PSD2: vastauksia usein kysyttyihin kysymyksiin

Täältä löydät vastauksia yleisimpiin kysymyksiin koskien EU:n PSD2-direktiiviä ja sen teknisiä standardeja RTS ja SCA.

Kysymykset ja vastaukset

Jos haluat enemmän tietoa siitä, mikä PSD2 on ja miten se vaikuttaa sinuun, voit lukea artikkelimme PSD2 ja kaikki mitä sinun tarvitsee tietää siitä.

  • Miten PSD2 vaikuttaa minuun, kun vastaanotan korttimaksuja?

    Jos otat vastaan korttimaksuja, PSD2 vaikuttaa sinuun monella tavalla muun muassa siksi, että asiakkaiden on todistettava henkilöllisyytensä vahvalla asiakastunnistuksella (SCA) maksaessaan.

    Vahva asiakastunnistus (SCA)

    Vahva asiakastunnistus tarkoittaa sitä, että asiakkaiden on korttimaksun yhteydessä todistettava henkilöllisyytensä vähintään kahdella tavalla seuraavista:

    • jotain, mitä vain käyttäjä tietää, kuten salasana
    • jotain, mitä vain käyttäjällä on, kuten kortti tai älypuhelin
    • jokin käyttäjän yksilöivä ominaisuus, kuten sormenjälki.

    Jos vastaanotat maksut maksupäätteellä, asiakkaiden on todistettava henkilöllisyytensä esimerkiksi PIN-koodilla tai biometrisellä menetelmällä, kuten sormenjäljellä.

    Maksaminen magneettijuovalla, korttitietojen näppäileminen käsin ja ostaminen allekirjoituksella eivät enää ole mahdollisia asiakkaille, joiden kortinmyöntäjä on EU- tai ETA-alueella. Maksupäätteesi on siis tuettava maksamista sirulla ja PIN-koodilla sekä lähimaksamista.

    Jos sinulla on verkkokauppa, tämä tarkoittaa sitä, että asiakkaiden on korttimaksun yhteydessä todistettava henkilöllisyytensä 3DSecuren mukaisesti.

    Ostaminen allekirjoituksella

    Ostaminen allekirjoituksella eli se, että asiakas käyttää korttiaan ja hyväksyy ostoksensa allekirjoituksellaan, ei ole PSD2-direktiivin myötä sallittua korteilla, jotka on myönnetty EU- tai ETA-alueella. Osa kortinmyöntäjistä EU- tai ETA-alueella ei ole vielä poistanut allekirjoitusvaihtoehtoa käytöstä, mutta niiden on tehtävä se vaatimusten täyttämiseksi. Näissä tapauksissa asiakkaan on annettava PIN-koodi ostoksen suorittamiseksi, tai hänet ohjataan kääntymään kortinmyöntäjän puoleen.

    PIN-koodi pienten summien yhteydessä

    Kun maksupäätteellä otetaan vastaan korttimaksu, jonka summa on enintään 400 kruunua, asiakkaan ei tavallisesti tarvitse antaa PIN-koodiaan. PSD2:n myötä PIN-koodi tarvitaan kuitenkin joskus turvallisuussyistä myös pienien summien yhteydessä. Asiakkaan kortinmyöntäjä päättää, milloin PIN-koodi on annettava. Sitä voidaan kysyä silloin, kun asiakkaan ostokset ovat saavuttaneet tietyn kokonaissumman tai kun asiakas on tehnyt tietyn määrän ostoksia, vaikka summat olisivat olleet pieniä.

    Korttimaksu, jonka loppusumma on tuntematon

    PSD2 asettaa tiukemmat vaatimuksia toimialoille, joilla ei tiedetä, kuinka suuri asiakkaalle maksettavaksi tuleva loppusumma tarkalleen on. Tällaisia aloja ovat esimerkiksi autonvuokraus, hotellit, pysäköinti ja polttoaine. Näissä tapauksissa asiakkaalle on ilmoitettava selkeästi summa, joka varataan kortilta, ja asiakkaan on hyväksyttävä summa ennen maksun suorittamista.

    Jos toimit tällaisella alalla, on tärkeää ilmoittaa varattava summa asiakkaalle aina korttimaksun yhteydessä.

