Toinen maksupalveludirektiivi (PSD2) vaatii monissa tilanteissa ns. vahvaa tunnistamista. Sääntely tuli alun perin voimaan 14.9.2019, mutta sille myönnettiin siirtymäaikaa vuoden 2021 alkuun, sillä kaikki toimijat eivät olleet vielä valmiita toteuttamaan sääntelyä kokonaan. Vahvan tunnistamisen vaatimus koskee siis 1.1.2021 alkaen kaikkea sähköisesti tapahtuvaa maksamista.
Minkä takia kortilla ostaminen verkossa vaatii vahvistamisen pankkitunnuksilla? Miksi maksukortissa olevat tiedot eivät enää riitä?
PSD2:n mukaan kortille painetut turvallisuustiedot eivät sellaisenaan täytä verkkomaksamisessa asiakkaan vahvan tunnistamisen kriteerejä, sillä ne ovat kopioitavissa. Tarvitaan siis asiakkaan vahva tunnistaminen. Suomessa kortinhaltijan vahva tunnistaminen tapahtuu lähtökohtaisesti pankin myöntämien pankkitunnusten avulla.
Miksi tällainen muutos on tehty, jos se kuluttajan mielestä tekee maksamisesta hankalampaa?
Lainsäätäjän tarkoituksena on ollut lisätä verkkomaksamisen turvallisuutta ja vähentää väärinkäytöksiä. Muutoksella myös varmistetaan, että niin uudet palveluntarjoajat kuin pankitkin noudattavat tiukkoja turvatoimia ja tietoturvakäytäntöjä.
Miksi osa verkko-ostoista ei kuitenkaan vaadi vahvaa tunnistamista?
Vahvan tunnistamisen vaatimukseen liittyy tiettyjä poikkeuksia. Jos kortinhaltija on tehnyt maksunsaajan kanssa sopimuksen, jonka mukaan saaja voi oma-aloitteisesti veloittaa korttia tietyillä ehdoilla, kyseessä on niin sanottu saaja-aloitteinen maksu, joka ei vaadi vahvaa tunnistamista. Tällaisia ovat esim. kuukausittain veloitettavat palvelut kuten Spotify tai Netflix, tai vaikkapa hotellin perimä maksu peruuttamatta jääneestä huonevarauksesta.
Saaja-aloitteisten maksujen lisäksi lainsäädäntö antaa mahdollisuuden poikkeuksiin vahvasta tunnistamisesta myös maksajan aloittamissa maksuissa, esimerkiksi pienten maksujen kohdalla tietyissä rajoissa. Poikkeusten käyttämisestä vastaa kortin liikkeellelaskija, eli tyypillisessä tapauksessa kortin myöntänyt pankki, joka oman riskiarvionsa perusteella päättää, mitä poikkeuksia se ottaa käyttöön. Poikkeusten rakentaminen on siis pankeille vapaaehtoista, eivätkä kaikki poikkeukset tule välttämättä kaikilla käyttöön yhtä aikaa tai ollenkaan.
Vahvan tunnistamisen vaatimus ei koske myöskään laskulla maksamista, kun kyse on tiettyyn tarkoitukseen menevistä verkko-ostoksista (esim. lipuista ja pysäköintimaksuista) tiettyjen euromääräisten rajojen sisällä. Nämä maksut voidaan tehdä matkapuhelinlaskulla veloitettaviksi ilman vahvaa tunnistamista.
Minulta vaadittiin vahva tunnistaminen, vaikka maksun summa oli alle 30 euroa, miksi näin?
Niin sanottu pienten maksujen (maksimissaan 30 euroa) poikkeus mahdollistaa maksamisen ilman vahvaa tunnistamista. Tällaisia maksuja voi kuitenkin olla korkeintaan 5 kertaa tai 100 euron edestä peräkkäin, minkä jälkeen on tehtävä vahva tunnistaminen. Vahva tunnistaminen voidaan aina vaatia esim. riskiperusteisen arvion perusteella myös sellaisilta maksuilta, jotka periaatteessa kuuluisivat poikkeusten piiriin.
Jos käyttämäni verkkokauppa ei vaadi vahvaa tunnistamista, onko se lähtökohtaisesti epäluotettava?
Tieto vahvan tunnistamisen vaatimuksesta ei ole saavuttanut kaikkia verkkokauppiaita ajoissa, ja tunnistamisen tekniikan käyttöönottaminen voi viedä kauppiaalta jonkin aikaa. Verkkokaupan luotettavuus koostuu monista eri tekijöistä, ja vahva tunnistaminen on yksi osoitus siitä, että kyseinen verkkokauppa on selvillä alaa koskevasta sääntelystä. Lisätietoa nettiostamisen turvallisuudesta saat esim. keskusrikospoliisin ohjeesta.
Kuten aiemmassa vastauksessa on todettu, ei vahvaa tunnistamista myöskään tarvita kaikkien ostosten kohdalla.
Voiko asiakkaan vastuu kasvaa uusien sääntöjen myötä?
PSD2 paransi kuluttaja-asiakkaan asemaa mm. alentamalla kuluttajan omavastuuta oikeudettomista maksutapahtumista (eli esim. erilaisissa huijauksissa), 50 euroon, mikäli kuluttaja ei ole menetellyt törkeän huolimattomasti. Tietyissä tapauksissa omavastuuta ei ole lainkaan, esim. mikäli vahva tunnistaminen on laiminlyöty, vaikka laki olisi sitä edellyttänyt.
Kuluttajan vastuulle kuuluu edelleen, niin kuin aiemminkin, pitää hyvää huolta maksuvälineistään, kuten maksukortistaan ja pankkitunnuksistaan.
Voinko vahvistaa verkko-ostokseni myös painetulla tunnuslukulistalla?
Painetut tunnuslukulistat eivät sellaisenaan täytä PSD2:n mukaisia vahvan tunnistamisen välineille asetettuja vaatimuksia, joten niiden tilalle ollaan tuomassa uusia välineitä. Pankkien edellytetään kuitenkin jatkavan painettujen listojen käyttämistä, kunnes uudet ratkaisut ovat riittävän laajasti käytössä.
Tunnuslukulistojen käytön jatkaminen edellyttää, että asiakkaan vahvaan tunnistamiseen maksamisen tai maksutilin käytön yhteydessä lisätään elementtejä, joiden johdosta sääntelyn edellyttämä kaksiosainen tunnistaminen toteutuu vaatimusten mukaisesti.
Lue Finanssivalvonnan kannanotto kokonaisuudessaan.
En pysty maksamaan kortillani verkkokaupassa. Mitä teen?
Varmista ensin, että korttisi on käytettävissä, eli esim. korttitilin saldo riittää ja kortin käyttörajoitukset mahdollistavat sen käyttämisen verkossa. Jos nämä ovat kunnossa, ole yhteydessä kortin myöntäjään, esimerkiksi omaan pankkiisi. Voit tarkistaa myös, olisiko verkkokaupassa käytettävissä muita sinulle sopivia maksutapoja.
Mistä voin etukäteen selvittää, vaaditaanko tunnistautumista verkkokaupassa tai mobiilisovelluksessa?
Oletus on, että korttimaksaminen jatkuu pääosin normaalisti. Kaikki maksamisen osapuolet tekevät parhaansa maksamisen sujuvuuden varmistamiseksi. Valitettavasti mitään listauksia siitä, missä tunnistautumista vaaditaan, ei ole saatavissa. Tilanne elää.
Jäikö kysyttävää?
|Aiheen asiantuntijat