Nya regler om stark kundautentisering

FI publicerar frågor och svar om nya regler som införs den 14 september.

 Information till företag under tillsyn | Information till konsumenter

Information till företag under tillsyn


Vad är det för nya regler som införs?

Den 14 september 2019 införs nya regler om stark kundautentisering inom EU. Reglerna innebär i korthet att det krävs att man autentiserar sig med säkra metoder när man loggar in på sitt betalkonto online, initierar en elektronisk betalningstransaktion, eller genomför någon betalkontoåtgärd på distans som kan innebära en risk för så kallat svikligt förfarande, dvs. bedrägeri, eller andra former av missbruk.

Reglerna om stark kundautentisering följer av 5 b kap. 4 § lagen (2010:751) om betaltjänster och Kommissionens tekniska standarder för sträng kundautentisering och säker kommunikation (RTS(EU)2018/389). Dessa tekniska standarder är en del av genomförandet av det andra betaltjänstdirektivet,  Europaparlamentets och rådets direktiv (EU) 2015/2366.

Finns det några övergångsbestämmelser eller någon övergångsperiod?

Det finns ingen övergångsperiod. Reglerna börjar alltså gälla när de införs den 14 september 2019.

Europeiska bankmyndigheten (EBA) har dock framhållit att man under vissa förutsättningar kan acceptera en tidsbegränsad implementeringstid, för korttransaktioner inom e-handeln, vilket innebär att de betaltjänstleverantörer som den 14 september 2019 inte efterlever reglerna om stark kundautentisering kommer att behöva presentera tidsatta så kallade migreringsplaner som visar tillsynsmyndigheterna när och hur de kommer att uppfylla kraven i regelverket. Detta framgår av ett yttrande som EBA publicerade den 21 juni 2019, Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2.

Finns det möjlighet till en tidsbegränsad implementeringstid i Sverige?

Finansinspektionen är mån om att betaltjänstdirektivet införs på ett bra och harmoniserat sätt i EU som inte skapar oönskade störningar för konsumenter eller företag. Finansinspektionen bedömer att det redan finns tillräckligt många lösningar på den svenska marknaden, för att större delen av korttransaktionerna inom e-handeln ska kunna uppfylla kraven på stark kundautentisering. De företag som står under Finansinspektionens tillsyn som anser sig behöva ytterligare tid för tillämpning av stark kundautentisering för transaktioner utförda via kortbetalning inom e-handeln har dock möjlighet att inkomma med en detaljerad plan för detta till Finansinspektionen som ska vara i linje med den tidplan som EBA kommer att ange senare i år. Planen ska bland annat innehålla företagets planerade kommunikationsaktiviteter för att informera e-handlare och betaltjänstanvändare om de nya förutsättningarna. Finansinspektionen kommer granska innehållet i planerna och återkomma till respektive företag.

Underrättelse om plan för ytterligare tid för implementering kan mejlas till finansinspektionen@fi.se. Ange Dnr: 19-19162.

Till toppen av sidan

Information till konsumenter


Vad innebär de nya reglerna för konsumenter?

Reglerna om stark kundautentisering skyddar konsumenter och andra som använder betaltjänster. De ger bland annat ett starkare skydd mot kortbedrägerier.

Den starka kundautentiseringen ska grundas på minst två element ur följande kategorier:

  • kunskap (något som endast användaren vet, t.ex. en PIN-kod),
  • innehav (något som bara användaren har, t.ex. en personlig mobiltelefonapplikation), och
  • unik egenskap (något som användaren är, t.ex. fingeravtryck).

I Sverige innebär det i praktiken att man som huvudregel kommer behöva ha tillgång till t.ex. PIN-kod till betalkort eller Bank-ID-när man genomför betalningstransaktioner, exempelvis i en butik, på en e-handelswebbplats eller via en mobiltelefonbaserad betaltjänstapplikation. Det finns dock ett antal undantag när stark kundautentisering inte behöver tillämpas, t.ex. under vissa förutsättningar vid transaktioner med begränsade värden och kontaktlösa betalningar i butik.

Hur påverkas konsumenter om betaltjänstleverantörerna inte tillämpar stark kundautentisering efter den 14 september?

Det finns en del som tyder på att vissa aktörer i EU inte är redo att fullt ut införa krav på stark kundautentisering den 14 september 2019. Det förekommer att köp på e-handelswebbplatser genomförs baserat på betalkortsuppgifter utan att det krävs någon ytterligare autentisering av köparen. Finansinspektionens bedömning är att problemen inte är så stora när det gäller svenska e-handelswebbplatser, eftersom vi t.ex. kan använda Bank-ID i stor utsträckning.

Konsumenter som betalar med kort i e-handeln ska inte påverkas negativt av att vissa betaltjänstleverantörer inte uppfyller kraven om stark kundautentisering efter den 14 september 2019. Att en betaltjänstleverantör har behov av att upprätta en så kallad migreringsplan för att under en begränsad tidsperiod övergå till godkända metoder för autentisering påverkar inte tillämpningen av civilrättsliga regler mellan betaltjänstleverantörer och betaltjänstanvändare. T.ex. gäller bestämmelserna om fördelningen av ansvar vid obehöriga transaktioner oförändrat (5 a kap. lagen (2010:751) om betaltjänster).

Till toppen av sidan