Dansk e-handel i alarmberedskab: Forvirring om nye SCA-regler kan ramme netbutikkerne og kunderne hårdt

Europæisk lovsjusk betyder, at e-handlen vil få afvist flere betalinger fra 14. september. Derfor bør Danmark straks kræve en samlet EU-overgangsordning på 18 måneder for de nye betalingsregler, så både netbutikkerne og de finansielle virksomheder kan efterleve loven, lyder det fra Foreningen for Dansk Internethandel, som kalder forløbet katastrofalt.

Lørdag d. 14. september kan blive en skæbnedag for mange danske netbutikker og kunder. Det danske Finanstilsyn insisterer nemlig på, at netbutikker og de finansielle aktører som banker og betalingsindløsere skal overholde et nyt EU-direktiv om sikrere netbetalinger. Hvis de ikke overholder reglerne, vil mange af kundernes betalinger blive afvist.

Problemet er, at de nye EU-krav om sikker identifikation af kunderne – kaldet SCA – har været og fortsat er svære at forstå. Faktisk har de været så dårligt beskrevne, at den Europæiske Bankmyndighed – EBA - stadig arbejder med at forklare lovteksten, og der er kun 3 uger til SCA officielt træder i kraft. Usikkerheden om reglerne har betydet, at finanssektoren med Payment Service Providers, indløsere, banker og kortejere som eksempelvis VISA ikke har kunnet udviklet de nødvendige systemer.

Ikke desto mindre fastholder det danske Finanstilsyn, at finanssektoren skal efterleve kravene fra 14. september og afvise netbetalinger, der ikke opfylder lovens krav.

Det får direktøren for Foreningen for Dansk Internethandel, Niels Ralund, til at kalde forløbet katastrofalt og bede om hjælp fra politisk side.

”Vi er enige i målet om sikrere netbetalinger, men EU og EBA har leveret en gang lovsjusk, som betyder, at netbutikkerne risikerer at blive straffet for ikke at overholde regler, de slet ikke kan overholde. Det er helt på månen, og derfor ønsker vi, at erhvervsminister Simon Kollerup meddeler EU og EBA, at vi skal have en overgangsperiode på 18 måneder, så finanssektoren, de danske netbutikker og kunderne ikke bliver taget som gidsler.”

Vi er enige i målet om sikrere netbetalinger, men EU og EBA har leveret en gang lovsjusk, som betyder, at netbutikkerne risikerer at blive straffet for ikke at overholde regler, de slet ikke kan overholde. Det er helt på månen.

- Niels Ralund

Bøn til erhvervsministeren: Red os fra lovsjusk

Den helt enkle e-handel, hvor en kunde køber og betaler online med betalingskort vil fortsat kunne håndteres, hvis netbutikken er tilmeldt en 3 D Secure løsning, fx på MasterCard, VISA eller Dankort. Netbutikker, der endnu ikke er tilmeldt en 3D Secure ordning, vil efter de nye regler ikke kunne modtage betalinger.

Derudover er der fortsat stor tvivl om opsplitning af ordrer fx ved varer i restordre, hvor betaling først sker ved afsendelse, abonnementsordninger med direkte træk på betalingskort og andre betalingsforløb. Identifikation af SCA-betalinger kan derfor endnu ikke omsættes til praktik i de mange systemer, der sikrer lette og hurtige betalinger ved e-handel.

Det mildt sagt forvirrende forløb omkring reglerne giver udfordringer hos flere danske netbutikker. Det gælder eksempelvis nemlig.com, forklarer Mikkel Pilemand, som er kommerciel direktør i dagligvaregiganten.

"Danske forbrugere risikerer at få en markant dårligere oplevelse, når de handler på nettet fra d. 14. september. De tekniske løsninger er ikke klar, og mange danskere kender slet ikke til de nye regler. Vi risikerer, at vores kunder hverken forstår eller accepterer de nye sikkerhedsprocedurer og i yderste konsekvens dropper at købe ind på nettet. Danske politikere har derfor et stort ansvar for at sikre mere tid og bedre information for de danske onlinebutikker, der bliver ramt af de nye EU-regler.”

Danske forbrugere risikerer at få en markant dårligere oplevelse, når de handler på nettet fra d. 14. september. De tekniske løsninger er ikke klar, og mange danskere kender slet ikke til de nye regler.

- Mikkel Pilemand, nemlig.com

nemlig.com er langt fra alene med frustrationen, og derfor er der behov for en reaktion fra politisk side, siger Niels Ralund.

”Min bøn til erhvervsminister Simon Kollerup er klar: Red os fra dette lovsjusk, som heller ikke bliver administreret ens i EU. Der er ingen grund til at være europæisk duks, når det gør livet hårdt for danske virksomheder. Pres EU til en fælles overgangsperiode, så alle lande håndterer betalinger på lige vilkår og i samme takt og giv aktører tid til at forstå og implementere reglerne.”

