Vahvalla tunnistamisella tarkoitetaan maksupalvelun käyttäjän sähköistä tunnistautumista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kolmesta toisistaan riippumattomasta vaihtoehdosta.
- Tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää (esimerkiksi pin-koodi, salasana)
- Hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan (esimerkiksi matkapuhelin, tunnuslukulaite)
- Maksupalvelun käyttäjän yksilöivä ominaisuus (esimerkiksi sormenjälki, kasvojen tunnistaminen).
Mikä muuttuu verkkokauppiaan näkökulmasta?
Korttimaksut: Finanssivalvonta on myöntänyt lisäaikaa asiakkaan vahvan tunnistamisen vaatimukselle korttiostoksissa verkossa. Tulemme Danske Bankissa hyödyntämään tämän lisäaikamahdollisuuden, sillä niin meille kuin asiakkaillemme on luonnollisesti tärkeää pitää suomalaisten yritysten ja kuluttajien verkkokauppa mahdollisimman sujuvana ja turvallisena. Näin ollen asiakkaiden verkkomaksaminen Danske Bankin korteilla jatkuu toistaiseksi ennallaan 14.9. jälkeenkin. Seuraamme luonnollisesti Finanssivalvonnan jatko-ohjeistusta tähän liittyen.
Siirtymäajan pituudesta ei ole vielä yksityiskohtaisia tietoja, mutta yleisesti arvioidaan, että siitä päätetään kuluvan vuoden aikana, kun Finanssivalvonta on kuullut Euroopan pankkiviranomaisen ja muiden jäsenvaltioiden valvojien näkemyksiä asiasta. Lisätietoja: Finanssivalvonta.
Suomessa maksukorttien yhteydessä maksajan vahvan tunnistamisen käyttö on ollut aiemmin kauppiaan päätettävissä. PSD2:n myötä vahva tunnistaminen vaaditaan kaikissa kortilla tehtävissä maksuissa, niin fyysisen kaupan kuin verkkokauppaostoksissa.. Fyysisessä kaupassa sirukortilla ja tunnusluvulle tehtävät ostot ovat jo nyt vaatimuksen mukaisia, samoin lähtökohtaisesti lähimaksutapahtumat.
Verkossa tehtävien korttimaksujen osalta vaatimukset siis ovat lisääntymässä, ja niiden tulee olla toteutettuna arviolta viimeistään siirtymäajan puitteissa. Lisäksi korttimaksamisen hyvän asiakaskokeman varmistamiseksi on olemassa sallittuja poikkeuksia, joiden puitteissa vahvan tunnistuksen vaatimuksesta voidaan yksittäisen tapahtuman osalta luopua. Näiden poikkeuksien käyttöönotto Suomen markkinoilla tapahtuu verkkokaupan korttitapahtumien osalta vahvan tunnistuksen siirtymäaikojen puitteissa, jotka ilmoitetaan myöhemmin.
Valmistautumista vahvan tunnistamisen toteuttamiseksi tulee kaikkien maksamisen osapuolten osalta siis jatkaa, sillä tulevaisuudessa todentamispalvelulla tehtävä vahva tunnistaminen vaaditaan. palveluntarjoajiltasi, että sinulla on 3D Secure implementoituna verkkokauppaasi (esimerkiksi Verified by Visa, MasterCard SecureCode) ja että palveluntarjoajasi tulevat tarjoamaan vaatimuksenmukaiset ratkaisut kussakin tilanteessa.
Kuluttajan maksamiskokemus ei pankkien omien tunnistamismenetelmien muutoksia lukuun ottamatta muutu, mutta erityisesti verkkokaupassa saatetaan jatkossa jonkin verran nykyistä useammin pyytää maksajalta vahvan tunnistuksen antamista.
Poikkeukset: Poikkeuksena vahvan tunnistamisen velvoitteesta ovat muun muassa kauppiaslähtöiset, ilman ostajan vuorovaikutusta tehtävät toistuvat korttiveloitukset, esimerkiksi kuukausittaiset lehtitilaukset. Näissäkin tapauksissa edellytys on, että maksukortin syöttövaiheessa asiakas tunnistetaan vahvasti ja hänelle kerrotaan, minkälaisiin veloituksiin hän antaa suostumuksensa.
Mobiilimaksut: Mobiilimaksutapoja (kuten MobilePay tai Apple Pay) koskevat myös vaatimukset maksajan vahvasta tunnistamisesta. Mobiilimaksuvälineiden tarjoajat pyrkivät tekemään vahvan tunnistamisen maksun yhteydessä omassa mobiilimaksuvälineessään, esimerkiksi sormenjäljen avulla. Kauppiaan näkökulmasta maksupolku ei muutu, mutta kuluttajan näkökulmasta muutoksia maksukokemukseen voi tulla.
Mitä muuttuu kivijalkakauppiaan näkökulmasta?
PSD2:n myötä voimaan astuvista uusista säännöistä vahvalla asiakastunnistautumisella on suurin vaikutus kauppiaiden ja kuluttajien arkeen. Maksupäätteiden kautta kortilla maksettaessa vahvan asiakastunnistautumisen mandaatti koskee ainoastaan korttimaksuja Euroopassa, vaikka poikkeuksiakin voi olla käytännön syistä.
Lähimaksaminen
Arvoltaan pieniä maksuja voi maksupäätteellä tehdä jatkossakin lähimaksulla, ilman PIN-tunnusluvun syöttämistä eli ilman vahvaa tunnistusta. Raja ilman PIN-tunnuslukua tehtäville maksuille on 50 euroa.
Sirumaksaminen
Sirumaksaminen perustuu jatkossa PIN-tunnusluvun antamiseen. PIN-tunnusluku yhdessä sirukortin kanssa katsotaan asiakkaan vahvaksi tunnistukseksi. Maksukuittien allekirjoitusta ei tulla laskemaan vahvan asiakkaan tunnistamisen menetelmäksi. Kortintarjoajat voivat siis halutessaan hylätä korttimaksut, jotka on todennettu allekirjoituksella. Tämä tarkoittaisi myös kortin mg-juovan avulla tehtäviä tapahtumia, jotka vahvennetaan käytännössä aina allekirjoituksella.
Oma pankkiasiointisi
Danske Bankin väline vahvaan tunnistautumiseen on Danske ID tai tunnuslukulaite. Danske ID korvaa muovisen turvakortin, kun kirjaudut yrityksen verkkopalveluun, Districtiin.
Uusi sääntely edellyttää myös, että jatkossa sinut kirjataan verkkopalveluista aiempaa nopeammin ulos, jos palvelu on käyttämättömänä. Näin varmistetaan, että tilien luvaton käyttö estetään entistä tehokkaammin. Tämä tarkoittaa käytännössä sitä, että jos et ole ollut aktiivinen palvelussa 5 minuuttiin, palvelu kirjaa sinut automaattisesti ulos aiemman 30 minuutin sijaan.
