Stark kundautentisering

Vad internetföretag behöver veta om den europeiska förordningen

  1. Introduktion
  2. Vad är stark kundautentisering?
    1. När krävs stark kundautentisering?
    2. Hur man autentiserar en betalning
    3. Undantag från stark kundautentisering
    4. Vad händer om ett undantag inte godkänns?
    5. Hur Stripe hjälper dig att nå upp till kraven för stark kundautentisering

I den här guiden ska vi ta en närmare titt på de europeiska kraven om stark kundautentisering (Strong Customer Authentication, SCA) och vilka typer av betalningar som påverkas. Vi kommer även att ta upp de undantag som kan användas för transaktioner med låg risk för att erbjuda en kassaupplevelse utan krångel.

Vi har också publicerat en guide som hjälper dig att förstå när du ska aktivera autentisering i din kundupplevelse. Gå till vår webbplats för mer information om Stripes SCA-godkända produkter.

Vad är stark kundautentisering?

Stark kundautentisering (SCA) är ett tillsynskrav i Europa som ska minska bedrägerier och göra onlinebaserade betalningar och kontaktlösa offlinebetalningar säkrare. För att ta emot betalningar och uppfylla SCA-kraven måste du bygga en ytterligare autentisering i ditt kassaflöde. SCA kräver att autentiseringen ska omfatta minst två av följande tre komponenter.

Om du vill läsa de ursprungliga SCA-kraven beskrivs de i de Tekniska tillsynsstandarderna och i RTS. Banker måste avvisa betalningar som kräver stark kundautentisering och inte uppfyller dessa kriterier.

När krävs stark kundautentisering?

Stark kundautentisering gäller vid digitala betalningar och kontaktlösa offline-betalningar inom Europa som "initieras av kunden". Som resultat därav kommer SCA att krävas vid i stort sett alla kortbetalningar och alla banköverföringar. Återkommande autogiro anses däremot vara "initierat av handlaren" och kräver således ingen stark kundautentisering.

Vid kortbetalning online gäller dessa krav för transaktioner för vilka både företaget och kortinnehavarens bank finns i Europeiska ekonomiska samarbetsområdet (EES).

Hur man autentiserar en betalning

Digitala kortbetalningar autentiseras främst med 3D Secure-autentisering. Det är en autentiseringsstandard som stöds av i stort sett alla europeiska kort. En 3D Secure-autentisering görs vanligtvis genom ett extra steg i kassan där kortinnehavarens bank ber om ytterligare information för att slutföra en betalning (t.ex. en engångskod som skickas till kortinnehavarens telefon eller ett fingeravtryck via en mobilapp).

3D Secure 2 är den vanligaste metoden för att autentisera kortbetalningar online och uppfylla SCA-kraven. Den här versionen ger en bättre användarupplevelse och underlättar dessutom kassaprocessen.

Korttransaktioner offline uppfyller vanligtvis autentiseringskraven genom en PIN-kod.

Andra kortbaserade betalningsmetoder som t.ex. Apple Pay eller Google Pay har redan stöd för betalningsflöden med ett inbyggt autentiseringssteg (biometriskt eller med lösenord). De är ett utmärkt sätt för företag att erbjuda smidiga betalningar som når upp till kraven.

Vi förväntar oss även att många av de vanliga europeiska betalningsmetoderna, som iDEAL, Bancontact och Multibanco kommer att följa SCA-kraven utan några större förändringar i användarupplevelsen.

Undantag från stark kundautentisering

I och med denna förordning kan särskilda typer av betalningar med låg risk undantas från stark kundautentisering. Betaltjänstleverantörer som Stripe kommer att kunna utnyttja dessa undantag och göra en förfrågan när betalningen behandlas. Kortinnehavarens bank tar emot förfrågan om undantag, bedömer transaktionens risknivå och beslutar sedan om undantaget kan godkännas eller om autentisering fortfarande anses vara nödvändig.

Att ta med autentisering i ditt kassaflöde innebär ett extra steg för kunden innan köpet slutförs. Det kan leda till ett mindre smidigt betalningsförlopp och att kunden inte genomför köpet. Genom att utnyttja undantagen för betalningar med låg risk kan du minska antalet gånger en kund måste genomföra en autentisering. Vi har designat våra egna SCA-redo betalningsprodukter för att hjälpa dig att utnyttja dessa undantag när det är möjligt och på så vis skydda dina konverteringar.