Ecommerce Europe, andre organisationer samt virksomheder i finanssektoren, bl.a. VISA gik i juli sammen om en fælles udtalelse, hvor de kraftigt opfordrede EBA til at vedtage en 18 måneders overgangsperiode.

Andre EU-landes tilsynsmyndigheder er på linje med det ønske, og EBA er begyndt at overveje en overgangsperiode. Storbritannien har dog gået enegang med en allerede vedtaget overgangsordning på 18 måneder, og Frankrig vil have en overgangsperiode på næsten 33 måneder.

Fakta

Den 14. september 2019 indføres nye sikkerhedskrav til netbetalinger. Det er krav til stærk kundeautentifikation (2 factor autentifikation) fra Betalingsdirektiv PSD2, som blev gennemført i Danmark i januar 2018.

Stærk kundeautentifikation (SCA) - eller to-faktor autentifikation - indebærer, at der skal anvendes mindst to faktorer til at godkende en betaling. De to faktorer skal være noget betaleren ved (f.eks. et password), noget betaleren er (f.eks. et fingeraftryk) eller noget betaleren har (f.eks. et betalingskort).

Vi kender det allerede fra Dankort Secured by Nets og 3D Secured på internationale kort.

Netbutikker der har 3 D Secure eller Dankort Secured by Nets, vil fortsat kunne modtage betalinger fra kunder ved enkeltstående køb.

Andre betalingsformer fx opsplitning af betalinger, abonnementsbetalinger, udskudte betalinger osv. skal enten markeres som SCA-betalinger, eller betalinger uden for SCA-krav. Standarder for disse markeringer er endnu ikke på plads, da der har været langvarige drøftelser af, hvilke betalinger SCA-kravene omfattede.

Den Europæiske Bankmyndighed (EBA) har haft ansvaret for at forklare, hvordan direktivteksten skulle forstås rent praktisk. Det har været en lang proces med flere hundrede spørgsmål fra mange aktører, og processen er endnu ikke slut.

Finanssektoren med PSP’ere, indløsere, banker og kortejere som VISA har derfor ikke kunnet udviklet de nødvendige systemer/standarder, der kan identificere hvilke betalinger, der falder ind under SCA-kravene.

Netbutikkernes betalingsmoduler leveres til netbutikkerne af PSP’ere (Payment Service Providers) som DIBS, QuickPay, ReePay, PayEx mfl. Usikkerheden om SCA-betalinger betyder, at flere moduler endnu ikke er klar til at markere de enkelte betalinger korrekt. De betalinger risikerer derfor at blive afvist fra 14. september 2019-

E-handlen i EU, finansielle virksomheder og erhvervsorganisationer har ønsket en udskydelse af ikrafttrædelsen den 14. september 2019. EBA overvejer sammen med tilsynsmyndighederne om man kan aftale en 18 måneders overgangsperiode ud fra en vurdering af de konkrete problemer.

Kontakt hos FDIH:  Kommunikationschef Henrik Theil, mobil 20 96 56 67 – Mail: het@fdih.dk

Kommentarer

26. aug 2019 Preben M. Jensen

Denne lov har været undervejs i 4 år og kan simpelthen ikke være en overraskelse for nogen. FDIH må da have sovet i timen eller mangel på gennemslagskraft, når i først råber i medierne så kort tid før det skal træde i kraft. Udfra det i har skrevet og det medierne har rapporteret er det endvidere heller ikke til at finde ud af hvad problemet er. Jeg er en flittig netshopper og har da også shoppet i danske netshops med 2 faktor verificering (SMS kode) uden problemer. Derfor kan jeg slet ikke genkende problemstillingen. I må blive bedre til at beskrive og forklare problemet ellers virker i blot som en flok amatører.

26. aug 2019 Henrik Theil/FDIH

Hej Preben. V har kendt til loven i alle årene. Men EU gav den europæiske bankmyndighed EBA opgaven med at formulere tekniske standarder (RTS) og krav til SCA. Den proces tog de fleste år. Derefter har der været en flodbølge af spørgsmål om, hvordan de skulle forstås. Faktisk kom nogle af de seneste fortolkningsbidrag fra EBA så sent som august i år. - altså 6 uger før de trådte i kraft. Problemet er, at loven regulerer de finansielle aktører - kortudstedere, indløsere, kortselskaber og andre serviceudbydere - IKKE netbutikkerne. Vi venter på finansektoren. Uden klare retningslinjer til at ændre "det finansielle økosystem" - kan finanssektoren ikke tilbyde netbutikkerne sikre løsninger, der rummer alle de forskellige betalingstyper. Derfor kræver vi alle - finans og e-handlen - en ekstra overgangsordning på 18 mdr. i hele EU. Det kan ske i h t direktivteksten. Vi rejser sagen nu - fordi Finanstilsynet fastholder den 14. sep. som skæringsdato. Lige nu er vi alle ofre for lovsjusk.

