Er du klar til to-faktor autentifikation?

Den 14. september 2019 træder nye EU-regler i kraft, der skal dæmme op for misbrug med danske betalingskort. Misbruget udgjorde i 2018 ifølge Nationalbanken ca. 301 mio. kr., og heraf var knap 80 % af misbruget i onlinehandel. Derfor foreskriver de nye regler, at alle online betalinger skal opfylde kravene til ”stærk kundeautentifikation”.

Stærk kundeautentifikation – også kaldet to-faktor autentifikation – betyder, at der skal anvendes mindst to faktorer til at godkende en betaling. De to faktorer skal være noget, betaleren ved (fx et password), noget betaleren er (fx et fingeraftryk), eller noget betaleren har (fx et betalingskort).

Hvis du ikke har styr på to-faktor autentifikationen inden 14. september 2019, vil betalinger i din webshop herefter blive afvist.

Det er ikke helt nyt

Du kender det faktisk allerede fra fysisk handel i dag, når du betaler med chipkort (noget du har) og pinkode (noget du ved). Undtagelsen er dog kontaktløs betaling på beløb under 350 kr.

Og du kender sikkert også allerede to-faktor autentifikation fra nogle internetbutikker, hvor du modtager en sms-kode på din mobil, som skal indtastes, før en betaling kan gennemføres.

Jeg har styr på det...

FDIH forventer, at betalinger foretaget under de eksisterende Verified by Visa, Dankort Secured by Nets og MasterCard SecureCode vil blive betragtet som ”sikre”. Så hvis din webshop allerede bruger disse, er du sandsynligvis på den sikre side – men tjek hellere med din betalingsleverandør.

Der er enkelte undtagelser, hvor ikke-fysiske betalinger kan slippe for to-faktor godkendelse:

  • Små betalinger på op til 225 kr.
  • Betalinger til personer eller virksomheder, som betaleren selv har opført på en liste over ”betroede modtagere”
  • Tilbagevendende betalinger med direkte korttræk (fx abonnementer), når blot den første betaling i rækken er godkendt med stærk kundeautentifikation

... men bliver mit salg påvirket af to-faktor autentifikationen?

Den første gang din kunde støder på fx Verified by Visa eller Dankort Secured by Nets, skal hun registrere sit mobilnummer og bekræfte med NemID. Og dét kan tage shopping-humøret fra os alle!

Så du vil nok opleve, at der er en afmatning i salg blandt dine kunders førstegangssessioner.

En del af de webshops, der allerede benytter to-faktor godkendelsen, har oplevet et fald i salget, og kunder har måske prøvet at finde samme produkt i en anden webshop med færre barrierer. Lyspunktet her er, at kravet om to-faktor autentifikation gælder ALLE ikke-fysiske betalinger i EU, herunder Danmark. Så det er altså ikke nemmere at shoppe hos konkurrenten.

Gør det nemt for dine kunder

Heldigvis har vi i Danmark betalingskortets nemme bror, MobilePay, som vi kan ty til!

Flere betalinger vil efter 14. september 2019 sandsynligvis flytte til MobilePay, hvis kunderne ikke lige orker at sætte sig ind i den nye to-faktor godkendelse. Og da rigtig mange forbrugere har app’en installeret i forvejen og stoler på den, vil det synes som et nemmere check-out. For at kunden kan bruge MobilePay som betalingsmiddel ved e-handel kræver det blot en engangsbekræftelse via NemID.

FDIH forventer, at også MobilePay vil blive betragtet som to-faktor autentifikation, da den opfylder ”noget betaleren har” (betalingskortet tilknyttet MobilePay) samt ”noget betaleren ved/er” (kode/fingeraftryk). Det samme gælder Apple Pay, der bliver en stor konkurrent til MobilePay, når det for alvor rulles ud.

Hvad kan jeg ellers gøre for at hjælpe mine kunder?

Jeg anbefaler disse to konkrete steps, hvis du vil være så klar som muligt til de nye regler den 14. september:

  1. Vær forberedt: Sørg for, at din webshop tilbyder en eller flere mobilbetalinger. Med MobilePay, Apple Pay, Facebook Pay og flere på vej bør du tilbyde de mest populære betalingsmuligheder, som du forventer, din målgruppe benytter.
  2. Informer om, hvad der vil ske: Tag dine kunder i hånden, og hjælp dem gennem check-out. Sørg for, at de er klar over, at et klik på ”Gå til betaling” kræver to-faktor godkendelse, at det tager under to minutter første gang, at det er for deres egen sikkerhed, og at det er EU-krav, som de vil møde overalt (læs: ”Alle de andre gør det også!”)

To-faktor autentifikation a.k.a. ”Stærk kundeautentifikation” vil sandsynligvis påvirke dit salg i starten, men ikke i det lange løb. Ændringerne gælder nemlig ikke kun dig, men også alle dine konkurrenter. Derudover vil flere betalinger sandsynligvis flytte til kendte og troværdige apps med mobilbetaling.