PSD2:n vahvaa tunnistautumista koskeva vaatimus uhkaa pysäyttää korttimaksuja verkossa ja sovelluksissa – siirtymäaika on välttämätön, jotta yritysten maksujärjestelmiin pystytään tekemään vaadittavat muutokset.
EU:n toiseen maksupalveludirektiiviin (PSD2) perustuvat maksupalvelulain muutokset tulevat voimaan 14.9.2019. Direktiivi hyödyttää yrityksiä ja kuluttajia siinä mielessä, että se lisää maksupalveluntarjoajien välistä kilpailua. Toisaalta asiakkaan vahvaa tunnistautumista koskeva vaatimus aiheuttaa isoja haasteita yrityksille ja niiden käyttämille maksupalveluntarjoajille. Vahvaa tunnistautumista edellytetään esimerkiksi, kun maksukortilla tehdään ostoksia verkkoympäristössä tai asiakkaiden käytössä olevissa sovelluksissa. Vaadittavia muutoksia verkkosivustojen ja sovellusten maksuprosesseihin ja taustalla oleviin järjestelmiin ei ehditä tekemään ilman riittävän pitkää siirtymäaikaa. Jos siirtymäaikaa ei myönnetä, vaarana on, että iso osa verkossa ja sovelluksissa tapahtuvista maksuista pysähtyvät.
Koska vahva tunnistautuminen vaaditaan?
Maksupalvelulain 85 b §:n 1 momentin nojalla palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja
- käyttää maksutiliään tietoverkon välityksellä
- käynnistää sähköisen maksutapahtuman
- toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
PSD2:n nojalla asiakas on tunnistettava vahvasti esimerkiksi silloin, kun asiakas tekee ostoksia verkkokaupassa maksukortillaan (esimerkiksi varaa ja maksaa hotellihuoneen hotellin varaussivustolla luottokorttia käyttäen) tai ostaa palveluja sovelluksen avulla, johon on talletettu maksukortin tiedot (esimerkiksi tilaa ruoka-annoksen ravintolan sovelluksella ja maksaa sen sovellusasioinnin aikana kortillaan).
Mikä on vahvaa tunnistamista?
Asiakkaan vahvaa tunnistamista ja turvallista tiedonvaihtoa maksupalveluosapuolien välillä säätelevä tekninen standardi (RTS) hyväksyttiin tammikuussa 2018. Se tulee voimaan 14.9.2019. Sen mukaiset vahvan tunnistamisen elementit ovat
- jokin, minkä vain käyttäjä tietää (esim. salasana),
- jokin, mikä vain käyttäjällä on (esim. matkapuhelin)
- käyttäjän yksilöivä ominaisuus (nk. biometrinen tunniste, esim. sormenjälki)
Tunnistaminen on vahvaa silloin, kun käytössä on kaksi näistä kolmesta elementistä.
Euroopan pankkiviranomaisen (EBA) linjauksen mukaan vahvaa tunnistautumista koskeviin elementteihin ei kuulu esimerkiksi asiakkaan antamat maksukortin tiedot (maksukortin numero, voimassaoloaika ja CVC-numero). Maksajan käynnistämän korttimaksutapahtuman toteuttamisen tarvitaan näin ollen asiakkaan antamien maksukortin tietojen lisäksi vähintään kaksi yllä mainittua elementtiä. Koska korttimaksuja tehtäessä on totuttu siihen, että korttimaksut voidaan verkkoympäristössä ja sovelluksissa tehdä vaivattomasti pelkästään kortin tiedot antamalla, on muutos vaadittuihin prosesseihin ja järjestelmiin valtava. Nykyisellään harva palvelujen ja/tai tavaroiden ”kauppapaikka” EU:n alueella täyttää PDS2:n vahvan tunnistautumisen vaatimukset maksuja tehtäessä.
Huom! Vahvaa tunnistautumista koskeva vaatimus koskee vain maksajan käynnistämiä maksutapahtumia. Kun hotelli ottaa varaussivustolla huonetta varattaessa tiedot maksukortista varauksen vahvistamiseksi ja myöhemmin esimerkiksi no show -tilanteessa tekee veloituksen kortilta, on kyseessä maksunsaajan käynnistämä maksutapahtuma. Maksunsaajan käynnistämiä maksutapahtumia ei maksupalvelulaissa säädetty vahva tunnistautuminen koske.
MaRa: Siirtymäaika on välttämätön
On selvää, että 14.9.2019 tulee useimmille korttimaksuja vastaanottaville yrityksille ja maksupalveluntarjoajille liian aikaisin. MaRa pitää erittäin tärkeänä, että Euroopan pankkiviranomainen myöntäisi koko EU-aluetta koskevan siirtymäajan vahvaan tunnistautumiseen. Jos yhteistä EU-tasoista siirtymäaikaa ei saada aikaiseksi, Finanssivalvonnan tulisi myöntää Suomea koskeva siirtymäaika. Esimerkiksi Britannia on jo ilmoittanut siirtymäajan myöntämisestä siellä toimiville yrityksille ja maksupalveluntarjoajille.
Jos siirtymäaikaa ei myönnetä, vaarana on, että ostosten tekeminen suomalaisilla verkkokaupoissa ja sovelluksissa vaikeutuu tai pahimmassa tapauksessa estyy. Jos näin kävisi, se johtaisi merkittäviin taloudellisiin tappioihin, rapauttaisi vakavalla tavalla luottamusta korttimaksamisen sujuvuuteen ja helppouteen ja vahingoittaisi merkittävällä tavalla suomalaisia yrityksiä ja niiden mainetta.
Yrityksille ja niiden käyttämille maksupalveluntarjoajille on annettava aikaa kesäkuussa 2019 tarkentuneiden ohjeistuksien jälkeen saattaa maksujärjestelmät PSD2 direktiivin vaatimalle tasolle.