Stark kundautentisering: vad e-handelsföretag behöver veta

Stark kundautentisering är ett säkerhetskrav från Europeiska unionen för kontaktlösa, online och mobila betalningar. Lär dig mer med Mollie.

Stark kundautentisering är ett säkerhetskrav från Europeiska unionen för kontaktlösa, online och mobila betalningar. Lär dig mer med Mollie.

Iryna Agieieva

Produktchef - betalningar

Stark kundautentisering (Strong Customer Authentication, SCA) är ett säkerhetskrav från Europeiska unionen för kontaktlösa betalningar, onlinebetalningar och mobilbetalningar. Stark kundautentisering är en del av det reviderade betaltjänstdirektivet (PSD2/PSD3), som utvecklats för att förbättra det befintliga systemet för engångslösenord (OTP). Att be kunder autentisera sina köp med ett TAN-nummer eller SMS-bekräftelse var rimligt för 10 år sedan, men tekniken för elektroniska betalningar har gått vidare. Och bedragare har hittat kryphål. PSD2-direktivet kräver tvåfaktorsidentifiering i kassan. Autentiseringsansvaret ligger på kundens bank, men det är ditt ansvar som onlineföretag att bygga in processerna för kontrollerna. Så hur kommer detta nya autentiseringskrav att påverka ditt företag? Kommer minskningen av bedrägerier att vara värd det extra steget i kassan? Låt oss ta en titt.


När trädde Stark Kundautentisering i kraft?

Den europeiska bankmyndigheten godkände SCA 2019, men den nya förordningen tillämpades inte för e-handel i EU förrän den 1 januari 2021. I Storbritannien tillämpades förordningen på betalningar ansikte mot ansikte den 15 september 2021.


Vad är tvåfaktorsidentifiering vid checkout?

Stark kundautentisering kräver att kundautentisering måste inkludera minst två av följande element:

  1. Något bara kunden vet

  2. Något bara kunden äger

  3. Något bara kunden har

Något bara kunden vet

Detta kan vara ett lösenord, PIN-kod eller svar på en specifik fråga. Detta hanteras oftast av ett befintligt lösenord eller ett 4- till 6-siffrigt nummer som skickas via sms. 

Något bara kunden äger

Exempel inkluderar en mobiltelefon, token-generator, kortläsare, dator, surfplatta eller annan auktoriserad enhet. Denna del av kontrollen görs utan aktiv inmatning från kunden. 

Något bara kunden har

I huvudsak är detta någon typ av biometrisk data. Face ID eller fingeravtryck är ett bra exempel. Stark kundautentisering kräver att du uppfyller villkoren för tvåfaktorsautentisering för att minska risken för bedräglig verksamhet. Till exempel hjälper det till att hålla kundernas känsliga data säkra och privata från externa parter. 

När gäller Stark Kundautentisering?

Stark kundautentisering (SCA) utlöses när en kund initierar en online-transaktion, och både kundens bank och din bank är belägna inom EU eller Storbritannien. Om du till exempel återbetalar pengar till en kund, gäller inte SCA eftersom transaktionen har initierats av företaget. Om din kunds bank ligger i USA och din bank är i EU (eller tvärtom), då gäller SCA inte heller.

Vilka transaktioner är undantagna från stark kundautentisering?

EU är medvetna om att extra steg vid ett onlineköp skapar friktion under en känslig del av säljprocessen. För att bidra till att minska denna friktion har de gjort vissa undantag från SCA-reglerna. Följande transaktioner är undantagna från SCA:

Lågrisktransaktioner 

En väletablerad betalningsleverantör kan tillåtas att beräkna bedrägeririsken för en transaktion och avgöra om SCA ska aktiveras eller inte. Generellt sett kräver undantaget att den nivå av bedrägerier som betaltjänstleverantören rapporterar måste vara lägre än referensnivåerna för bedrägerier i hela EU för samma typ av transaktioner. Andra faktorer i beräkningen inkluderar att transaktionsbeloppet är mindre än 500 EUR, samt kundens beteende och geografiska plats i förhållande till det normala beteendet för den aktuella betalningsmetoden online.

Det är viktigt att veta att denna bedömning görs av betaltjänstleverantören och inte har något att göra med ditt företagsstatus eller din företagsprofil.

Betalningar av lågt värde

Om kunden har gjort färre än fem betalningar under de senaste 24 timmarna eller om summan av betalningarna under de senaste 24 timmarna är mindre än 100 EUR, anses det vanligtvis vara undantaget.

Återkommande betalningar

När du fakturerar din kund månadsvis via betal- eller kreditkort tillämpas SCA endast för den första betalningen. Om beloppet ändras varje månad kan SCA komma att tillämpas. Återkommande betalningar är vanligtvis fakturor för regelbundna tjänster, prenumerationer eller delbetalningar. Återkommande betalningar som hanteras via SEPA-autogiro har sina egna säkerhetsrutiner och är helt separerade från SCA-skyddet.

Vitlistade medlemmar

Om din kund använder ett företagskreditkort, det vill säga ett kort som är utfärdat via ett annat företags företagskonto, kommer alla transaktioner sannolikt att vara undantagna eftersom PSD2 inte gäller för B2B-köp.

Hur fungerar SCA med digitala plånböcker?

Stark kundautentisering möjliggör snabba och säkra betalningar med digitala plånboksalternativ som Apple Pay och Google Pay. Kom ihåg att en transaktion endast behöver uppfylla två av de tre SCA-kraven för att fungera. Eftersom digitala plånböcker vanligtvis används på mobiltelefoner eller surfplattor, som också har FaceID eller fingeravtrycksfunktion, är två av de tre kraven redan uppfyllda. Det spelar ingen roll om kunden väljer ett kreditkort eller ett kredit-/betalkort för att betala. Så länge deras bank tillåter att kortet registreras med ApplePay eller Google Wallet, är de redo att köra.

Hur implementerar du SCA?

Du är skyldig att följa de nya SCA-kraven om dessa kriterier gäller:

  • Ditt företag är beläget inom Europeiska ekonomiska samarbetsområdet, eller så gör du betalningar för anslutna konton baserade i EES

  • Dina kunder finns i EES

  • Du accepterar kredit- eller betalkort

Det enklaste sättet att göra det är att använda en SCA-kompatibel betalningsgateway, som Mollie.

Om du arbetar med en anpassad betalningsgateway måste dina utvecklare se till att de har lagt till de ytterligare autentiseringslagren till din webbplatsincheckningsprocess. De extra kontrollerna gör att banker kan kontrollera kundernas information genom tvåstegsidentifieringsprocessen. 

För att upptäcka fler relevanta tips för att hålla dina e-handelsbetalningar säkra och följer reglerna, kontakta Mollie. Registrera dig idag och börja erbjuda säkra betalningsmetoder i din e-butik.

More updates

Håll dig uppdaterad

Missa aldrig en uppdatering. Få produktuppdateringar, nyheter och kundberättelser direkt i din inkorg.

Form fields

Table of contents

Table of contents

MollieGrowthStark kundautentisering: vad e-handelsföretag behöver veta
MollieGrowthStark kundautentisering: vad e-handelsföretag behöver veta
MollieGrowthStark kundautentisering: vad e-handelsföretag behöver veta
MollieGrowthStark kundautentisering: vad e-handelsföretag behöver veta