Fremskridt inden for digital teknologi og internettets vækst har ført til en eksplosion i onlinekriminalitet. Mens traditionelle forbrydelser som indbrud og biltyveri fortsat falder, er online-svindel hurtigt blevet den mest almindelige forbrydelse i Det Forenede Kongerige, hvor næsten hver tiende person bliver offer.
Kriminelle har ændret deres strategier, og onlinekriminalitet har gjort det muligt for dem at angribe tusindvis af ofre på samme tid fra næsten overalt i verden. Ved hjælp af phishing, malware og en lang række andre taktikker kan kriminelle få adgang til folks bankkonti ved at narre dem til at afsløre deres adgangskoder og personlige oplysninger.
Disse onlineforbrydelser kan have en ødelæggende effekt på ofret, og i nogle tilfælde er folk ikke engang klar over, at de er blevet ramt, før de opdager, at deres bankkonto er blevet ryddet.
Finanssektoren har investeret kraftigt i nye foranstaltninger for at beskytte kunderne online, og det har været med til at forhindre uautoriseret svindel for mere end 1,6 mia. pund. På trods af denne investering lykkedes det dog stadig cyberkriminelle at stjæle 1,2 mia. pund gennem svindel og svindel i 2018.
I januar 2018 blev der indført et nyt EU-direktiv om betalingstjenester (PSD2), som indeholder nye love, der skal styrke forbrugernes rettigheder og reducere online-svindel. Dette var en opdatering af det tidligere første betalingstjenestedirektiv (PSD1), som blev gennemført i 2009. Den opdaterede version af direktivet blev drevet af den stigende e-handel og de teknologiske innovationer i betalingssektoren.
Hvad er PSD2 stærk kundeautentifikation?
Et centralt element i PSD2 er indførelsen af yderligere sikkerhedsgodkendelser for onlinetransaktioner på over 30 EUR, kendt som Strong Customer Authentication (SCA). Tidligere kunne kunderne blot betale online ved at indtaste deres kortnummer og en CVC-verifikationskode. Men i henhold til de nye PSD2-bestemmelser skal kunderne oplyse en yderligere form for identifikation.
Hvad er kravet om stærk kundeautentifikation?
I henhold til den nye forordning skal alle elektroniske betalingstransaktioner autentificeres ved hjælp af mindst to af tre mulige metoder:
- Viden: Noget, som kun brugeren kender - f.eks. en adgangskode
- Besiddelse: Noget, som kun brugeren er i besiddelse af - f.eks. mobiltelefon, token- eller kortlæser
- Inherens: Eks: Biometrisk - fingeraftryk, ansigtsgenkendelse, stemmegenkendelse
Hvor finder stærk kundeautentifikation anvendelse?
SCA gælder kun for transaktioner i Det Europæiske Økonomiske Samarbejdsområde (EØS), hvor både betaler og betalingsmodtager befinder sig i området. Hvis den ene af dem befinder sig uden for Europa, er kravet, at udbyderen af betalingstjenester i Europa skal gøre sit bedste for at anvende SCA.
Hvad er SCA-betaling?
Stærk kundeautentifikation vil gælde for kundeinitierede onlinebetalinger i Europa. Det vil betyde, at størstedelen af kortbetalinger og alle bankoverførsler vil kræve SCA.
På nuværende tidspunkt er den mest almindelige måde at autentificere en online kortbetaling på 3D Secure. Denne tjeneste tilbydes af flere kreditkortudbydere og giver kortbrugerne yderligere beskyttelse ved at indføre endnu et lag af passwordbeskyttelse. Ulemperne ved den nuværende metode er bl.a., at der anvendes en anden URL-adresse til pop-up-skærmen, som kan misforstås som et phishing-websted. Det kan også være svært at huske flere adgangskoder til forskellige kort.
For at imødegå disse udfordringer og opfylde de nye SCA-krav har de europæiske banker vedtaget en opdateret version af 3D Secure. Den nye 3DSecure2 er mobilvenlig og understøtter brugen af biometri, hvilket bidrager til at forbedre den samlede brugeroplevelse.
