FT redegørelser

Redegørelser fra Finanstilsynet

Finanstilsynet kommer løbende på inspektion i de danske banker og betalingsinstitutter.
Efter hvert besøg udarbejder de en vurdering. Vi er som betalingsinstitut forpligtet til at
offentliggøre vurderingen på vores hjemmeside senest tre hverdage efter, vi har modtaget den.

17. november 2021

Redegørelse om påbud til Forbrugsforeningen – anvendelse af stærk kundeautentifikation
Finanstilsynet har undersøgt Forbrugsforeningens efterlevelse af reglerne i lov om betalinger (betalingsloven) om krav til anvendelse af stærk kundeautentifikation ved kortbetalinger i e-handlen. Undersøgelsen skete, da Finans-tilsynet blev opmærksom på, at kortudstedere, der anvender SDC som datacentral, har anvendt undtagelsen for lavværdi-betalinger forkert.
Forbrugsforeningen har undtaget kortbetalinger på internettet fra anvendelsen af stærk kundeautentifikation, såfremt værdien af den enkelte betaling ikke oversteg 350 kr. og den samlede værdi af betalinger, siden der sidst blev anvendt stærk kundeautentifikation, ikke oversteg 800 kr. Det overstiger de tilladte grænser på 225 kr. for den enkelte betaling og 750 kr. for den samlede værdi af betalinger, siden der sidst blev anvendt stærk kundeautentifikation.

Finanstilsynet vurderer, at kortudstederne derfor ikke har overholdt kravet om anvendelse af stærk kundeautentifikation, når en bruger igangsætter en elek-tronisk betaling. Kravet følger af § 128, stk. 1, nr. 2, i lov betalinger.

Finanstilsynet har derfor påbudt kortudstederne at efterleve § 128, stk. 1, nr. 2, for alle elektroniske kortbetalinger iværksat af en betalingstjenestebruger (brugeren).
Forbrugsforeningen har meddelt, at Forbrugsforeningen pr. 20. august 2021 kun har undtaget transaktioner under 225 kr. fra anvendelsen af stærk kun-deautentifikation, og der kun kan foretages transaktioner for samlet 750 kr., inden der igen anvendes stærk kundeautentifikation.

Finanstilsynet anser på den baggrund påbuddet for opfyldt.

Baggrund
Det følger af § 128, stk.1, nr. 2, i betalingsloven, at betalingstjenesteudbydere, herunder kortudstedere, skal sikre anvendelsen af stærk kundeautentifikation, når en bruger iværksætter en elektronisk betalingstransaktion. Kommissionens delegerede forordning (EU) 2018/389 fastsætter dog en række undtagelser til kravet. Ifølge artikel 16 i den delegerede forordning kan betalingstjenesteudbydere undlade at anvende stærk kundeautentifikation for elektroniske fjernbetalinger (f.eks. kortbetalinger på internettet) såfremt:
1. at værdien af den enkelte betaling ikke overstiger 30 euro (ca. 225 kr.) for den enkelte betaling, og
2. enten at den samlede værdi af betalinger, siden der sidst blev anvendt stærk kundeautentifikation, ikke overstiger 100 euro (ca. 750 kr.), eller at der højst er gennemført fem betalinger med det anvendte betalingsinstrument, siden der sidst blev anvendt stærk kundeautentifikation.

Opfyldes én eller begge af disse to betingelser ikke, skal betalingstjenesteudbydere enten sikre anvendelsen af stærk kundeautentifikation eller sikre, at betingelserne for en anden undtagelse i kapitel III i den delegerede forordning er opfyldt.

Siden er sidst redigeret: 19-11-2021