27. aug 2019 Martin - JoyBuggy.dk

Hej FDIH & Alle andre. De sidste par dage har der i både TV2 NEWS, TVMidtVest, INGEN af dem har formået at forklare de medierne hvad de her krav er. Eller hvad betingelser det giver os webshops. Jeg har læst de forskellige post og indlæg der er kommet både fra PSP'erne men også hvad der er kommet af "kloge folk" udsagn. Det eneste jeg kan komme frem til er at man fra 14 september skal aktivere 3Dsecure over 200kr (mener 220kr) også er man klar til at modtage betalinger fra 14 september. Hvis jeg tager fejl, så må i meget gerne rette mig. Men kom nu ind i kampen.. Hvis det koster en webshop 1/3 af omsætningen så bør man ikke have en webshop. I burde faktisk næsten klage til EU over at der er lande der får udskydelse af dette, fremfor at søge om at få det selv. Hvis løsningen bare er at aktivere 3Dsecure, så kan jeg virkelig ikke se problemet. Er der nogen der kan være så venlig at forklare mig hvad alt det her drama er omkring. ?? For jeg forstår det virkelig ikke.

27. aug 2019 Henrik Theil/FDIH

Hej Martin. Jeg forsøger med forklaringen :-)Bøvlet er todelt. Den almindelige handel med kunde, der køber og betaler med kort kræver 3 DS. En tredjedel af butikkerne har ikke 3 DS installeret. De vil få problemer fra 14. september. En del af PSP'ere kan kun håndtere 3DS v 1 ., men den nyeste version er v2.2. Der er endnu ikke aftalt fælles versions-standard, så flere betalinger vil blive afvist. Endelig er der mange betalinger, hvor alle - psp, bank, indløser, kortejer - i det finansielle økosystem skal sikre sig, at de betalinger, de håndterer, lever op til SCA/RTS krav. De mange forskellige netbetalinger fx abonnementer, delte betalinger ved splitordrer og meget andet skal alle forsynes med en "tag", så forskellige aktører kan se, at det er en sikker betaling. Hvis de ikke de kan se, at det er en sikker betaling, skal de afvise den. Så der er - meget forenklet sagt - et behov for tid til udvikling af standarder, der viser sikker eller ikke-sikker betaling.

27. aug 2019 Martin/JB

Hej Henrik. Det sjove er at der ikke er nogle i DK, som har gjort opmærksom på at det faktisk er det problemet er. Det har hverken Niels eller du været ude og nævne, det går bare på de nye regler, der mangler virkelig klarhed omkring dette. Jeg ved at flere af de mest brugte gateways fx QuickPay er klar til at modtage 2.2, og aktivering af 3Dsecure kræver ikke noget avanceret handling fra webshoppen, men derimod PSP'en. Så hvorfor vinkle det som at det er webshops der skal gøre noget. ? Når det intet har med os webshops at gøre. Jo vi skal køre med 3Dsecure eller en anden form for 2 faktor betaling. Resten er så op til PSP'erne. Men hvis de ikke har noget at gå udfra er det svært, enig. Men den udmelding der er kommet nu er jo at det er webshops der er problemet.. Jeg kunne som ejer/rådgiver af webshops godt tænke mig at i istedet for at bruge tid på at sætte et skræmme billede op, brugte tiden på at markedsføre hvad 3Dsecure er, og hvad det stiller af krav til forbrugeren del1

27. aug 2019 Martin/JB

del2 Lige nu bliver der intet gjort for at forklare kunderne/forbrugeren hvad 3Dsecure er. Brug dog tiden på at forklare at NEMID i betalingsflowet ikke er slemt. Det er en del af det nye sikkerhed, mange forbrugere, er bange for at bruge deres NEMID udenfor borger.dk og netbanken. At den så lige kommer frem alle steder efter d. 14 september, jo det skal nok gøre at webshops måske mister 1/3 af deres omsætning. Fordi kunderne er bange for at taste deres NEMID. Kunne man ikke lave en informationskampagne omkring dette. ? At man skal huske at tilmelde sig 3Dsecure inden d. 14 . September ? Det ville da gavne webshops, så det måske "kun" er 1/100 af transaktionerne der fejler. mod 1/3. Vi er selv igang med at skrive en guide nu, læs den gerne på joybuggy.dk (udkommer senere i dag) Vi har altid kørt med 3Dsecure på alle beløbstørrelser uden problemer. Men vi har informeret omkring det.