Hvad er undtagelserne til stærk kundeautentifikation?
PSD2 blev udformet for at gøre SCA til et krav for alle onlinetransaktioner. Visse undtagelser vil dog bidrage til at opretholde en gnidningsfri betalingsrejse for kunderne og til at opnå den rette balance mellem bekvemmelighed for forbrugeren og forebyggelse af svig.
Undtagelser omfatter:
- Transaktioner af lav værdi - Transaktioner på under 30 EUR er fritaget for SCA. Men hvis kunden forsøger at foretage mere end fem på hinanden følgende betalinger af lav værdi, eller hvis den samlede værdi af betalingerne overstiger 100 EUR, kræves der SCA.
- Tilbagevendende transaktioner - Når en kunde regelmæssigt foretager en betaling af samme beløb til samme virksomhed, kræves der kun SCA for den første transaktion. Hvis beløbet ændres, kræves der 3D Secure for hvert nyt beløb.
- Købmænd på en hvidliste - Forbrugerne har mulighed for at tildele virksomheder en hvidliste over betroede modtagere. Når den første autentificering er gennemført, vil alle yderligere transaktioner være fritaget for autentificering.
- Transaktioner med lav risiko - Transaktioner med lav risiko, der er blevet vurderet i realtid, kan behandles uden SCA. Denne beslutning vil være baseret på kortudstederens gennemsnitlige svigniveau, og det er kortudstederen, der i sidste ende bestemmer, om SCA er påkrævet.
- Postordre- og telefonordrer (MOTO) - Postordre- og telefonordre-transaktioner betragtes ikke som elektroniske betalinger, så de er undtaget fra SCA.
- Virksomhedsbetalinger - Når en transaktion initieres af en virksomhed og ikke af en forbruger, kræver den ikke særskilt godkendelse.
Hvornår træder PSD2 stærk kundeautentifikation i kraft?
Implementeringen af PSD2 Strong Customer Authentication træder i kraft fra den 14. september 2019.
I sidste uge har den britiske finanstilsynsmyndighed, Financial Conduct Authority (FCA), accepteret at udsætte håndhævelsen af den nye forordning om onlinebetalinger med 18 måneder. Virksomhederne vil have indtil marts 2021 til at implementere den nye funktion effektivt.
Udskydelsen blev bevilget efter pres fra branchegrupper, der advarede om, at kortudstedere, betalingsfirmaer og onlineforhandlere ikke ville have tid nok til at gennemføre ændringerne, og at kunderne kunne blive påvirket som følge heraf.
FCA sagde, at den ikke vil skride ind over for firmaer, der overtræder den nye lovgivning i denne periode, forudsat at de kan dokumentere, at de har taget skridt til at overholde systemet. Efter den 18 måneder lange frist vil alle onlinebetalinger være underlagt de nye sikkerhedsforanstaltninger.
Konklusion
Der er ingen tvivl om, at gennemførelsen af PSD2 vil medføre store ændringer for udbydere af betalingstjenester. Mange vil være nødt til at ændre deres systemer for at kunne håndtere 3D Secure2 og andre SCA-metoder, samtidig med at de omhyggeligt skal balancere mellem deres kunders behov for bekvemmelighed og sikkerhed. Men ved at bidrage til at reducere svindelraten i branchen vil den nye forordning føre til øget tillid hos forbrugerne og i sidste ende forbedre den samlede betalingsrejse for kunderne.
MetaCompliance har specialiseret sig i at skabe den bedste cybersikkerheds-awareness-træning, der findes på markedet. Vores produkter tager direkte fat på de specifikke udfordringer, der opstår som følge af cybertrusler og corporate governance, ved at gøre det lettere for brugerne at engagere sig i cybersikkerhed og compliance. Kontakt os for yderligere oplysninger om, hvordan vi kan hjælpe med at transformere cybersikkerheds-træning i din organisation.
