EU:s nya giv för att göra kortköp säkrare är bekant för många svenskar. Nu blir det inget mer inskrivande av koden på baksidan av kortet – istället ska till exempel BankID alltid användas när man handlar på nätet.

Om du handlar mycket på nätet – vilket allt fler svenskar gör idag – har du säkert slagit in ditt kortnummer, när kortet går ut och den tresiffriga koden på baksidan.

Nu är det slut med det. EU:s nya direktiv, som trädde i kraft den 14 september, kräver nämligen att all e-handel ska ske via BankID eller säkerhetsdosa. Syftet är att göra kortbetalningar säkrare och att förhindra bedrägerier.

– Målet med regleringen är att ge konsumenterna tillgång till säkrare och bättre betaltjänster. Genom regleringen sätts också regler som innebär en friare konkurrens för vissa finansiella tjänster, säger Fredrik Ljunggren, säkerhetsexpert på företaget Kirei som specialiserar sig på IT-säkerhet och integritetsskydd på nätet.

Porträtt av Eva Sartorius.
Eva Sartorius på Internetstiftelsen är expert på digitala identiteter.

Direktivet går ut på att e-handel, och även vanlig handel, ska kräva stark kundautentisering (SCA) – eller tvåfaktorsautentisering som det även kallas. Det innebär att när en kund genomför en transaktion över internet så krävs det en verifiering genom till exempel BankID eller en bankdosa.

– Det är viktigare att man inte blir lurade på pengar, än att man är tvungen att göra en extra knapptryckning, säger Eva Sartorius, expert på digitala identiteter på Internetstiftelsen.

FAKTARUTA: Vad betyder förkortningarna

PSD2 (Payment Service Directive 2): Namnet på EU:s nya övergripande betaltjänstdirektiv. 

SCA (Strong Customer Authentication): EU:s nya krav för att skapa säkrare onlinebetalning och färre bedrägerier genom att skapa ytterligare steg av säkerhet – exempelvis kod, lösenord, pin-kod, fingeravtryck eller ansiktsigenkänning.

3D Secure: En säkerhetsfunktion vid betalning med Visa eller Mastercard på nätet. Tidigare räckte det med ett lösenord men i och med SCA kommer det krävas ytterligare steg för att garantera säkerheten.

Nu tänker ni säkert: “Men det här gör jag redan”, och med stor sannolikhet så gör du det. Sverige ligger nämligen långt fram när det gäller stark kundautentisering. Direktivet är kanske främst för att övriga länder inom EU ska komma ifatt.

–  Flera länder har med Europeiska bankmyndighetens goda minne meddelat att de är försenade beträffande införandet av SCA. Sverige har den stora fördelen att BankID används av en mycket stor del av befolkningen. Det gör att det i slutändan kommer fungera. Andra länder har längre väg att gå, säger Fredrik Ljunggren.

Undantag för vissa köp

Fredrik Ljunggren, specialist på IT-säkerhet.

Det finns dock undantag där SCA inte är ett krav. Och många svenskar kommer känna igen sig i dem. Många av oss använder idag chip eller kontaktfri betalning när vi handlar med kort. Då behöver transaktioner under 200 kronor inte någon kod. Detsamma kommer att gälla under det nya direktivet - med skillnaden att summan kommer vara 300 kronor istället.

Utöver det kommer det att finnas undantag för så kallade vitlistade handlare – en lista över e-handlare som du som köpare litar på – samt lågriskköp. Vad som är ett lågriskköp avgörs av kontoutfärdaren och den inlösare som hanterar transaktionen – de tittar på den genomsnittliga nivån av bedrägerier.

Person som skriver in sina kortuppgifter i datorn.
Enligt de nya direktiven ska all e-handel ske via BankID eller säkerhetsdosa.

Ökade farhågor?

Med det nya direktivet blir det även möjligt för fler tredjepartsaktörer att kliva in på marknaden, vilket skulle betyda att till exempel Facebook skulle kunna söka om tillstånd att bedriva betaltjänster. Med tanke på Facebooks tidigare hantering av data i samband med Cambridge Analytica-skandalen, kan vissa känna en oro över att finansiell information ska hamna i felaktiga händer. Men det menar Fredrik Ljunggren inte är något att oroa sig över:

– För det första kommer inga uppgifter om dig och din ekonomi lämnas ut utan ditt samtycke. Om man är osäker på hur ens data hanteras finns det också en informationsplikt från leverantören av betaltjänsten, där information om tjänstens villkor och hur dina personuppgifter kommer att behandlas ska lämnas på ett tydligt och lättbegripligt sätt.

Vilka företag utöver bankerna som kommer kunna erbjuda betaltjänster med stark autentisering  återstår att se. Huvudsaken är att du som kund kommer bli garanterad mer säkra betalningsmetoder när det kommer till e-handel – även om det kan betyda ett extra musklick eller två. Men det kanske det är värt?