    Lisäveloitus

    Lain mukaan kortinhaltijan lisäveloitus (ylimääräinen maksu) on tällä hetkellä kielletty korttimaksun yhteydessä, ja tämä kielto jää voimaan Ruotsissa.  Tanskan ja Suomen osalta lakia muutetaan niin, että kielto koskee vain yksityiskortteja, jotka ovat EU-alueella toimivan kortinmyöntäjän myöntämiä. Kielto koskee sekä fyysistä ympäristöä, verkkokauppaa, automaatteja että puhelintilauksia. Norjassa lisäveloitus ei ole kiellettyä, eikä siellä tapahdu muutoksia.

  • Mikä on RTS?

    RTS on uusi tekninen standardi (Regulatory Technical Standard), jonka avulla toteutetaan EU:n/ETAn toisen maksupalveludirektiivin (PSD2) tavoite, esimerkiksi SCA. Tekninen standardi on pakollinen, ja se otetaan käyttöön lainsäädännöllä EU-maissa.

  • Mitä RTS pitää sisällään vahvaa asiakkaan tunnistamista koskevien vaatimusten osalta?

    • Korttimaksu maksupäätteellä
    • Korttimaksut verkkosivun ja/tai sovelluksen kautta
    • Yksinkertaistettu korttimaksu (osto tallennettuja korttitietoja hyödyntäen)
    • Kaikki korttiostot, joissa kortinmyöntäjä on EU- tai ETA-alueella
  • Mitä RTS ei pidä sisällään vahvaa asiakkaan tunnistamista koskevien vaatimusten osalta?

    • Korttiostot, jotka tehdään ilman kortinhaltijan läsnäoloa, kuten tilausmaksut (niin kutsutut recurring-maksut)
    • Puhelintilaukset (ilman maksulinkkiä)
    • Nimettömät ennalta maksetut kortit (niin kutsutut prepaid-kortit, lahjakortit)
    • Korttiostot, joissa kortinmyöntäjä on EU- tai ETA-alueen ulkopuolella
  • Onko SCA-vaatimuksista poikkeuksia?

    Kyllä. Jotta ostokokemus olisi kortinhaltijalle sujuva ja myönteinen, kortinmyöntäjät (ja joskus korttimaksujen lunastajat) voivat hyödyntää tiettyjä määriteltyjä poikkeuksia vahvasta asiakastunnistamisesta.

    Nämä poikkeukset ovat seuraavat:

    • Enintään 30 euron korttiostot kortinmyöntäjän määrittämien lukumäärä- ja summarajoitusten mukaisesti.
    • Korttiostot, joiden arvo on 30–500 euroa, kun kortinmyöntäjä ja tarvittaessa korttimaksujen lunastaja ovat tehneet riskinarvioinnin.
    • Myymälän toimesta tehtävät korttiostot, jotka tehdään ilman kortinhaltijan läsnäoloa, kuten tilausmaksut (niin kutsutut recurring-maksut).

    Kaikista poikkeuksista huolimatta viimeinen sana on aina kortinmyöntäjällä, joka voi aina halutessaan pyytää ja suorittaa vahvan asiakastunnistamisen (niin kutsuttu step-up). Kortinmyöntäjän toimintatapaa ei tiedetä ennen korttiostoksen tekemistä.

  • Mikä on EMV 3DS?

    Kortinmyöntäjät (kuten Mastercard, Visa ja AMEX) ovat sopineet 3DSecuren teknisen standardin uudesta versiosta, jonka ansiosta kortinhaltijoiden on entistä turvallisempaa ja helpompaa todistaa henkilöllisyytensä. Uusi versio on nimeltään EMV 3DS, ja se sisältää muun muassa seuraavaa:

    • Vaatimus siitä, että kortinmyöntäjälle on välitettävä enemmän tietoa asiakkaasta ja korttimaksusta paremman riskiarvioinnin tekemiseksi. Tällaisia tietoja ovat esimerkkejä osoite, asiakkaan sähköpostiosoite ja puhelinnumero.
    • Kortinmyöntäjän on voitava tarjota kortinhaltijoille uusia tapoja todistaa henkilöllisyytensä, kuten biometrisiä menetelmiä (sormenjälki ja vastaava).
    • Mobiililaitteiden käyttöliittymien mukauttaminen.

    3DSecuren uuden version on oltava valmiina ja aktivoituna verkkokaupassa viimeistään 1.7.2020.

  • Mitä minun on verkkokaupan pitäjänä tehtävä EMV 3DS:n takia?

