Vahvan tunnistamisen vaatimukset maksupalveluissa voimaan 14.9.2019

14.08.2019

Startup-yrittäjä, muistitko sopimukset? - Lexia

Marraskuussa 2015 annettu toinen maksupalveludirektiivi (PSD2) toi mukanaan uusia vaatimuksia maksajan vahvasta tunnistamisesta sähköisten maksutapahtumien yhteydessä. Direktiivi on pantu Suomessa täytäntöön maksupalvelulain muutoksella, joka tuli voimaan tammikuussa 2018. Siirtymäaika vahvaa tunnistamista koskevien vaatimusten noudattamiselle päättyy 14.9.2019, 18 kuukautta Euroopan Pankkiviranomaisen (EBA) antamien tunnistamisvaatimuksia täsmentävien teknisten standardien julkaisemisen jälkeen. Kuulostaa siltä, että aikaa valmistautumiselle on ollut reilusti, ainakin teoriassa. Mutta miltä todellisuus näyttää?

Arviot valmiudesta markkinoilla vaihtelevat, mutta esimerkiksi Mastercardin vuoden 2018 lopussa tekemän selvityksen mukaan jopa 75% eurooppalaisista verkkokaupoista ei ollut lainkaan tietoisia uusista vaatimuksista. Eivätkä kauppiaat ole yksin epätietoisuutensa kanssa. Esimerkiksi poikkeusten käsittely ja painetut tunnuslukulistat ovat askarruttaneet myös asiaan vihkiytyneitä ja suuria markkinatoimijoita, kuten pankkeja.

Siirtymäaikaan joustoa – Tai sitten ei

Viranomaisetkaan eivät pääse helpolla. Euroopan pankkiviranomainen EBA (European Banking Authority) julkaisi 21. kesäkuuta – vain vajaa kolme kuukautta ennen vaatimusten voimaantuloa – kannanoton tunnistamisvaatimusten soveltamisesta ja nosti siinä esiin muun muassa 3D Secure 2 -tunnistusratkaisun puutteita. Lisäksi EBA totesi kannanotossaan, että kansalliset viranomaiset voivat antaa maksuvälineiden liikkeeseenlaskijoille ja maksujen tilittäjille lisäaikaa vaatimukset täyttävien ratkaisujen käyttöönotolle. Useat kansalliset valvojat (kuten UK, Ranska, Italia, Alankomaat ja Irlanti) ovatkin ilmoittaneet ottavansa ohjeistuksen huomioon ja työstävänsä siirtymäajan suunnitelmia. Kannanottoa on aiheellisesti kritisoitu, koska kirjavien siirtymäaikojen noudattaminen eri maissa asettaa toimijat eriarvoiseen asemaan ja heikentää sisämarkkinoiden toimintaa.  

Pankkien tunnuslukulistat Fivan luupin alla

Finanssivalvonta julkaisi EBA:n vanavedessä oman kannanottonsa tunnuslukulistoista osana asiakkaan vahvaa tunnistamista. Finanssivalvonnan mukaan Suomessa pankeilla nykyisin käytössä olevat painetut tunnuslukulistat ovat helposti kopioitavissa, minkä vuoksi nykyinen käytäntö ei täytä PSD2:n vahvan tunnistamisen vaatimuksia. Finanssivalvonta kuitenkin toteaa, että tunnuslukulistojen käyttöä maksamisen tai maksutilin käytön yhteydessä on mahdollista jatkaa, jos asiakkaan tunnistamiseen lisätään elementtejä, jotka toteuttavat kaksiosaisen tunnistamisen vaatimukset. Lisäksi Finanssivalvonta edellyttää kannanotossaan, että asiakkaiden on voitava käyttää nykyisiä tunnuslukulistoja maksamisessa ja maksutilien käytössä, kunnes pankki on riittävällä tavalla varmistanut uusien menetelmien käytettävyyden, saavutettavuuden ja toimintavarmuuden.

Merkitseekö Finanssivalvonnan vaatimus sitä, että pankki ei voi edellyttää vaatimukset täyttävää vahvaa tunnistamista ennen kuin sen kaikilla asiakasryhmillä on käytössä uudet vaatimukset täyttävä tunnistamisratkaisu? Onko vastuu oikeudettomista maksutapahtumista myös tässä tapauksessa pankilla? Onko poikkeuksiin turvautuminen verkkokauppiaalle paras tapa turvata asiakaskokemus ja konversioprosentti, vai löytyykö ratkaisu uusista tunnistusteknologioista? Lexian tiimi seuraa markkinoiden ja vaatimusten kehitystä tiiviisti läheisessä yhteistyössä maksamisen ekosysteemin eri osa-alueita edustavien asiakkaidemme ja viranomaisten kanssa.


Teksti: Anna Huuskonen


Back to Top