PSD2 ja maksukortilla maksaminen verkkokaupoissa 14.9.2019 lukien

PSD2:lla tarkoitetaan EU:n toista maksupalveludirektiiviä, jonka tavoitteena on laajentaa maksupalvelujen sääntelyä. PSD2:n mukanaan tuomia muutoksia on implementoitu osaksi Suomen kansallista lainsäädäntöä maksupalvelulakiin (898/2017) sekä maksulaitoslakiin (890/2017).

Osa PSD2:n muutoksista koskee asiakkaan vahvaa tunnistamista, ja nuo muutokset astuvat Suomessa voimaan 14.9.2019. Kyseisillä muutoksilla on merkittäviä vaikutuksia maksukortilla (eli kansankielellä pankkikortilla) maksamiseen verkkokaupoissa, kuten varmasti moni onkin median uutisoinnista huomannut. Koska PSD2 ja maksukortilla maksaminen ovat olleet mediassa hyvin vahvasti esillä, käsittelemme tässä artikkelissa tarkemmin kyseisiä muutoksia.

Selvyyden vuoksi todetaan, että tämä artikkeli ei käsittele muita PSD2:n mukanaan tuomia uudistuksia kuin vahvaan tunnistamiseen liittyviä uudistuksia.

Mitä tarkoittaa asiakkaan vahva tunnistaminen?

Maksupalvelulain 8 §:ssä vahva tunnistaminen on määritetty maksupalvelun käyttäjän sähköiseksi tunnistamiseksi, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:

a) johonkin, mitä vain maksupalvelun käyttäjä tietää;

b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;

c) maksupalvelun käyttäjän yksilöivään ominaisuuteen.

Finanssiala on listannut erinomaiset esimerkit siitä, mitä yllä olevilla kohdilla a) – c) käytännössä tarkoitetaan:

a) esimerkiksi salasana

b) esimerkiksi matkapuhelin

c) esimerkiksi sormenjäljet ja muut biometriset tunnisteet

Käytännössä siis asiakkaan vahvassa tunnistamisessa käyttäjä on tunnistettava hyödyntämällä kahta yllä lausutuista vaihtoehdoista.

Miten vahva tunnistaminen ja PSD2 muuttavat maksukortilla maksamista?

Vielä tällä hetkellä voimassaolevan lainsäädännön aikana verkkokaupassa maksukortilla maksaminen on voitu toteuttaa pelkän maksukortin tietojen avulla.

PSD2:n muutosten myötä maksupalvelulakiin kirjattiin kuitenkin 85 b §, jonka mukaan 14.9.2019 lukien palveluntarjoajan on käytettävä asiakkaan vahvaa tunnistamista verkkomaksuissa, joilla tarkoitetaan esimerkiksi tilisiirron tekemistä verkkopankissa tai maksamista maksukortilla verkkokaupassa.

Käytännössä tämä tarkoittaa verkkokauppojen osalta siis sitä, että verkkokauppoja ylläpitävät palveluntarjoajat joutuvat 14.9.2019 lukien maksukortilla maksamisen yhteydessä tunnistamaan asiakkaansa vahvan tunnistamisen avulla. Tämä tietää osalle toimijoista valtavia muutoksia, sillä monessa verkkokaupassa maksukortilla maksaminen on toteutettu ilman vahvaa tunnistamista.

Huomattakoon kuitenkin, että asiakkaan vahvaan tunnistamiseen liittyy poikkeussääntöjä, joista yhden mukaan asiakasta ei tarvitse tunnistaa vahvalla tunnistamisella, mikäli asiakkaan toteuttama maksutapahtuma on kertaluonteinen ja enintään 30 euron suuruinen.

Kyseisten poikkeussääntöjen soveltaminen on kuitenkin käytännössä riippuvainen asiakkaan pankista, sillä maksukortin myöntäjänä pankki voi valita mahdollistaako se poikkeuksen soveltamisen vai ei.

Lopuksi

PSD2:n vahvaa tunnistamista koskevien muutosten tarkoitus on mm. lisätä maksamisen turvallisuutta. Samalla on kuitenkin tunnustettava, että käytännössä muutokset luovat ainakin aluksi sekä palveluntarjoajille että asiakkaille esteitä maksukortilla maksamiseen. Tämän ovat todenneet mm. HSL ja Wolt, joiden liiketoiminta nojaa vahvasti maksukortilla maksamiseen.

Kyse on siis tällä hetkellä tasapainottelusta turvallisuuden ja käytännöllisyyden kesken.

Nähdäksemme ei kuitenkaan kannata vajota synkkyyteen, sillä teknologian kehittyessä jatkuvasti myös vahvaa tunnistamista ja verkkomaksuja koskeva teknologia kehittyy siinä ohella. Teknologian kehitys varmistanee sen, että aluksi kömpelöltä tuntuva lakimuutos muuttunee jatkossa käytännölliseksi.

03.09.2019 MAX