De mest relevanta undantagen för internetföretag är följande:

Lågrisktransaktioner

En betaltjänstleverantör (som Stripe) tillåts genomföra en riskanalys i realtid för att bestämma om SCA ska tillämpas på en transaktion eller ej. Detta är endast möjligt om betaltjänstleverantörens eller bankens övergripande bedrägerifrekvens för kortbetalningar inte överskrider följande tröskelvärden:

–0,13 % för undantag vid transaktioner under 100 EUR
–0,06 % för undantag vid transaktioner under 250 EUR
–0,01 % för undantag vid transaktioner under 500 EUR

Dessa tröskelvärlden omvandlas till lokala motsvarande belopp där det behövs.

I fall där endast betaltjänstleverantörens bedrägerifrekvens ligger över tröskelvärdet och inte kortinnehavarens bank, förväntar vi oss att banken nekar undantaget och kräver autentisering.

Det här är ett av de mest användbara undantagen för företag, och ett av undantagen som har bredast uppslutning från bankerna. Tack vare Stripe Radars omfattande realtids-riskbedömning kan vi ge det här undantaget stöd för våra användare.

Betalningar under 30 EUR

Detta är ett undantag som kan användas vid betalningar med ett begränsat värde. Transaktioner under 30 EUR anses vara av "begränsat värde" och kan undantas från SCA. Bankerna måste däremot be om autentisering om undantaget har använts fem gånger sedan kortinnehavarens senaste tillämpning av stark kundautentisering eller om värdet på tidigare transaktioner sedan den senaste tillämpningen av stark kundautentisering överskrider 100 EUR. Kortinnehavarens bank måste spåra antalet gånger detta undantag har använts och sedan avgöra om autentisering är nödvändigt.

På grund av de stränga begränsningarna för detta undantag kan undantaget för transaktioner med låg risk bli mer relevant för de flesta betalningar. Trots detta erbjuder vi stöd för detta undantag till våra användare.

Abonnemang med fast belopp

Detta undantag kan tillämpas när kunden gör flera återkommande betalningar för samma belopp och till samma företag. SCA krävs när kunden gör den första betalningen, men inte om ytterligare kostnader tillkommer.

Det här undantaget bör vara av stor nytta för abonnemangsföretag och har en bred uppslutning från europeiska banker. Vi har gjort detta undantag möjligt för Stripe-användare. Om du använder Stripe Billing för att skapa abonnemang, tillämpar vi det här undantaget när det är lämpligt, och kan hjälpa till med att hantera autentiseringsförfrågningar om undantaget avvisas av kundens bank.

Transaktioner initierade av handlare (inklusive abonnemang med rörligt belopp)

Betalningar som görs med sparade kort när kunden inte är närvarande i kassan (kallas ibland för "utanför session") kan godkännas som en transaktion initierad av handlaren. Dessa betalningar omfattas tekniskt sett inte av SCA. Praktiskt sett, om en transaktion anges som "initierad av handlaren" motsvarar det som att be om ett undantag. Och som vid alla andra undantag är det i slutändan upp till banken att besluta om autentisering krävs eller ej.

För att kunna använda sig denna funktion måste man autentisera kortet antingen när det sparas eller vid den första betalningen. Slutligen måste man även få ett godkännande från kunden i fråga (även kallat ett "mandat") för att kunna debitera dennes kort vid ett senare tillfälle.

Detta är ett viktigt användningsfall för affärsmodeller som är beroende av fördröjda betalningar, debiterar abonnemang med varierande belopp eller fakturerar för extra produkter eller tjänster. Det stöds av de flesta europeiska banker och godkänns av banken om transaktionen anses ha låg risk.

Med Stripes API kan du autentisera ett kort när det sparas för senare användning och markera efterföljande betalningar som "transaktioner initierade av handlare".

Betrodda betalningsmottagare

När kunder slutför en autentisering för en betalning kan de få en förfrågan att lägga till företaget i en lista över företag som de litar på, för att slippa genomgå autentiseringar vid framtida köp. Dessa företag ingår sedan i kundens förteckning över betrodda betalningsmottagare som hanteras av kundens bank eller betaltjänstleverantör.

