Bekendtgørelse af lov om betalinger § 127

Med forslaget til § 127 bestemmes det, at en udbyder skal sikre, at der anvendes stærk kundeautentifikation når en bruger tilgår sin betalingskonto online, iværksætter en elektronisk betalingstransaktion, eller udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug, samt at i tilfælde, hvor en betaling iværksættes via en enhed til fjernkommunikation, anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager. Endelig fastsættes det, at en udbyder af betalingsinitieringstjenester eller kontooplysningstjenester kan anvende den autentifikationsløsning, som den kontoførende udbyder stiller til rådighed for dennes brugere.

Bestemmelsen er ny og gennemfører 2. betalingstjenestedirektiv artikel 97.

Det foreslås i stk. 1, at udbydere af betalingstjenester skal anvende stærk kundeautentifikation, når en bruger tilgår sin betalingskonto online, iværksætter en elektronisk betalingstransaktion, eller udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug, i medfør af forordninger og regler udstedt af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv.

Med bestemmelsen fastsættes det, at alle udbydere skal sikre, at der anvendes stærk kundeautentifikation – også kaldet to-faktor autentifikation – når en bruger foretager en handling gennem en elektronisk kanal, der kan indebære en risiko for misbrug. Ved de fleste former for elektroniske betalinger, herunder kortbetaling i fysisk handel og i fjernsalg, eksempelvis på internettet eller via mobiltelefonen, underskrivelse af elektroniske mandater til gennemførelse af direkte debiteringer, adgang til netbank eller andre elektroniske kanaler, kan der kan aflæses følsomme betalingsdata. Ved gennemførelse af en betalingstransaktion påhviler det således både betalers og betalingsmodtagers udbyder at sikre, at transaktionen iværksættes ved brug af stærk kundeautentifikation.

Procedurerne vedrørende stærk kundeautentifikation kan i visse tilfælde forekomme besværlige for brugerne, og derfor fastsætter Kommissionen en række undtagelser, hvor kravet om stærk kundeautentifikation kan fraviges, jf. artikel 98, stk. 4, i 2. betalingstjenestedirektiv. Kommissionen vil således definere en række tilfælde, hvor risikoen for misbrug vurderes at være lav eller der er andre hensyn, der gør, at kravet om stærk kundeautentifikation kan fraviges. Ved udarbejdelse af undtagelserne fra kravet skal risikoniveauet for den tjeneste, der udbydes tages i betragtning, herunder transaktionens beløb, tilbagevendende karakter og den betalingskanal, der anvendes til at gennemføre transaktionen. Der henvises i øvrigt til bemærkningerne til lovforslagets § 128.

Ved stærk kundeautentifikation forstås i overensstemmelse med lovforslagets § 7, stk. 30, en autentifikation, som er baseret på anvendelsen af to eller flere elementer, der er kategoriseret som viden som kun brugeren ved, besiddelse som kun brugeren har og iboende egenskab som kun brugeren er. Ved et element, der er kategoriseret, som noget kun brugeren ved, kan eksempelvis nævnes en PIN-kode eller et kodeord. Ved et element, som kun brugeren besidder, kan eksempelvis nævnes en enhed eller applikation, der genererer engangskodeord eller chippen på et betalingskort. Ved et element, som kun brugeren er, kan eksempelvis nævnes brugerens fingeraftryk eller anden biometrisk data, der er særegent for brugeren. Eksempler på stærk kundeautentifikation er eksempelvis anvendelse af NemID til at gennemføre en kontooverførsel fra netbank, online kortbetalinger ved brug af sms-kode eller anvendelse af chip og PIN-kode til betaling i fysisk handel.

Disse elementer skal være uafhængige, således at brud på et element ikke svækker pålideligheden af de andre elementer, og er designet på en sådan måde, at fortroligheden af autentifikationsdata beskyttes.

Sikkerheden vedrørende elektroniske betalinger er fundamental for at sikre tilliden til disse og beskyttelsen af forbrugerne i detailhandel og særligt i forbindelse med e-handel, via eksempelvis internettet eller mobiltelefonen. Formålet med bestemmelsen er således at højne sikkerhedsniveauet for elektroniske betalinger generelt, i overensstemmelse med præambelbetragtning nr. 95 til 2. betalingstjenestedirektiv.

