PSD2 astuu voimaan syyskuussa – mitä verkkokauppiaan tulee tietää siitä?

Päivitys 6.9.2019: 

Suomen Finanssivalvonta on 5.9.2019 julkaisemallaan tiedotteella antanut lisäaikaa korttimaksamisen vahvan tunnistamisen velvoitteeseen. Sen vuoksi alla kuvatut muutokset suomalaisten pankkien korttimaksamisessa eivät toteudu 14.9.2019, vaan vasta myöhemmin määritellyn siirtymäajan jälkeen. Kansalliset valvontaviranomaiset ovat myöntäneet viime päivinä vastaavia siirtymäaikoja ympäri Eurooppaa. On odotettavissa, että myös muiden eurooppalaisten pankkien vahvan tunnistamisen vaatimusta siirretään vastaavasti.
 
Lue alkuperäinen koosteemme PSD2:sta ja sen mukanaan tuomista velvoitteista alta: 

Euroopan Unionin toinen maksupalveludirektiivi (PSD2) tulee kokonaisuudessaan voimaan Euroopan alueelle 14.9.2019, kun siirtymäaika umpeutuu. Mitä PSD2 tarkoittaa verkkokauppiaan kannalta? Kokosimme tähän kirjoitukseen kaiken, mitä jokaisen kauppiaan tulee aiheesta tietää.  

PSD2 pähkinänkuoressa 

PSD2:n tavoitteena on yhtenäistää sääntelyä sekä lisätä turvallisuutta ja kuluttajansuojaa maksutapahtumissa. Varsinaisesti direktiivi astui voimaan 13.1.2018, jolloin kauppiaan mahdollisuus lisäveloitukseen luottokorttimaksuissa poistui ja kuluttajan vastuu kortin väärinkäytöksestä laski 150 eurosta 50 euroon. Lain teknisiä muutoksia (regulatory technical standards) edellyttäville säännöksille päätetiin antaa 18 kuukauden siirtymäaika, joka päättyy 14.9.2019.  

Merkittävimmät muutokset siirtymäajan päätyttyä ovat vahvan tunnistamisen velvoite sähköisessä tili- ja maksuasioinnissa sekä pankkien velvollisuus avata tili- ja maksutoimeksiantorajapinnat yhteneväisesti kolmansille osapuolille. Lisätietoja PSD2:n vaatimuksista löydät täältä.

 

Mitä PSD2 muuttaa verkkokauppiaan näkökulmasta? 

Korttimaksut – Vahva tunnistaminen vaaditaan poikkeustapauksia lukuun ottamatta 

Maksukorttien (debit ja credit) yhteydessä maksajan vahvan tunnistamisen käyttö on ollut aiemmin kauppiaan päätettävissä. Suomessa sekä kuluttajat että kauppiaat ovat tottuneet vahvaan tunnistamiseen myös pankki- ja luottokorttimaksuissa. Vahva tunnistaminen tehdään todentamispalvelulla (3DSecure, esim. Verified by Visa, MasterCard SecureCode), jossa korttimaksu vahvistetaan kortinmyöntäjäpankin palvelussa esimerkiksi pankkitunnuksilla. 

Tavallisilla verkkokaupoilla, jotka jo käyttävät korttimaksuissa todentamispalvelua, ei ole tarvetta muutoksille. Kuluttajan maksamiskokemus ei pankkien omien tunnistamismenetelmien muutoksia lukuun ottamatta muutu.  

Kauppiaiden, jotka eivät ole käyttäneet todentamispalveluita korttimaksuissa, tulee pääsääntöisesti ottaa korttimaksun todentamispalvelu käyttöön. Tällaisia ovat erityisesti monet pienveloituksia tekevät mobiilipalvelut: ruoan tilauspalvelut, taksipalvelut, sähköpotkulautojen vuokraus ja parkkimaksujen maksupalvelut.  

Jotta kuluttajan maksamiskokemus ei heikkenisi, säännös mahdollistaa maksukohtaiset poikkeukset vahvassa tunnistamisessa. Silti kauppiaan tulee varautua siihen, että poikkeuslupaa vahvan tunnistamisen ohittamiseen ei kortinmyöntäjäpankilta saada tai että esimerkiksi teknisen valmiuden puuttumisen vuoksi maksaja ohjataan vahvaan tunnistamiseen. Myös perinteiset verkkokaupat, jotka tällä hetkellä todentavat jokaisen maksun, voivat halutessaan hyödyntää uusia poikkeussääntöjä ja näin sujuvoittaa maksamista.  

Poikkeukset vahvan tunnistautumisen velvoitteesta korttimaksuissa 

Poikkeuksena vahvan tunnistamisen velvoitteesta ovat kauppiaslähtöiset, ilman ostajan vuorovaikutusta tehtävät korttiveloitukset: esimerkiksi kuukausittaiset lehtitilaukset tai parkkihallissa auton rekisterinumeron skannaukseen perustuva parkkimaksun veloitus. Näissäkin tapauksissa edellytys on, että maksukortin syöttövaiheessa asiakas vahvasti tunnistetaan ja että asiakkaalle tarkasti kerrotaan, minkälaisiin veloituksiin hän antaa suostumuksensa.  

