Bankkoder som används för stark kundautentisering hör till de grundläggande banktjänsterna i Finland och ska tillhandahållas samtliga kundgrupper på lika villkor och utan diskriminering. Priserna för grundläggande banktjänster ska vara rimliga.

Finansinspektionen förutsätter att bankerna i sitt utbud av nya metoder för autentisering beaktar alla olika kundgruppers behov och kraven om rimliga anpassningar för specialgrupper i diskrimineringslagstiftningen. Alla kundgrupper bör ha tillgång till en enkel metod för stark kundautentisering.

Ändringarna i metoderna för kundautentisering ska genomföras på ett sätt som säkerställer att samtliga kundgrupper har möjlighet att använda identifieringsverktyg utan avbrott. Kunderna ska kunna använda de nuvarande kodkorten för betalningar och betalkonton tills banken har säkerställt de nya metodernas användbarhet, tillgänglighet och driftsäkerhet på ett tillfredsställande sätt.

Finansinspektionen betonar att bankerna ska erbjuda kunderna tillräcklig rådgivning och personlig handledning beträffande användningen av de nya identifieringsverktygen och autentiseringsmetoderna. Kundinformationen ska också innehålla tydliga instruktioner för sådana situationer där identifieringsverktyget eller en del av det går sönder eller förlorat eller när den mobilenhet som kunden använder för autentisering ersätts med en ny.

4 Genomförande av ändringsprocessen

Finansinspektionen kommer att be bankerna lämna in en plan och en fastställd tidtabell för införande av nya metoder samt en redogörelse för hur olika kundgrupper kommer att beaktas. Finansinspektionen följer noggrant upp genomförandet av ändringsprocessen i de banker som inte uppfyller kraven den dag lagstiftningen träder i kraft.

Eventuell användning av de nuvarande kodkorten för betalningar och betalkonton efter den 14 september har ingen inverkan på bankernas lagenliga ansvar.

5 Rättsnormer

Betaltjänstlagen (290/2010) 8 § 24 p., 62 §, 85 b §

Kommissionens delegerade förordning (EU) 2018/389 av den 27 november 2017 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/2366 vad gäller tekniska tillsynsstandarder för sträng kundautentisering och gemensamma och säkra öppna kommunikationsstandarder, artikel 7.2

Kreditinstitutslagen (610/2014) 15 kap. 6 §, 6 a §

6 Upplysningar

Jurist Sanna Atrila, sanna.atrila(at)fiva.fi, telefon (09) 183 5552.