Ved at fastsætte krav om anvendelse af stærk kundeautentifikation hæves barren for sikkerheden for elektroniske betalinger, særligt på e-handelsområdet, betragteligt. Uden stærk kundeautentifikation vil det eksempelvis være muligt at gennemføre en kortbetaling på internettet ved anvendelse af oplysninger, der fremgår af kortet alene, mens der med stærk kundeautentifikation vil være påkrævet anvendelse af et ekstra element, hvilket eksempelvis kunne være brugerens sms-godkendelse af en betaling. Med implementeringen af stærk kundeautentifikation vil det derved være sværere at misbruge et stjålent betalingskort eller stjålne kortoplysninger.

EBA skal i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv udarbejde reguleringsmæssige tekniske standarder om krav til indretningen af løsninger med stærk kundeautentifikation. Kommissionen er i samme artikel bemyndiget til at udmønte disse krav i en delegeret retsakt, som vil have direkte retsvirkning i alle medlemslandene. Bestemmelsen om anvendelse af stærk kundeautentifikation i stk. 1, skal således efterleves i overensstemmelse med de krav, der fastsættes af Kommissionen. Det skal i den henseende bemærkes, at i henhold til 2. betalingstjenestedirektiv artikel 115 vil den delegerede retsakt først træde i kraft 18 måneder efter, at den vedtages af Kommissionen. Kravene, der medfølger heraf, vil således træde i kraft på et senere tidspunkt end det øvrige lovforslag.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 127, stk. 1, straffes med bøde.

Overtrædelse af forslagets § 127, stk. 1 vil omfatte den situation, hvor udbydere af betalingstjenester undlader at anvende stærk kundeautentifikation, når en bruger tilgår sin betalingskonto online, iværksætter en elektronisk betalingstransaktion, eller udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug, jf. dog de regler, der udstedes, jf. dog de regler, der udstedes af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at anvende stærk identifikation i strid med forslagets § 127, stk. 1.

Det foreslås i stk. 2, at ved iværksættelse af elektroniske betalinger, jf. stk. 1, nr. 2, via en enhed til fjernkommunikation skal udbyderen sikre, at der anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager.

Betalinger via enheder til fjernkommunikation indebærer en særlig risiko for betalingsmisbrug, da betaler og betalingsmodtager ikke begge er fysisk tilstedes ved betalingen. Ifølge tal fra ECB udgør misbrug med betalingskort via sådanne kanaler op mod to tredjedele af svindlen med betalingskort i EU. Med bestemmelsen fastsættes der derfor et yderligere sikkerhedskrav, end hvad der er foreslået i stk. 1, i forbindelse med sådanne betalinger.

Det foreslås således, at hvor en elektronisk betaling iværksættes via en enhed til fjernkommunikation, skal der anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager. Med enhed til fjernekommunikation forstås i overensstemmelse med lovforslaget § 7, nr. 36, en enhed, som uden samtidig fysisk tilstedeværelse af udbyderen og brugeren kan anvendes til indgåelse af en betalingstjenesteaftale. Dette omfatter eksempelvis en mobiltelefon eller computer. Det bemærkes, at ved forståelse af begrebet skal det indgå om enhedens fjernkommunikationsegenskab faktisk anvendes. En enhed, som eksempelvis en mobiltelefon, kan således have både en fjernkommunikationsegenskab, eksempelvis dens internetbrowser eller telefontjeneste, og en nærkommunikationsegenskab, eksempelvis en NFC-chip til kontaktløse kortbetalinger. I det tilfælde vil betalinger via enheden kun være omfattet af kravet i stk. 2, hvis fjernkommunikationsegenskaben anvendes.

Med forslaget foreslås der ikke en specifik metode, hvormed denne dynamiske forbindelse skal foretages, men alene at det skal være klart for betalerne, hvilket beløb der betales og hvem betalingsmodtageren er, samt at den autentifikationskode, der anvendes ved autentifikationen af betalingen ikke kan anvendes til at autentificere en betaling af et andet beløb eller til en anden betalingsmodtager. Kommissionen fastsætter en forordning i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv, der beskriver kravene til hvordan stærke autentifikationsløsninger, herunder de dynamiske elementer, skal udformes. Bestemmelsen om anvendelse af stærk kundeautentifikation, som indeholder elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager i stk. 2, skal således efterleves i overensstemmelse med denne forordning.

