Börja nu  Kontakta säljteamet 

Ansvarsförskjutning förklaras: Så minskar man risken för bedrägerier vid onlinebetalningar och betalningar i fysisk miljö

Radar
Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Läs mer 
  1. Introduktion
  2. Vad är en ansvarsförskjutning vid kortbetalningar?
  3. När sker en ansvarsförskjutning och vem blir ansvarig?
    1. Transaktioner med EMV-chipkort
    2. Onlinetransaktioner
    3. Kontaktlösa transaktioner och transaktioner med digitala plånböcker
    4. Transaktioner utan autentiseringsalternativ
  4. Hur påverkar ansvarsförskjutning din bedrägeribekämpningsstrategi?
    1. Det hjälper dig att bestämma när du ska lägga till autentisering
    2. Det förändrar hur du tolkar riskpoäng
    3. Det omformar kostnaden för bedrägerier
  5. Kom igång med Stripe 

De globala förlusterna för bedrägerier vid onlinebetalningar inom e-handeln uppskattades till cirka 44 miljarder dollar 2024. Men vem betalar när en transaktion visar sig vara bedräglig? Det beror på hur betalningen behandlades, vilka säkerhetsverktyg som användes och vilka regler som gäller i bakgrunden. Denna överlåtelse av ansvar kallas ansvarsförskjutning och är en viktig del av betalningssystemet. Tyvärr tänker många företag inte på detta förrän de befinner sig på fel sida om det.

Nedan förklarar vi exakt hur ansvarsförskjutning fungerar, när den inträffar och hur du kan använda den till din fördel.

Vad innehåller den här artikeln?

  • Vad är en ansvarsförskjutning vid kortbetalningar?
  • När sker en ansvarsförskjutning och vem blir ansvarig?
  • Hur påverkar ansvarsförskjutning din bedrägeribekämpningsstrategi?

Vad är en ansvarsförskjutning vid kortbetalningar?

En ansvarsförskjutning definierar vem som är ansvarig när en betalning identifieras som bedräglig. Det ansvaret kan variera beroende på vem i betalningskedjan som använde rätt säkerhetsverktyg. Det handlar om vilken part som inte lyckades säkra transaktionen.

Om ett företag använder de senaste versionerna av säkerhetsprotokoll, såsom EMV-chipläsare (Europay, Mastercard och Visa) och 3D Secure (3DS), och bedrägerier ändå förekommer, överförs ansvaret vanligtvis till kortets utfärdare. Om företaget inte använder dessa skydd är utfärdaren inte längre ansvarig. Företaget (eller dess inlösande bank) blir ekonomiskt ansvarig för återkrediteringen.

Den förändringen i ansvar är avsiktlig. Kortbetalningsnätverk använder det för att framdriva införandet av bättre säkerhet. Budskapet är tydligt: implementera starkare autentisering och du är inte den som står för kostnaderna för bedrägeri.

Kortnätverks regler följer en strikt logik för att bedöma ansvar:

  • Har företaget implementerat den tillgängliga autentiseringsmetoden?

  • Behandlades transaktionen genom rätt kanal?

Om svaren på båda är ”ja” är företaget skyddat, annars är det exponerat.

När sker en ansvarsförskjutning och vem blir ansvarig?

Ansvarsförskjutning tillämpas inte på alla transaktioner. Det sker endast när viss teknik eller vissa protokoll används (eller inte används) för att upptäcka och förhindra bedrägeri. Om dessa villkor är uppfyllda överförs risken för bedrägeri från företaget till utfärdaren. Om de inte är det är företaget ansvarigt.

Här följer en närmare titt på när och varför ansvarsförskjutning sker för olika typer av transaktioner.

Transaktioner med EMV-chipkort

Om en kund använder ett EMV-chipkort vid betalning men företaget inte behandlar betalningen i en kortterminal, blir företaget ansvarigt för eventuella bedrägerier kopplade till den transaktionen. Detta innebär:

  • Om företaget inte har stöd för EMV men kortet har ett chip är det företaget (eller dess inlösare) som står för förlusten

  • Om företaget använder en EMV-kortterminal till kortet är utfärdaren sannolikt ansvarig

Detta påverkar inte tvister som inte är relaterade till kortbedrägerier såsom anspråk gällande "skadade produkter" utan företaget är fortfarande ansvarig för dessa.

