Forlængelse af implementeringsperioden for regler om stærk kundeautentifikation

Den 14. september 2019 træder en række nye regler for onlinebetalinger i kraft i medfør af det reviderede betalingstjenestedirektiv (PSD2). Reglerne indebærer et krav om to-faktor-godkendelse (stærk kundeautentifikation) ved online betalinger. Finanstilsynet har valgt at forlænge implementeringsperioden for disse regler med yderligere 18 måneder, hvilket indebærer, at mens reglerne træder i kraft den 14. september 2019, skal den stærke kundeautentifikation først være implementeret senest den 14. marts 2021.

1. Baggrund

EBA (Den Europæiske Banktilsynsmyndighed) anerkendte i en udtalelse den 21. juni 2019, at særligt e-handelsforretninger ville opleve vanskeligheder med at opfylde de nye krav om stærk kundeautentifikation. På den baggrund angav EBA, at den kompetente nationale myndighed havde mulighed for at forlænge den periode, hvori implementeringen af de nye regler skulle ske. Finanstilsynet har på baggrund af EBA’s udtalelse valgt at forlænge implementeringsperioden med yderligere 18 måneder.

Forlængelsen sker som følge af Finanstilsynets vurdering af, at reglerne ikke vil kunne implementeres allerede fra den 14. september 2019. Hvis implementeringsperioden ikke forlænges, vil det formentlig have vidtrækkende konsekvenser for den danske e-handel, idet der anslås at være et betydeligt antal e-handelssites samt betalingsgateways, som ikke har formået at implementere to-faktor-godkendelsen.

2. Implementeringen

Under implementeringsperioden vil Finanstilsynet i fællesskab med alle kortindløsere samt kortudstedere i Danmark fastsætte milepæle for, hvorledes overholdelsen af reglerne om to-faktor-identifikation sikres fra senest den 14. marts 2021. Finanstilsynet vil løbende føre tilsyn med, at disse milepæle overholdes, og at implementeringen sker så hurtigt som muligt.

En implementeringsplan vil endeligt og bindende blive fastsat på et møde med relevante aktører indkaldt af Finanstilsynet.

3. Afsluttende bemærkninger

Mens implementeringsperioden således er blevet forlænget til den 14. marts 2021, bemærkes det, at selve ikrafttrædelsestidspunktet for reglerne fortsat er den 14. september 2019. Konsekvensen heraf er blandt andet, at hæftelses- og ansvarsreglerne i betalingsloven finder anvendelse fra den 14. september 2019. Ifølge disse regler vil udbyderen af en betalingstjeneste hæfte for ethvert tab i forbindelse med et eventuelt misbrug, såfremt udbyderen ikke har krævet stærk kundeautentifikation ved betalingens foretagelse. Udbyderne har derfor fortsat en interesse i at implementere to-faktor-godkendelsen snarest muligt.