I henhold til artikel 115, i 2. betalingstjenestedirektiv vil forordningen træde i kraft 18 måneder efter vedtagelsen af de reguleringsmæssige tekniske standarder, som EBA, jf. 2. betalingstjenestedirektiv artikel 98, stk. 4, skal udarbejde til Kommissionen. Kravene, der følger heraf, vil således træde i kraft på et senere tidspunkt end lovforslaget generelt.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 127, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 127, stk. 2, vil omfatte den situation, hvor en udbyder, ved iværksættelse af elektroniske betalinger, jf. stk. 1, nr. 2, via en enhed til fjernkommunikation, undlader at sikre, at der anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at sikre, at der anvendes stærk identifikation i strid med forslagets § 127, stk. 2.

Det foreslås i stk. 3, at ved iværksættelse af betalingstransaktioner via en betalingsinitieringstjeneste, jf. bilag 1, nr. 7, finder stk. 2 også anvendelse.

Med bestemmelsen fastsættes det, at kravet om anvendelse af stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager, samt forpligtelsen til en hver tid at beskytte fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger også finder anvendelse ved iværksættelse af betalinger via en betalingsinitieringstjeneste.

Betalingsinitieringstjenester fungerer ved, at udbyderen iværksætter en betaling på vegne af betaleren, hos dennes kontoførende udbyder, typisk et pengeinstitut. Dette kan gøres ved at anvende de personaliserede sikkerhedsforanstaltninger, som den kontoførende udbyder har udstedt til betaleren. Betalingsinitieringstjenesten træder således ind som tredjepart mellem betaleren og den kontoførende udbyder. For at sikre, at betaleren såvel som dennes kontoførende udbyder kan sikre sig, at autentifikationen af betalingen ikke bliver kompromitteret under transmissionen via betalingsinitieringstjenesten, er det nødvendigt at stille tilstrækkelige sikkerhedskrav hertil. Dette indebærer, at der skal anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager. På den måde kan betaler være sikker på, at den autentifikation, som vedkommende foretager, alene kan anvendes til den transaktion, som betaler ønsker at foretage.

For denne type betalingstjeneste er det også særligt relevant at stille krav om beskyttelse af fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger.

Da betalingsinitieringstjenesten typisk foranlediger sig på personaliserede sikkerhedsforanstaltninger, der er udstedt af brugerens kontoførende udbyder, er det særligt vigtigt, at udbydere af betalingsinitieringstjenester træffer de nødvendige foranstaltninger for at sikre fortroligheden og integriteten af dem. Dette gøres eksempelvis ved at sikre, at elementerne i de personaliserede sikkerhedsforanstaltninger ikke er tilgængelige for andre and betalerne selv.

Med forslaget fastsættes der ikke en specifik metode, hvormed denne dynamiske forbindelse skal foretages. Kommissionen fastsætter i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv krav til stærk kundeautentifikation, jf. § 127, stk. 2, og om de krav, som sikkerhedsforanstaltningerne skal opfylde i overensstemmelse med § 125, stk. 1, nr. 3, for at beskytte fortroligheden og integriteten af brugeres personaliserede sikkerhedsforanstaltninger. Forordningen vil have direkte retsvirkning her i landet. Bestemmelsen i stk. 3, skal således efterleves i overensstemmelse med den forordning.

I henhold til artikel 115, i 2. betalingstjenestedirektiv vil forordningen træde i kraft 18 måneder efter vedtagelsen af de reguleringsmæssige tekniske standarder, som EBA, jf. 2. betalingstjenestedirektiv artikel 98, stk. 4, skal udarbejde til Kommissionen. Kravene, der medfølger, vil således træde i kraft på et senere tidspunkt end lovforslaget generelt.

Det foreslås i stk. 4, at når en udbyder af kontooplysningstjenester anmoder om data til brug for udbuddet af kontooplysningstjenester omfattet af bilag 1, nr. 8, finder stk. 1 også anvendelse.

Med bestemmelsen fastsættes det, at kravet om anvendelse af stærk kundeautentifikation, når kunden tilgår sin betalingskonto online, samt forpligtelsen til at beskytte fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger til enhver tid også finder anvendelse ved udbuddet af kontooplysningstjenester.

