I den här guiden ska vi ta en närmare titt på de europeiska kraven om stark kundautentisering (Strong Customer Authentication, SCA) som betaltjänstdirektivet 2 (PSD2) infört och vilka typer av betalningar som påverkas. För att erbjuda en friktionsfri kassaupplevelse kommer vi också att täcka tillgängliga undantag som kan begäras av företagen.
Vi har också publicerat en guide för att hjälpa dig att identifiera när du ska lägga till autentisering i din kundresa och en guide om hur du förbereder dig för det kommande betaltjänstdirektivet 3 (PSD3). Gå till vår webbplats för mer information om Stripes SCA-godkända produkter.
Vad är stark kundautentisering?
Stark kundautentisering (SCA) är ett tillsynskrav i Europa som ska minska bedrägerier och göra onlinebaserade betalningar och kontaktlösa offlinebetalningar säkrare. För att ta emot betalningar och uppfylla SCA-kraven måste du bygga en ytterligare autentisering i ditt kassaflöde. SCA kräver att autentiseringen ska omfatta minst två av följande tre komponenter.
Om du vill läsa de ursprungliga SCA-kraven beskrivs de i de Tekniska tillsynsstandarderna och i RTS. Banker måste avvisa betalningar som kräver stark kundautentisering och inte uppfyller dessa kriterier.
När krävs stark kundautentisering?
Stark kundautentisering gäller vid digitala betalningar och kontaktlösa offline-betalningar inom Storbritannien eller Europa som "initieras av kunden". Alla elektroniska betalningar (d.v.s. kortbetalningar och banköverföringar) kräver SCA såvida inte ett undantag kan tillämpas eller transaktionen anses vara utanför räckvidden för SCA – till exempel transaktioner initierade av handlare (t.ex. autogiro).
Vid kortbetalning online gäller dessa krav för transaktioner där både företaget och kortinnehavarens bank finns i Europeiska ekonomiska samarbetsområdet (EES).
Så autentiserar du en kortbetalning
Digitala kortbetalningar autentiseras främst med 3D Secure-autentisering. Det är en autentiseringsstandard som stöds av i stort sett alla europeiska kort. En 3D Secure-autentisering görs vanligtvis genom ett extra steg i kassan där kortinnehavarens bank ber om ytterligare information för att slutföra en betalning (t.ex. en engångskod som skickas till kortinnehavarens telefon eller ett fingeravtryck via en mobilapp).
3D Secure 2 är den vanligaste metoden för att autentisera kortbetalningar online och uppfylla SCA-krav.
Korttransaktioner offline uppfyller vanligtvis autentiseringskraven genom en PIN-kod. Andra kortbaserade betalningsmetoder som t.ex. Apple Pay eller Google Pay har redan stöd för betalningsflöden med ett inbyggt autentiseringssteg (biometriskt eller med lösenord). De är ett utmärkt sätt för företag att erbjuda smidiga betalningar som når upp till kraven.
Så fungerar ansvar för bedrägliga tvister i 3DS-sammanhang
En av fördelarna med att tillämpa SCA där multifaktorautentisering har införts, är att företag kan få ansvarsskydd från bedrägliga tvister.
Undantag från stark kundautentisering
Alla betalningar hamnar inte inom ramen för multifaktorautentisering enligt SCA. Vissa kan kvalificera sig för antingen ett undantag som föreskrivs i förordningen, eller omfattas ej av tillämpningsområdet för SCA. I fall ett undantag begärs och accepteras av kortinnehavarens bank, kvarstår ansvaret för tvister på grund av bedrägeri hos företaget.
Betaltjänstleverantörer som Stripe kommer att kunna utnyttja undantag och göra en förfrågan när betalningen behandlas. Kortinnehavarens bank tar emot förfrågan om undantag, bedömer transaktionens risknivå och beslutar sedan om undantaget kan godkännas eller om autentisering fortfarande anses vara nödvändig. Genom att utnyttja undantagen för betalningar med låg risk kan du minska antalet gånger en kund måste genomföra en autentisering och kundavhopp.
Stripe använder maskininlärning för att bestämma det optimala undantaget vid varje tillfälle, för att kunna hjälpa dig med en så smidig kassaupplevelse som möjligt för dina kunder. Vi har designat våra egna SCA-redo betalningsprodukter för att hjälpa dig att utnyttja dessa undantag när det är möjligt och på så vis skydda dina konverteringar.
