Finans Debatt

Tyckte du GDPR var krångligt? Nu kommer SCA!

Publicerad

”De nya EU-reglerna kring Strong Customer Authentication (SCA) träder i kraft den 14 september. Och SCA är knappast mindre komplext än GDPR.” Det skriver Erik Olofsson, Nordenchef för Stripe.

Med SCA krävs ett extra lager av autentisering för online-betalningar. När tidigare ett kortnummer och en adress var tillräckligt måste kunderna nu använda minst två av följande tre faktorer: något de vet (som ett lösenord eller en pinkod), något de äger (som en smartphone) och något de är (som fingeravtryck eller ansiktsform). Detta gäller även för så enkla transaktioner som att beställa en taxi eller betala för en streamingtjänst.

Syftet med SCA är att skydda konsumenterna från online-bedrägerier. Den europeiska internethandeln väntas växa till drygt 884 miljarder euro år 2022. Därmed ökar även antalet bedrägeriförsök. Europeiska centralbanken uppskattar att kortbedrägerier i Europa nu årligen uppgår till cirka 1,8 miljarder euro. 

Men SCA kan bli dyrt för onlineföretagen. Utan noggrann förberedelse kommer betalningskrångel att påverka försäljningen negativt, då färre kunder kommer slutföra sina beställningar. När liknande lagstiftning genomfördes i Indien 2014 tappade många handlare 25 procent av sina affärer från en dag till en annan. I Europa skulle ett sådant bakslag innebära förluster för handeln på 150 miljarder euro.

Annons

I dag känner endast var fjärde handlare till denna förändring, så vi kan förvänta oss en rush in i sista stund att anpassa sig till SCA, ungefär som det var inför GDPR.

Och SCA är knappast mindre komplext än GDPR. Den övergripande EU-förordningen tolkas olika av olika nationella tillsynsmyndigheter, betalkortsnätverk och banker. Alla har sina egna regler och policys. Det kommer också en hel del undantag som innebär att SCA inte är obligatoriskt för vissa typer av transaktioner. För de flesta företag är detta förvirrande, men det finns några övergripande principer att tillämpa när man gör sig redo för SCA.

Det finns flera alternativ för företagen att låta sina kunder autentisera sig på ett SCA-kompatibelt sätt, från biometrisk säkerhet i mobila plånböcker till 3D Secure 2. Somliga betalningsmetoder kommer att vara bättre lämpade för vissa affärsmodeller och vad kunderna föredrar kommer att variera beroende på geografi och relation till verksamheten. Därmed måste internetföretag bygga in logik i sin checkout-lösning där den mest relevanta SCA-kompatibla betalningsmetoden dyker upp dynamiskt beroende på sammanhanget.

Annons

SCA behövs inte vid varje transaktion online. Återkommande betalningar och inköp för mindre än 30 euro är exempelvis undantagna, så gör en bedömning av i vilka situationer du slipper kräva autentisering av dina kunder. Dessutom kan kunder meddela sin bank vilka företag de litar på så de inte behöver autentisera sig vid framtida inköp, vilket är särskilt viktigt för företag som har återkommande kunder. Olyckligtvis är det dock alltid kundens bank som i slutändan måste godkänna undantag, alltså om en transaktion behöver autentiseras eller inte. För att hantera undantag på egen hand skulle därför företag som verkar på flera europeiska marknader behöva arbeta med varje lokal bank för att ta reda på vad de kräver för att medge undantag – och det finns över 6 000 banker i Europa. Företagen måste välja om de ska bli SCA-experter själva eller hitta en strategisk partner som hjälper dem klara de komplexa utmaningar som följer med SCA.

Man skulle kunna hävda att reglerna för SCA borde anpassats bättre till de komplexa affärsmodeller som nu blir allt vanligare (som on-demand-tjänster) liksom till dagens metoder att analysera bedrägeririsker, baserade på maskininlärning. Men oavsett vad vi tycker kommer SCA att införas och konsekvenserna blir allvarliga för de företag som inte förbereder sig. Det gör det än viktigare för handlare att snarast börja arbeta på att hantera detta kommande gnissel i maskineriet och hur det påverkar försäljningen.

Hårdare regler, sömlös checkout och klok hantering av SCA-undantagen ger tillsammans en stor konkurrensfördel för de internetföretag som sköter detta rätt. På sätt och vis kan det till och med gynna techdrivna företag som lever och dör för att optimera användarupplevelsen (i motsats till konventionella företag som fortfarande håller på att ta sig ur offline-världen). Detta gäller i synnerhet handeln i mobilen där SCA kan bidra till ökad användning av biometrisk säkerhet i plånböcker som Apple Pay och Google Pay. Dessutom kan SCA här i Europa sporra en våg av innovationer av verktyg för biometrisk säkerhet och ny teknik för betalningar i mobilen, i takt med att entreprenörer upptäcker att marknaden behöver säkrare och mer användarvänliga autentiseringsmetoder.

Annons

Detta är inte första gången Europa är först med att skapa nya standarder för betalningar som förenar säkerhet och bekvämlighet. Tänk bara på när EMV-standarden infördes för över ett decennium sedan och att chips och pinkoder nu används överallt, medan man i USA fortfarande försöker komma ifatt. Historien kan komma att upprepa sig med SCA. Hur som helst, dit Europa går, kommer också världen och hur den hanterar betalningar med all sannolikhet att följa. Australien och andra marknader förväntas införa liknande lagstiftning alldeles snart.

Det är viktigt att internetekonomin blir säkrare om den ska fortsätta växa långsiktigt. När konsumenternas förtroende ökar handlar de också mer online. Samtidigt som SCA utgör en betydande utmaning för europeisk e-handel på kort sikt, kommer det att bli en viktig milstolpe på vägen mot ökad elektronisk handel i Europa, förverkliga den digitala inre marknaden och höja internets BNP.

Erik Olofsson
Nordenchef Stripe

 

Annons