Kontooplysningstjenester fungerer ved, at udbyderen på vegne af brugeren, tilgår oplysninger på dennes betalingskonti hos brugerens kontoførende udbyder, typisk et pengeinstitut. Dette gøres på baggrund af de personaliserede sikkerhedsforanstaltninger, som den kontoførende udbyder har udstedt til brugeren. For at sikre, at uvedkommende ikke får adgang til oplysninger om brugeren på dennes konti, er det vigtigt at sikre, at der også anvendes stærk kundeautentifikation, når en betalingskonti tilgås via en betalingsinitieringstjeneste. Det er ligeledes særligt relevant at stille krav om beskyttelse af fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger. Da kontooplysningstjenesten typisk foranlediger sig på personaliserede sikkerhedsforanstaltninger, der er udstedt af brugerens kontoførende udbyder, er det særligt vigtigt at udbyderen af kontooplysningstjenester træffer de nødvendige foranstaltninger for at sikre fortroligheden og integriteten af de personaliserede sikkerhedsforanstaltninger, herunder ved at sikre at elementerne i de personaliserede sikkerhedsforanstaltninger ikke er tilgængelige for andre and brugeren selv.

Med forslaget fastsættes der ikke en specifik metode hvormed den stærke autentifikations skal foretages. Kommissionen fastsætter i medfør af artikel 98, stk. 4, i 2. betalingstjenestedirektiv krav til stærk kundeautentifikation, jf. § 127, stk. 1, og om krav, som sikkerhedsforanstaltninger skal opfylde, i overensstemmelse med § 125, stk. 1, nr. 3, for at beskytte fortroligheden og integriteten af brugerens personaliserede sikkerhedsforanstaltninger. Forordningen vil have direkte retsvirkning her i landet. Bestemmelsen i stk. 4, skal således efterleves i overensstemmelse med den forordning.

I henhold til artikel 115, i 2. betalingstjenestedirektiv vil forordningen træde i kraft 18 måneder efter vedtagelsen af de reguleringsmæssige tekniske standarder, som EBA, jf. 2. betalingstjenestedirektiv artikel 98, stk. 4, skal udarbejde til Kommissionen. Kravene, der medfølger, vil således træde i kraft på et senere tidspunkt end lovforslaget i øvrigt.

Det foreslås i stk. 5, at den kontoførende udbyder skal give udbydere af betalingsinitieringstjenester og kontooplysningstjenester tilladelse til at anvende de autentifikationsprocedurer, som den kontoførende udbyder stiller til rådighed for dennes brugere, jf. stk. 1 og 2.

De personaliserede sikkerhedsforanstaltninger, der anvendes til stærk kundeautentifikation af brugeren eller af udbyderen af betalingsinitieringstjenesten eller kontooplysningstjenesten, er sædvanligvis dem, som den kontoførende udbyder udsteder. Som udgangspunkt kan der ikke stilles krav om, at udbyderen af betalingsinitieringstjenesten eller kontooplysningstjenesten indgår i et kontraktforhold med kontoførende udbydere. Uanset hvilken forretningsmodel, der anvendes af udbyderen af betalingsinitieringstjenesten eller kontooplysningstjenesten, bør den kontoførende udbyder gøre det muligt for dennes brugere at benytte sig af betalingsinitieringstjenester og kontooplysningstjenester, ved at designe autentifikationsprocedurerne på en måde, der gør det muligt for udbyderen af betalingsinitieringstjenester eller kontooplysningstjenester at anvende de personaliserede sikkerhedsforanstaltninger, som den kontoførende udbyder stiller til rådighed, til at initiere en bestemt betaling på vegne af betaleren eller tilgå dennes betalingskonti.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 127, stk. 5, straffes med bøde.

Overtrædelse af forslagets § 127, stk. 5, vil omfatte den situation, hvor den kontoførende udbyder undlader at give udbydere af betalingsinitieringstjenester og kontooplysningstjenester tilladelse til at anvende de autentifikationsprocedurer, som den kontoførende udbyder stiller til rådighed for dennes brugere, jf. stk. 1 og 2. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at give tilladelse til at anvende autentifikationsprocedurer i strid med forslagets § 127, stk. 5.