De mest relevanta undantagen för företag som accepterar onlinebetalningar är:
Lågrisktransaktioner
En betaltjänstleverantör (som Stripe) tillåts genomföra en riskanalys i realtid, som kallas för Transaction Risk Analysis (TRA), för att bestämma om SCA ska tillämpas på en transaktion eller ej. Det är endast möjligt att tillämpa detta undantag om betaltjänstleverantörens eller bankens övergripande bedrägerifrekvens för kortbetalningar inte överskrider följande tröskelvärden:
- 0,13 % för att undanta transaktioner under 100 EUR/85 GBP
- 0,06 % för att undanta transaktioner under 250 EUR/220 GBP
- 0,01 % för att undanta transaktioner under 500 EUR/440 GBP
Dessa tröskelvärden omvandlas till lokala motsvarande belopp där det behövs.
Det här är ett av de mest användbara undantagen för företag, och ett av undantagen som har bredast uppslutning från bankerna. Tack vare Stripe Radars omfattande realtids-riskbedömning kan vi ge det här undantaget stöd för våra användare.
Betalningar under 30 EUR/25 GBP
Betalningar med låga belopp kan också undantas. Transaktioner under 30 EUR eller 25 GBP anses vara av "lågt värde" och kan undantas från SCA. Bankerna måste däremot be om autentisering om undantaget har använts fem gånger sedan kortinnehavarens senaste tillämpning av stark kundautentisering eller om värdet på tidigare transaktioner sedan den senaste tillämpningen av stark kundautentisering överskrider 100 EUR/85 GBP. Kortinnehavarens bank måste spåra antalet gånger detta undantag har använts och sedan avgöra om autentisering är nödvändigt.
Detta undantag kanske det inte är relevant för många betalningar på grund av de strikta begränsningarna. Trots detta erbjuder vi stöd för detta undantag till våra användare.
Återkommande transaktioner
Detta undantag kan tillämpas när kunden gör flera återkommande betalningar för samma belopp och till samma företag. SCA krävs när kunden gör den första betalningen, men inte om ytterligare kostnader tillkommer.
Det här undantaget är av stor nytta för abonnemangsföretag och har en bred uppslutning från europeiska banker. Om du använder Stripe Billing för att skapa abonnemang, tillämpar vi det här undantaget när det är lämpligt och kan hjälpa till med att hantera autentiseringsförfrågningar om undantaget avvisas av kundens bank.
Transaktioner initierade av handlare (inklusive abonnemang med rörligt belopp)
Betalningar som görs med sparade kort när kunden inte är närvarande i kassan (kallas ibland för "utanför session") kan godkännas som en transaktion initierad av handlaren. Dessa betalningar omfattas tekniskt sett inte av SCA. Praktiskt sett, om en transaktion anges som "initierad av handlaren" motsvarar det som att be om ett undantag. Och som vid alla andra undantag är det i slutändan upp till banken att besluta om autentisering krävs eller ej.
För att kunna använda sig av denna funktion måste man autentisera kortet antingen första gången det sparas eller vid den första betalningen. Slutligen måste man även få ett godkännande från kunden i fråga (även kallat ett medgivande) för att kunna debitera dennes kort vid ett senare tillfälle.
Detta är ett viktigt användningsfall för affärsmodeller som är beroende av fördröjda betalningar, debiterar abonnemang med varierande belopp eller fakturerar för extra produkter eller tjänster. Det stöds av de flesta europeiska banker och godkänns av banken om transaktionen anses ha låg risk.
Med Stripes API kan du autentisera ett kort när det sparas för senare användning och markera efterföljande betalningar som "transaktioner initierade av handlare". Det är viktigt att företag använder Stripes senaste API:er för att säkerställa att de är redo för SCA.
Telefonförsäljning (MOTO)
Kortuppgifter som samlats in per telefon omfattas inte av SCA och kräver ingen autentisering. Den här typen av betalning kallas för postorder och telefonorder (Mail Order and Telephone Orders, MOTO). Precis som med undantag måste MOTO-transaktioner flaggas och det är kortinnehavarens bank som beslutar om transaktionen godkänns eller nekas.
