Under helgen som precis passerat så ska e-handeln ha mött apokalypsen, om man får tro vissa domedagspredikare. Den 14 september, i lördags, ska nämligen det som kallas stark kundverifering (SCA) ha trätt i kraft i Sverige. Det är en del av det större betalningsdirektivet PSD2 som ska öppna upp betalmarknaden inom EU, därigenom öka innovationerna, och samtidigt stärka kundernas säkerhet vid betalning online.
Det senare är det som många bävat inför och något som innebär att kunderna kommer att behöva bekräfta sin identitet mycket mer frekvent än tidigare. Något som ofta minskar konverteringen i nätbutiken, vilket många e-handlare är väl medvetna om. Men hur illa är det egentligen?
Vi vände oss till ett antal stora svenska betalleverantörer för att höra hur det har gått sedan i lördags, och hur de ser på SCA i stort. De som talar ut är bland annat Klarna, Adyen, Svea Ekonomi (Payson) och Mastercard. Snabbväxaren Swish fick även möjlighet att säga sitt, även om deras betallösning är lite annorlunda än de andras.
Betalbolaget Adyen, som jobbar mycket med kortbetalningar, har länge predikat om PSD2 och de nya reglerna som är på intåg, vilket enligt dem själva innebär att man i god tid varit beredd på förändringen som nu sker.
Vi har förberett oss på detta länge och var först i världen med att utföra en betalning med 3D Secure 2, det smidigare alternativet för att möta SCA-kraven. Vi har även arbetat med våra kunder för att se till att de ska vara klara i tid och kunna hantera alla scenarion inför den 14:e. Uber och Zalando är exempel på kunder som införde 3D Secure 2 flera veckor innan den 14 september, säger Tobias Lindh, chef för Adyen i Norden och Baltikum.
LÄS ÄVEN: Verifiering i två steg när Zalando gör betalningen säkrare
Enligt Adyen så har deras e-handlare tre alternativ för att möta bankernas SCA-krav. Det första är att använda klassisk 3D Secure, vilket vi dock vet kan vara en konverteringsdödare. Det andra är att använda 3D Secure 2, som är en nyare och smartare verifieringslösning, och det tredje är helt enkelt att be om ett undantag.
LÄS ÄVEN: Premiär för nytt 3D Secure – räcker med fingeravtryck
På tal om undantag så visste vi redan tidigare att Danmark har fått uppskov att införa SCA-kraven till och med den 14 mars 2021. I dialog med betalleverantörerna står det dock klart att Danmark är långt ifrån ensamma.
Det är inte bara Danmark som har fått uppskov utan många andra länder i Europa. Det är upp till varje lands finansinspektion inom EU att avgöra när alla parter i betalningskedjan är redo för SCA, säger Peter Olbing, Head of Business Development för Mastercard i Norden och Baltikum.
“Ett ytterst begränsat antal banker”
Enligt Adyen så har dock stark kundverifiering inte riktigt slagit igenom i Sverige ännu.
Vi ser minimal påverkan från helgen då ett ytterst begränsat antal kortutgivande banker har hunnit införa kraven, säger Tobias Lindh.
Thomas Svensson, e-handelsexpert på Svea Ekonomi, berättar att de självklart följer kraven sedan den 14 september men instämmer med Adyen gällande påverkan hittills.
Vi har inte sett någon förändring av det vanliga flödet hittills, men följer givetvis noggrant för att se om kundernas köpbeslut eller sätt att betala påverkas, säger Thomas Svensson.
“Kan leda till att fakturabetalningar ökar”
Hur kommer e-handeln att påverkas av detta framöver?
Svårt att säga i dagsläget men vi följer utvecklingen noggrant. Det kan leda till att kortbetalningar minskar och fakturabetalningar ökar. I början vid en förändring kan det uppstå ett motstånd men allt eftersom vänjer sig troligen konsumenterna, säger Thomas Svensson.
De som påverkas mest av detta är bankerna. Det är de som är skyldiga att uppfylla SCA-kravet, inte handlarna. Detta innebär att banken behöver be om SCA där det krävs och att handlaren behöver svara med 3DS 1 eller 2, eller be om ett undantag. Vi ser att detta kommer att driva på digitaliseringen på bankens sida så småningom, säger Tobias Lindh.
Klarnas kärnverksamhet är som vi vet fakturan och att betala efter genomfört köp. De har dock andra betalmetoder som påverkas av de nya reglerna. Joakim Lundberg, Sverigechef på Klarna, svarar på våra frågor.
Vad har ni tagit för åtgärder för att anpassa er till SCA?
Våra egna betalsätt för att betala efter leverans genom faktura eller delbetalning faller inte inom definitionen av betalningstjänster under PSD2, eftersom betalningen inte initieras förrän fakturan betalas. Själva köpögonblicket berörs därför inte av SCA, eftersom kravet om extra autentisering uppfylls vid betalningen, som äger rum vid ett senare tillfälle. För de här betalsätten tillämpar vi våra egna säkerhetsmetoder. Däremot berörs våra tjänster för direktbetalning, och vi följer då de bestämmelser som gäller för SCA, där det är kortutställaren eller banken där kunden har sitt konto som ansvarar för SCA-metoden, säger Joakim Lundberg, och tillägger:
Våra betalningslösningar för banköverföring och kortbetalning har sedan tidigare stöd för extra autentisering, vilket innebär att vi - och därmed också de handlare som använder Klarna - har varit väl förberedda inför de skärpta autentiseringskraven.