Trots att en tillåten-lista kan göra återkommande köp eller abonnemang smidigare för kunderna, har stödet för den här funktionen fått en långsam uppslutning från bankerna. Vi stöder detta undantag för våra användare när det är tillgängligt.

Försäljning via telefon

Kortuppgifter som samlats in per telefon omfattas inte av SCA och kräver ingen autentisering. Den här typen av betalning kallas för postorder och telefonorder (Mail Order and Telephone Orders, MOTO). Precis som med undantag måste MOTO-transaktioner flaggas och det är kortinnehavarens bank som beslutar om transaktionen godkänns eller nekas.

Det här är ett viktigt användningsfall för företag som tar emot betalningar via telefon, och stöds i stor utsträckning av banker. Betalningar som skapas via Stripe Dashboard markeras automatiskt som MOTO-betalningar.

Om ditt företag uppfyller PCI-kraven och du har byggt ett eget system för att ta emot telefonbeställningar, kan våra betalnings-API:n markera betalningar som MOTO. Kontakta oss för att aktivera den här funktionen i ditt Stripe-konto och få åtkomst till den tekniska dokumentationen.

Företagsbetalningar

Detta undantag tillämpas på betalningar som görs med ett särskilt företagskort för tjänsteresor (som t.ex. används direkt av en resebyrå) eller när företaget gör betalningar med virtuella kortnummer (vilket också används inom resebranschen).

På grund av dess mycket begränsande användningsområde förväntar vi oss att det här undantaget får låg praktisk betydelse utanför resebranschen. Undantaget självt kan bara begäras av kortinnehavarens bank, då varken företaget eller betalleverantörer (som Stripe) kan avgöra huruvida ett kort hör till de här kategorierna.

Vad händer om ett undantag inte godkänns?

Även om undantag kan vara mycket användbara är det kortinnehavarens bank som bestämmer om ett undantag gäller eller ej. Banker kan returnera nya avvisningskoder för betalningar som misslyckas på grund av utebliven autentisering. Dessa betalningar måste då skickas till kunden igen, med en begäran om stark kundautentisering. Stripes SCA-redo produkter begär automatiskt en sådan autentisering när en bank kräver det.

Om ditt företag påverkas av SCA rekommenderar vi att du förbereder ett tillvägagångssätt för fall då ett undantag nekas och kunden måste göra en autentisering. Detta är särskilt viktigt om du debiterar kunder när de inte är närvarande i ett kassaflöde (dvs. "utanför session") och en kund måste besöka din webbplats eller app igen för att göra en autentisering. Läs vår guide om hur man designar betalningsflöden för SCA för mer information.

Hur Stripe hjälper dig att nå upp till kraven för stark kundautentisering

Ändringarna som sker genom denna förordning påverkar näthandeln i Europa på djupet. Påverkade företag som inte förbereder sig för att uppfylla dessa krav se sin konverteringsfrekvens minska betydligt när SCA-föreskrifterna fortsätter att implementeras av banker runtom i Europa.

Förutom att stödja autentiseringsmetoder som 3D Secure 2 tror vi att en effektiv hantering av undantag är mycket viktigt för att kunna ge kunderna en smidig och förstklassig betalningsupplevelse. Våra betalningsprodukter är optimerade för olika regler från tillsynsmyndigheter, banker och kortnätverk och tillämpar undantag för betalningar med låg risk så att 3D Secure endast behöver användas när det krävs. I takt med att dessa krav ändras kommer vi att underhålla och uppdatera vår SCA-logik i realtid, med hänsyn till när varje land inför de nya kraven.

Vi har lanserat en grundläggande API för betalningar som använder sig av Stripes SCA-logik för att tillämpa rätt undantag och be om 3D Secure vid behov. Stripe Checkout och Stripe Billing, har tagits fram med hjälp av denna API och kan tillämpa 3D Secure dynamiskt när det behövs.

Läs mer om Stripes SCA-godkända produkter. Om du har frågor eller synpunkter, kontakta oss.

Redo att börja? Kontakta oss eller skapa ett konto.

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.