27. aug 2019 Henrik Theil/FDIH

Hej Martin. Vi er "næsten" enige om, hvad problemet er. Nemlig at der mangler klarhed for vores samarbejdspartnere i finanssektoren om, hvordan de skal tackle en ny lovgivning. Det rammer netbutikkerne, at vi kan ikke få klar besked om, hvilke betalinger man kan håndtere. Det er en alvorlig situation for de netbutikker, der får afvist betalinger. Flere af betalingsformerne er derfor ikke et spørgsmål om 3 DS. For netbutikker, der endnu ikke er klar til 3 DS, så haster det. Helt enig. Informationskampagner mod kunderne om at sikre kort, ligger hos bankerne.

27. aug 2019 JHR

Det er ikke kun PSP'er og indløsere der er involveret i dette, det er også kort udstedere, og er kortet ikke "enrolled" med 3D Secure, så formoder jeg, at det også vil medføre en afvisning? Så jo, det er ikke så simpelt som "bare at aktivere 3D Secure", der er så mange afhængigheder og u-afklarede faktorer, at ingen reelt set aner hvad der komemr til at ske 14. September

27. aug 2019 Thomas Jensen

hej "Jeg ved at flere af de mest brugte gateways fx QuickPay er klar til at modtage 2.2," skal læses som replik til "En del af PSP'ere kan kun håndtere 3DS v 1 ., men den nyeste version er v2.2. " må jeg desværre skuffe. Det er ikke PSP'erne som leverer 3-D Secure Server (3DSS). Det som i "gamle dage" dvs. 3DS v1 hed MPI'en. MPI = 3DSv1; 3DSS = 3DSv2. Udviklingen og ikke mindst certificeringerne af 3DSS er stadig i sving rundt omkring. Og de leverandører vi taler med om den slags er tidligst klar til oktober. Dermed ikke sagt, at 3D-secure betalinger ikke vil virke efter 14.9. - måske blot for at understøtte FDIH i deres opråb om, at store dele af verden kommer til at gå i panik. Ingen ved reelt hvad der kommer til at ske, og noget så simpelt som fejlkoder fra kortudsteder er indtil videre fortsat ukendte. (de kortudstedere vi er i dialog med afventer svar fra Finanstilsynet. part 2 - følger

27. aug 2019 Thomas Jensen

part 2... En helt anden ting; i betalingsbranchen er det fuldstændig utænkeligt, at sætte ny tiltag i luften som ikke er gennemtestet. Både vha tests indbygget i koden, i staging-miljøer og i test-miljøer. Det er UTÆNKELIGT. Vi er her i en situation hvor gennemgribende ændringer (måske/måske ikke) vil ske på et ikke præcist defineret tidspunkt. Jeg tror ikke der findes et menneske på kloden som vil kunne svare på udfaldet i alle scenarier i ethvert betalingsflow. vh Thomas Jensen, QuickPay

27. aug 2019 Henrik Theil/FDIH

"Erfaren mand er god at gæste" - så tak til Thomas med erfaring og viden, der her sætte præcise ord på den udfordring alle parter står over for

28. aug 2019 Preben

Så kom sandheden frem. Finanssektoren har sovet i timen. Webshops er kunde hos finanssektoren men det er dem FDIH forsøger at hjælpe? Det er dem der skal stå til ansvar for at betalingerne ikke kommer igennem d 14/9. Nogle af de nævnte problemstillinger med gamle kort og oplysningskampagner er jo ikke svære at gennemføre for bankerne. Det blot et spørgsmål om vilje og lidt penge. Det skulle FDIH i det mindste hjælpe webshops med at få igennem!

Skriv kommentar

Har du et spørgsmål?

Niels Ralund
Adm. Direktør
Tina Morell Nielsen
Jurist & Chefkonsulent
Henrik Theil
Kommunikationschef
Søren Willemoes
Kommunikationsmedarb.
Niels Preysz
Medlemschef
Micha Hansson
Webmaster & Medlemservice-ansvarlig
Esben Carbac Hansen
Salgsansvarlig
Simon Bjerremann
Analysechef
Anne K. Hansen
Eventchef
Pernille Trieb
Projektleder - er pt. på barsel
Birgitte Warming Juul
Projektleder
Magnus Glenn Hansen
Projektleder
Anna Risbjerg Omann
Studentermedhjælper - medlemsservice
Andrea Skou Pojezny
Studentermedhjælper - event
Frederik Holmershøj
Juridisk studentermedhjælper
Har du brug for hjælp?
?
Send os et spørgsmål

Hvis du har et spørgsmål, så efterlad os en besked og vi vil svare tilbage hurtigst muligt.

Tak for din besked! Der skete en fejl, prøv igen