Maksajan vahva tunnistaminen ei myöskään koske EU:n ulkopuolisia korttimaksuja, eli tilanteita, joissa kortinmyöntäjäpankki tai maksun vastaanottava verkkokauppa sijaitsevat EU:n ulkopuolella. 

 

Pankkimaksut – tunnistusmenettely säilyy samana, mutta tekninen toteutus yhtenäistyy 

Suomalaisten pankkien pankkimaksuissa asiakas tunnistetaan aina vahvasti. Direktiivi ei vaikuta suoraan pankkimaksuihin lukuun ottamatta pankkien vastuulla olevien vahvojen tunnistamismenetelmien muutoksia.  

Tekniseen toteutukseen on kuitenkin odotettavissa muutoksia. Tällä hetkellä Suomessa toimivat verkkopankkimaksut toteutetaan pankkien omaehtoisesti julkaisemilla ja määrittelemillä pankkikohtaisilla maksurajapinnoilla. PSD2 edellyttää kaikkia Euroopan pankkeja avaamaan määrämuotoiset, kaikille rekisteröityneille toimijoille avoimet maksutoimeksiantojen rajapinnat. On odotettavissa, että nykyinen pankkimaksaminen toteutus siirtyy uusille standardoiduille maksurajapinnoille.  

Maksupalvelutarjoajan toteuttama muutos ei edellytä muutoksia kauppiailta, mutta saattaa muuttaa kuluttajan maksamiskokemusta nykyisestä. Muutoksen myötä pankkimaksukokemus yhtenäistyy eri pankkien välillä samanlaiseksi ja mahdollistaa todennäköisesti pankkimaksutavan tarjoamisen nykyistä pankkitarjoamaa laajemmin myös Suomen ulkopuolisilta pankeilta. 

 

Mobiilimaksut – kauppiaan näkökulmasta maksupolku ei muutu 

Mobiilimaksutapoja (Pivo, MobilePay, Siirto, ApplePay, Googlepay) koskevat myös vaatimukset maksajan vahvasta tunnistamisesta. Mobiilimaksuvälineiden tarjoajat pyrkinevät tekemään vahvan tunnistamisen maksun yhteydessä omassa mobiilimaksuvälineessään, esimerkiksi sormenjäljen avulla. Kauppiaan näkökulmasta maksupolku ei muutu, mutta kuluttajan näkökulmasta muutoksia maksukokemukseen voi tulla. 

 

Lasku- ja osamaksutavat – ei välittömiä muutoksia 

PSD2:n vaatimukset eivät koske lasku- ja osamaksutapaa, koska kyseessä ei ole säädöksen tarkoittama sähköinen etämaksu. Näissäkin maksutavoissa asiakas halutaan kuitenkin pääsääntöisesti vahvasti tunnistaa, koska lasku- ja osamaksupalveluissa muodostuu palvelun ja asiakkaan välille velkasuhde. Silti lasku- ja osamaksutapa säilynee kuitenkin verkkokauppiaan ja kuluttajan osalta käytännössä muuttumattomana. Kauppiaana sinun kannattaa kuitenkin tutustua kuluttajasuojalain muutokseen, joka muuttaa lasku- ja osamaksutoimittajien ehtoja, ja mahdollisesti myös käyttäjäpolkuja.

 

Vahvan tunnistamisen muutokset voivat herättää kysymyksiä kauppiaille: varaudu kuluttajien kysymyksiin

PSD2 määrittää myös tarkasti, miten vahva tunnistaminen on jatkossa toteutettava. Suomessa yleisesti käytössä olevat pankkien avainlukulistat eivät jatkossa täytä lain vaatimusta, ja pankit ovatkin viime aikoina päivittäneet tunnistamisratkaisujaan mm. mobiiliavaimilla ja tekstiviesteihin perustuvilla lisävahvistuksilla 

Tunnistamismenetelmien muutoksesta saattaa aiheutua verkkokauppiaille kysymyksiä, kun asiakkaat ihmettelevät tuttujen maksamiseen liittyvien tunnistamispolkujen muutoksia sekä erilaista tapaa ilmoittaa veloitettava rahamäärä ja maksun saaja.

Asiakkaan vahva tunnistaminen ja maksun vahvistaminen tapahtuu aina maksuvälineen tarjoajan, kuten pankin, toimesta. Kauppiailta nämä tunnistamispalvelun tai maksun vahvistamisen muutokset eivät edellytä mitään toimia tai muutoksia omissa järjestelmissään, mutta niistä on hyvä olla tietoinen asiakkaiden kysymysten vuoksi.

Jos mieleesi tuli yllä olevan artikkelin perusteella kysymyksiä, autamme mielellämme.

Lisätietoja antavat:

Liiketoimintapäällikkö Eero Eloranta
eero.eloranta@op.fi, 040  556 5026  

Asiakaspalvelumme yhteystiedot löydät täältä.