    • Asenna ja aktivoi 3DSecure (EMV 3DS).
    • Ota yhteyttä maksuvaihteeseesi ja pyydä ohjeita siihen, mitä muutoksia sinun on tehtävä maksuvaihteeseen lähteviin hakuihin – onko sinun esimerkiksi annettava enemmän tietoja korttimaksusta.
    • Ota yhteyttä maksuvaihteeseesi ja keskustele käytettävissä olevista valvontajärjestelmistä, joilla havaitset mahdolliset vilpilliset korttitapahtumat.
  • Käytössäni on korttimaksujen lunastus maksupäätteen kautta. Miten lakimuutos vaikuttaa minuun?

    Jos vastaanotat maksut maksupäätteellä, asiakkaiden on tunnistauduttava esimerkiksi PIN-koodilla tai biometrisellä menetelmällä, kuten peukalonjäljellä. Maksaminen magneettijuovalla, korttitietojen näppäileminen käsin ja allekirjoitus tai siru ja allekirjoitus eivät enää ole mahdollisia asiakkaille, joiden kortinmyöntäjä on EU- tai ETA-alueella. Maksupäätteesi on siis voitava vastaanottaa maksu sirua ja PIN-koodia käyttäen.

    Korttiasiakkaasi saattavat joutua antamaan esimerkiksi PIN-koodin myös pienten summien yhteydessä, tai heidät ohjataan tekemään korttimaksu sirun ja PIN-koodin avulla. Tähän on syynä se, että kortinmyöntäjä vaatii ajoittain, että kortinhaltija todistaa henkilöllisyytensä varmalla tavalla myös pienten summien yhteydessä.

  • Miksi asiakkaideni on annettava PIN-koodi pienen summan ja lähimaksun yhteydessä?

    Asiakkaasi kortinmyöntäjä päättää, milloin PIN-koodi on annettava. PIN-koodi kysytään turvallisuussyistä sen jälkeen, kun asiakas on saavuttanut tietyn kokonaissumman tai ostokertojen määrän, vaikka summat olisivat alle raja-arvon.

  • Miksi minun on hankittava tekninen ratkaisu, jossa on siru ja PIN-koodi?

    Uudessa lainsäädännössä edellytetään, että kortinhaltija hyväksyy oston PIN-koodilla tai muulla hyväksytyllä todennusmenetelmällä.

  • Miksi en voi käyttää magneettijuovaa ja allekirjoitusta EU- tai ETA-alueella myönnettyjen korttien kohdalla?

    Laissa edellytetään, että kortinhaltija hyväksyy oston vahvalla asiakastunnistamisella. Allekirjoituksen ei katsota olevan hyväksytty tunnistusmenetelmä. Lainsäädäntö ei vaikuta asiakkaisiin, joiden kortti on myönnetty EU- tai ETA-alueen ulkopuolella, minkä takia allekirjoitustoiminnon on edelleen oltava olemassa.

  • Minulla on tapana näppäillä kortinnumero käsin, voinko jatkaa samalla tavalla?

    Kortinmyöntäjät saattavat kieltää käsin näppäillyt korttiostot kortinhaltijoilta, joiden kortit on myönnetty EU- tai ETA-alueella.

  • Onko PIN-koodin lisäksi olemassa muita hyväksyttyjä todennusmenetelmiä?

    Kyllä, uuden lainsäädännön mukaan hyväksytään myös biometriset menetelmät, kuten sormenjälki, kasvojen skannaus ja silmän tunnistus.

  • Miten tämä vaikuttaa iPhone- tai Samsung-puhelimella tehtäviin ostoksiin Apple Pay- tai Samsung Pay -palvelua käyttävien asiakkaideni osalta?

    Se ei ole vielä täysin selvää, mutta todennäköisesti se toimii aivan kuten ennenkin. Toisin sanoen asiakkaasi on ostoksen yhteydessä tunnistauduttava PIN-koodilla tai muulla hyväksytyllä todennusmenetelmällä, kuten peukalonjäljellä, kasvojen skannauksella tai silmän tunnistuksella.

  • Miten tämä vaikutta Apple Watchilla, Garminilla tai Fitbitillä tehtäviin ostoksiin Apple Pay- ja Samsung Pay -palvelua käyttävien asiakkaideni osalta?

    Se ei ole vielä täysin selvää, mutta todennäköisesti se ei toimi kuten ennen. Oston yhteydessä tarvitaan hyväksytty todennusmenetelmä, mikä saattaisi tarkoittaa sitä, että asiakkaan (kellon omistajan) on näppäiltävä PIN-koodi maksupäätteeseen.

  • Otan maksut vastaan maksupäätteellä. Mitä minun on tehtävä nyt?

    Maksupäätteesi on voitava vastaanottaa maksuja sekä sirulla ja PIN-koodilla että lähimaksuna.