EU:n maksupalveludirektiivi (PSD2) yhtenäistää sääntelyä sekä vahvistaa maksutapahtumien turvallisuutta ja kuluttajansuojaa. Se edellyttää vahvaa asiakastunnistamista useimmissa sähköisissä maksuissa sekä standardoitua pääsyä tilitieto- ja maksuliittymiin luvan saaneille kolmansille osapuolille. Vahva asiakastunnistaminen on ollut pakollista EU:ssa 14.9.2019 alkaen.
Mitä PSD2 tarkoittaa verkkokaupoille
Verkkokaupoille PSD2 määrittää, miten asiakkaat tunnistautuvat maksamisen yhteydessä ja miten pankit sekä maksupalveluntarjoajat vaihtavat tietoja. Alla kerrotaan, miten eri maksutavat toimivat PSD2:n mukaisesti ja mitä tämä tarkoittaa päivittäisessä liiketoiminnassasi.
Korttimaksut: Tunnistautumisvaatimukset ja poikkeukset
PSD2 edellyttää yleensä vahvaa asiakastunnistamista verkkokaupan korttimaksuissa, mukaan lukien pienet maksut mobiilipalveluissa, kuten ruoan tilauksessa tai pysäköintisovelluksissa.
Tunnistautuminen toteutetaan varmennuspalveluiden, kuten 3D Securen (esimerkiksi Verified by Visa tai MasterCard SecureCode), kautta, jolloin maksu vahvistetaan kortinhaltijan pankissa. Käytettävä tunnistautumistapa riippuu kortin myöntäneen pankin ratkaisusta.
Poikkeukset vahvaan tunnistautumiseen korttimaksuissa
PSD2 mahdollistaa tietyt maksukohtaiset poikkeukset vahvasta asiakastunnistamisesta. Poikkeuksia ei kuitenkaan taata. Kortin myöntänyt pankki voi hylätä poikkeuksen tai vaaditut tekniset edellytykset eivät välttämättä täyty.
Yksi keskeinen poikkeus koskee kauppiaan aloittamia korttiveloituksia, jotka tapahtuvat ilman asiakkaan aktiivista osallistumista, kuten:
- toistuvat lehtitilaukset
- rekisterikilven tunnistukseen perustuvat pysäköintimaksut pysäköintihalleissa
Näissä tilanteissa vahva asiakastunnistaminen vaaditaan yleensä silloin, kun asiakas syöttää korttitietonsa ensimmäisen kerran. Asiakkaalle on myös kerrottava selkeästi, millaisiin tuleviin veloituksiin ja niiden aikatauluun hän sitoutuu.
Verkkomaksut: Tunnistautuminen ja standardoidut rajapinnat
Suomessa verkkomaksut edellyttävät vahvaa asiakastunnistamista. Asiakas vahvistaa maksun oman pankkinsa tunnistautumismenetelmällä.
PSD2 standardoi verkkomaksuissa käytettävät tekniset rajapinnat. Pankit ja maksupalveluntarjoajat toteuttavat nämä rajapinnat, eivätkä ne edellytä toimenpiteitä verkkokaupalta.
Mobiilimaksut: Tunnistautuminen maksupalvelun kautta
Mobiilimaksutavat, kuten MobilePay, Siirto, Apple Pay ja Google Pay, kuuluvat vahvan asiakastunnistamisen vaatimusten piiriin.
Tunnistautuminen tehdään yleensä maksupalvelun omassa sovelluksessa esimerkiksi biometrisellä tunnistuksella tai laitekohtaisella vahvistuksella.
Lasku- ja osamaksut
Lasku- ja osamaksuratkaisut, eivät yleensä kuulu PSD2:n määritelmän mukaisiin sähköisiin etämaksuihin.
Maksupalveluntarjoajat käyttävät kuitenkin tyypillisesti vahvaa asiakastunnistamista, koska nämä maksutavat perustuvat asiakkaan ja palveluntarjoajan väliseen luottosuhteeseen.
Asiakaskysymykset vahvasta tunnistautumisesta
PSD2 määrittelee, miten vahva asiakastunnistaminen on toteutettava. Pankit käyttävät maksun vahvistamiseen esimerkiksi mobiilisovelluksia, tekstiviestivahvistuksia tai biometristä tunnistautumista.
Asiakkailla voi olla kysymyksiä siitä, miten maksun summa ja saaja näytetään tunnistautumisen yhteydessä tai miten vahvistusprosessi etenee.
Vahva asiakastunnistaminen ja maksun vahvistaminen tehdään aina maksuvälineen tarjoajan, kuten pankin, toimesta.