Det här är ett viktigt användningsfall för företag som tar emot betalningar via telefon och stöds i stor utsträckning av banker. Betalningar som skapas via Stripe Dashboard kan automatiskt markeras som MOTO-betalningar för detta användningsfall.
Om ditt företag uppfyller PCI-kraven och du har byggt ett eget system för att ta emot telefonbeställningar, kan våra betalnings-API:n markera betalningar som MOTO. Kontakta oss för att aktivera den här funktionen i ditt Stripe-konto och få åtkomst till den tekniska dokumentationen.
Företagsbetalningar
Detta undantag tillämpas på betalningar som görs med ett särskilt företagskort för tjänsteresor (som t.ex. används direkt av en resebyrå) eller när företaget gör betalningar med virtuella kortnummer (vilket också används inom resebranschen).
På grund av dess mycket begränsande användningsområde har detta undantag låg praktisk betydelse utanför resebranschen. Undantaget självt kan bara begäras av kortinnehavarens bank, då varken företaget eller betalleverantörer (som Stripe) kan avgöra huruvida ett kort hör till de här kategorierna.
Betrodda betalningsmottagare
När kunder slutför en autentisering för en betalning kan de få en förfrågan att lägga till företaget i en lista över företag som de litar på, för att slippa genomgå autentiseringar vid framtida köp. Dessa företag ingår sedan i kundens förteckning över betrodda betalningsmottagare som hanteras av kundens bank eller betaltjänstleverantör.
Trots att en tillåten-lista kan göra återkommande köp eller abonnemang smidigare för kunderna, har stödet för den här funktionen fått en långsam uppslutning från bankerna.
Vad händer om ett undantag inte godkänns?
Även om undantag kan vara mycket användbara är det kortinnehavarens bank som bestämmer om ett undantag gäller eller ej. För betalningar som nekades, på grund av att undantaget inte accepterades och då saknade autentisering för betalningen, kan banker kan returnera specifika koder. Dessa betalningar måste sedan på nytt skickas in till kunden med en begäran om stark kundautentisering. SCA-redo produkter från Stripe utlöser automatiskt denna extra autentisering när bankerna kräver det.
Om ditt företag påverkas av SCA rekommenderar vi att du förbereder ett tillvägagångssätt för fall då ett undantag nekas och kunden måste göra en autentisering. Detta är särskilt viktigt om du debiterar kunder när de inte är närvarande i ett kassaflöde (dvs. "utanför session") och en kund måste besöka din webbplats eller app igen för att göra en autentisering. Läs vår guide om hur man designar betalningsflöden för SCA för mer information.
Hur Stripe hjälper dig att nå upp till kraven för stark kundautentisering
Ändringarna som sker genom denna förordning påverkar näthandeln i Europa på djupet. Berörda företag som inte följer dessa krav kan se sina konverteringsfrekvenser påverkas när SCA-föreskrifterna fortsätter att implementeras av banker runtom i Europa.
Förutom att stödja autentiseringsmetoder som 3D Secure 2 tror vi att en effektiv hantering av undantag är mycket viktigt för att kunna ge kunderna en smidig och förstklassig betalningsupplevelse som minskar bedrägerier samtidigt som den också minimerar friktionen för dina kunder. Våra betalningsprodukter är optimerade för olika regler från tillsynsmyndigheter, banker och kortnätverk och tillämpar undantag för betalningar med låg risk så att 3D Secure endast behöver användas när det krävs. Våra avancerade maskininlärningsmodeller hjälper dig också med anpassningen till de förändrade SCA-reglerna.
Kommande ändringar
Tillsynsmyndigheter över hela EU och Storbritannien arbetar också med att revidera reglerna som kommer att forma framtiden för SCA i båda regionerna. Europeiska kommissionen har reviderat det nuvarande PSD2-ramverket och utfärdat förslag till Payment Services Directive 3 och Payment Services Regulation. Stripe publicerade den här guiden som går in på detaljerna med vad företag kan förvänta sig av de nya reglerna och vi övervakar noga framstegen för liknande regler på den brittiska marknaden.
Läs mer om Stripes SCA-redo produkter. Om du har frågor eller synpunkter, kontakta oss.