Onlinetransaktioner

Ansvarsförskjutning för onlinebetalningar eller mobila betalningar beror vanligtvis på om 3DS användes och om autentiseringen lyckades:

  • Om en transaktion autentiseras via 3DS överförs ansvaret till kortinnehavarens bank.

  • Om 3DS inte används, misslyckas eller inte är tillgänglig är företaget ansvarigt.

Om kortinnehavaren senare hävdar att de inte har godkänt debiteringen är utfärdaren ansvarig endast om autentiseringen slutfördes. Även om transaktionen inte autentiserades på grund av att utfärdaren inte deltar i 3DS eller om ett fel inträffar, överförs vanligtvis inte ansvaret till utfärdaren.

Kontaktlösa transaktioner och transaktioner med digitala plånböcker

Många digitala plånböcker (t.ex. Apple Pay, Google Pay) är berättigade till ansvarsförskjutning till följd av hur de är tokeniserade och autentiserade. Dessa transaktioner innehåller ofta kryptografiska bevis på att kortinnehavaren har verifierats med hjälp av biometri eller enhetsbaserade inloggningsuppgifter. När detta bevis finns överförs ansvaret vanligtvis till utfärdaren.

Transaktioner utan autentiseringsalternativ

Inte alla kanaler möjliggör autentisering, däribland betalningar vid beställning via e-post eller telefon. I dessa fall kvarstår ansvaret i allmänhet hos företaget eftersom transaktionen inte kan verifieras i realtid.

Hur påverkar ansvarsförskjutning din bedrägeribekämpningsstrategi?

Ansvarsförskjutning är ett beslutsverktyg som utformar hur man hanterar risker, vilka säkerhetsåtgärder man vidtar i kassan och hur man avväger bedrägeribekämpning mot kundupplevelsen.

Det hjälper dig att bestämma när du ska lägga till autentisering

3DS ger dig något som de flesta bedrägeriverktyg inte kan erbjuda: skydd från ekonomiskt ansvar. Detta gör det till en kraftfull reservutväg – särskilt för transaktioner som utlöser risksignaler, till exempel beställningar av högt värde, internationella kort och förstagångskunder.

Vissa företag använder 3DS selektivt. De använder t.ex. 3DS på riskfyllda transaktioner för att lyfta bort ansvaret från sig själva, men bryr sig inte om det på lågrisktransaktioner för att minimera problem i kassan och behålla konvertering. De behandlar inte alla kunder som ett hot utan använder ansvarsförskjutning där det är viktigast.

Men i vissa regioner kräver regelefterlevnad att man använder 3DS på alla onlinetransaktioner.

Det förändrar hur du tolkar riskpoäng

När du vet att en transaktion har ansvarsförskjutning (eftersom 3DS lyckades eller chippet användes) kan du besluta att godkänna den även om det finns indikationer på bedrägeri. Omvänt, om en transaktion inte uppfyller kraven för ansvarsförskjutning, kanske du vill utöka granskningen. Det kan innebära att du behöver mer verifiering, skickar den för manuell granskning eller blockerar den.

Det omformar kostnaden för bedrägerier

En lyckad ansvarsförskjutning innebär att utfärdaren, inte ditt företag, tar förlusten. Detta minskar din direkta ekonomiska exponering, men bedrägerier har fortfarande indirekta kostnader som:

  • Förlust av lager

  • Tvisthantering ökar

  • Att bli flaggad av nätverk för att man har hög bedrägerifrekvens

Ansvarsförskjutning minskar effekterna av bedrägerier, men det eliminerar inte skadan. Därför vill du ändå förhindra det när du kan.

Din övergripande strategi beror på din affärsmodell, riskprofil och geografiska plats. EU kräver till exempel stark kundautentisering (SCA) för alla onlinebetalningar, och de senaste versionerna av 3DS-autentisering uppfyller det kravet. I USA och andra regioner är 3DS valfritt. Det ger dig större flexibilitet men innebär också fler beslut att fatta. Om du är verksam globalt kommer du sannolikt att använda en hybridstrategi: 3DS överallt där det krävs och en riskbaserad strategi på andra ställen.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Radar

Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Dokumentation om Radar

Använd Stripe Radar för att skydda ditt företag mot bedrägerier.