Den svenska betaltjänsten Swish har i och med betalmetodens utformning lyckats slippa potentiellt krångel som SCA kan innebära. Eftersom kunden verifierar sin identitet vid varje transaktion.
Swish har sedan start, december 2012, varit redo för stark kundverifiering tack vare Mobilt BankID. I och med att vi redan uppfyller kraven har vi inte vidtagit några åtgärder. Däremot ser vi regelbundet över vår tjänst och prioriterar att erbjuda en säker köpupplevelse för både kunden och företagaren, säger Sofia Norén, Communication & Growth Manager på Swish.
“I bästa fall kommer kunden inte ens märka av SCA”
För de betalmetoder som är direkt utsatta verkar det främst handla om att man är redo med rätt typ av verifieringslösning när banken kräver en extra verifiering av kunden.
Vad är worst case och best case hos er när en kund påträffar SCA i betalflödet?
Det bästa är om kunden kan identifiera sig utan problem och utan att uppleva det som krångligt. De som drabbas mest är de handlare som inte har haft 3D Secure alternativt använt Dynamisk 3D Secure som inte är tillåtet längre, säger Thomas Svensson från Svea Ekonomi.
E-handlare som inte är beredda med 3DS kommer riskera att fler köp inte godkänns av banken. Detta påverkar konvertering, försäljning och skapar mer friktion för slutkunden, säger Tobias Lindh, och tillägger:
E-handlare som är beredda med till exempel 3DS 2 kommer att kunna möta direktivet och ge kunden en smidig användarupplevelse. Flera av undantagen är knutna till konsumenten. Ett bra exempel på detta är ‘whitelisting’ där kunden kan märka en handlare som “säker” vilket betyder att de inte kommer behöva gå igenom 3D Secure när de handlar därifrån. I bästa fall kommer kunden inte ens märka av SCA överhuvudtaget.
Appar är i farozonen?
Vi frågade även vilka typer av e-handelstjänster som kan drabbas hårdast av de nya reglerna.
Prenumerationstjänster och abonnemangstjänster kan komma att känna av direktivet mest. Även om rullande debiteringar inte omfattas av SCA så kommer kravet att gälla för nya registreringar. Eftersom dessa tjänster ofta är app-baserade så kan ett dåligt 3DS1-flöde påverka konverteringen, säger Tobias Lindh.
E-handlare som hanterar många order med låga ordervärden (under 300 kronor) ska även slippa SCA, för det mesta. Om den totala summan som dras från kortet under en dag överstiger en vissa summa (1000 kronor) så kan dock SCA slå till oavsett ett lågt ordervärde, och banken kommer då kräva extra verifiering.
Hur ser ni på SCA i stort?
Mastercard har alltid fullt fokus på kundernas säkerhet och trygghet. Vårt övergripande är mål att konsumenten ska vara trygg och att det ska vara enkelt att betala. Därför tycker vi att det positivt med åtgärder som skyddar konsumenter, vilket SCA gör, säger Peter Olbing från Mastercard.
Det är bra för att begränsa bedrägerierna. Förändringen ger bättre skydd åt både handlare och konsumenter. Våra e-handlare och deras kunder kan känna sig trygga med Sveas betallösningar, säger Thomas Svensson från Svea Ekonomi.
“God säkerhet utan onödig friktion”
Klarna håller delvis med men är tydliga med att fokus alltid bör vara på säkerhet i kombination med en smidig köpupplevelse.
Det finns exempel på när förändringar kring autentiseringskrav för kort och betalningar skapat friktion som konsumenter inte accepterat, och som därmed missgynnat handlare och samtidigt inte medfört några förbättringar gällande säkerheten. Sådant är dåligt för alla parter, och kundupplevelsen tar stryk utan att det medför en egentlig uppsida, säger Joakim Lundberg, Sverigechef på Klarna, och tillägger:
Teknologin utvecklas hela tiden, och allas huvudmålsättning måste vara att uppehålla en god säkerhet utan onödig friktion. Det kommer bli intressant att följa om och i så fall hur förändringarna av regelverket driver innovation inom vår sektor, där betydelsen av en kund- och shoppingupplevelsen för både konsumenter och handlare blir allt viktigare, och allt bättre förstådd.
Inget av de betalbolag vi kontaktat rapporterar någon märkbar påverkan på transaktionerna sedan den 14 september. Det verkar dock, som tidigare nämnts, att bankerna inte riktigt hunnit med till deadlinen och att en eventuell effekt av stark kundverifiering kommer att visa sig gradvis under den närmaste tiden. Vilket kanske är bra för de e-handlare som eventuellt kan ha något problem i sitt betalflöde och därmed kan fånga upp det innan det gör för stor skada.
Samtidigt är Sverige väl rustat för kundverifiering i och med tjänster som Mobilt BankID, som förstås inte bara Swish kan använda för att verifiera kunderna, utan även kort- och fakturabolagen. En teknisk mognad som förmodligen ligger till grund för att Sverige inte väntat till 2021, som många andra länder.