Iskikö PSD2 yllätyksenä? Nyt ei voi muuta kuin minimoida vahingot.

Moni verkkokauppa ei ole vielä varautunut kunnolla PSD2:n tuloon. Kun parin viikon päästä maksaminen vaikeutuu, tämä saa asiakkaat kaikkoamaan. 

Kokosimme yhteen perustiedot PSD2:sta sekä pari vinkkiä, miten kauppias voi vielä valmistautua direktiivin voimaantuloon.

Avataan ensiksi sanastoa

PSD2 – The Second Payment Services Directive eli toinen maksupalveludirektiivi, joka muun muassa vaatii pankkeja avaamaan rajapintojaan kolmansille osapuolille sekä tiukentaa maksajan tunnistautumiseen liittyviä turvavaatimuksia.

3DS – 3D Secure eli kortilla maksettaessa käytettävä täydentävä turvaelementti, joka ei näy kuluttajalle. Tekninen protokolla, joka mahdollistaa maksamisen vahvan tunnistautumisen.

Open banking –  Pankkien teknisten rajapintojen avaaminen ulkopuolisille palveluntarjoajille. Jatkossa voit halutessasi hyödyntää kolmansien osapuolien tarjoamia tilitietopalveluita eli AISP:eja ja maksutoimeksiantopalveluita eli PISP:ejä.

Vahva tunnistautuminen – Tunnistautumisketjussa täytyy olla elemetti, jonka perusteella palveluntarjoaja voi tietää varmuudella, kuka käyttäjä on.

Suomen digikauppiaat ovat yhä laajalti pihalla PSD2-maksupalveludirektiivistä. Vaikka muutos kohdistuu tiukasti säädeltyyn rahoitusalaan, moni kuvittelee direktiivin olevan kuin tietosuoja-asetus GDPR tai jätevesilain uudistus: paljon melua, mutta mikään ei muutu.

Kun kyse on juuri rahasta ja rahoitusalasta, lainsäädäntöä seurataan Suomessa kirjaimellisesti. Parin viikon päästä, 14. syyskuuta, asiat muuttuvat. Kukaan tiedä vielä tarkalleen, mitä tulee tapahtumaan, sillä direktiivin tulkinta on ollut Suomessa sekavaa.

Qvik järjestää toimistollaan kauppiaille suunnatun PSD2-tapahtuman tiistaina 10. syyskuuta klo 17:30. Paneelissa Kai Lindström Swedbankista, Sami Karhunen OP:sta, Liisa Kanniainen Nordealta, Noona Puusniekka Mobilepayltä sekä Mikko Vahter Netsiltä keskustelevat, mitä on vielä tehtävissä ennen direktiivin voimaantuloa ja miten toimia sen jälkeen.

Tämän verran voimme sanoa nyt.

Vastuu siirtyy pankeille: vahva tunnistautuminen muuttuu

Maksajan vahva tunnistaminen muuttuu. Ennen PSD2-aikaa maksutapahtuman käsittelyyn osallistuvat tahot ovat voineet vapaasti sopia keskenään, kuka kantaa riskin ja kuka ottaa vastuun. 

Syyskuun 14. lähtien riskin ja vastuun kantaja on yksiselitteisesti maksuvälineen liikkeellelaskija eli pankki tai maksulaitos. Kauppias ei voi enää ottaa vastuuta maksutapahtumiin liittyvissä ongelmatilanteissa eikä vaatia pankkia hyväksymään kaikkia heiltä tulevia maksupyyntöjä.

Ala avautuu uusille toimijoille

Sääntely vaatii pankkeja avaamaan tiettyjä palvelurajapintoja kolmansille osapuolille, eli muillekin kuin tilin haltijalle ja pankille. Ajatus taustalla on avata finanssialaa uusille toimijoille ja tarjota kuluttajille monipuolisempia pankki- ja rahoitusalan palveluita.

Kokonaisuudessaan tämä on sekä kauppiaan että kuluttajan näkökulmasta positiivinen asia. Tästä on lyhykäisyydessään kyse, kun puhutaan PSD2:n tuomasta open bankingistä ja tähän liittyvistä PISP ja AISP luvan haltijoista.

Poikkeussääntöjä voi tulla

Digikaupassa vahvan tunnistamisen vaatimus koskee kaikkia yli 30 euron suuruisia digitaalisia maksuja sekä sellaisia maksuja, jotka toistuvat säännöllisesti samansuuruisina. Pieniä, toistuvia maksuja vaatimus koskee, kun niiden yhteenlaskettu summa on yli 100 euroa tai toistojen määrä on enemmän kuin viisi. Vaatimus koskee siis lähes kaikkea digimaksamista.

Sääntely itsessään pitää sisällään myös joukon erilaisia vapautuksia tunnistamiseen, mutta on edelleen epäselvää, mitkä näistä tulevat käyttöön 14.9. Tähän vaikuttaa maksutapahtuman käsittelyyn osallistuvien toimijoiden tekninen kypsyys, kuten mikä versio 3DS-tietoturvaprotokollasta on käytettävissä. Myös maksuvälineen liikkellelaskijan halukkuus ottaa riskiä vaikuttaa, sillä jokaiseen vapautukseen sisältyy oma riskinsä.

Kuluttajakokemus muuttuu aluksi huonommaksi

Asiakkaan kuluttajakokemus siirtyy maksutapahtumien vastaanottajan eli tilittäjän, prosessoija ja ennen kaikkea maksuvälineen liikkeellelaskijan haltuun. Tulemme todennäköisesti vielä palaamaan ainakin osittain vanhaan toimijoiden väliseen sopimiseen, mutta kukaan ei vielä tiedä, mikä tulee toimimaan ja mikä ei.

Miten kauppias voi valmistautua tähän? Jotain on vielä tehtävissä.

Maksutapahtumien käsittelijän vaihtaminen tai vahvan tunnistamisen SDK:n toteuttaminen osaksi omaa mobiilisovellusta on tällä aikataululla liian myöhäistä. Kuluttajan käyttökokemusta ei saada hetkessä parannettua, mutta pienillä muutoksilla verkkokauppa voi saattaa huomattavasti useamman ostoksen maaliin saakka.

Digikauppijen on olennaista on parantaa kuluttajalle suunnattua viestintää maksutilanteessa ja kertoa, miksi tunnistautuminen on tehtävä ja mitä hyötyä siitä on kuluttajalle. Tunnistautuminen on käännettävä kuluttajalle positiiviseksi asiaksi.

Maksajaa voidaan myös ohjata helpommin käytettävien maksutapojen ja -välineiden suuntaan. Toiset ovat PSD2:n kanssa pidemmällä kuin toiset ja toisia sääntely ei edes koske. Esimerkiksi laskulla maksaminen onnistuu yhä monissa tilanteissa ilman toistuvaa vahvaa tunnistautumista.

Me voimme auttaa

Olemme Qvikillä seuranneet PSD2:n kehittymistä ja ymmärrämme muutoksessa sekä pankkien että kauppiaan puolen. Voimme auttaa tekemään viime hetken oikeat valinnat sekä toteuttamaan oikeat ratkaisut myös 14.9. jälkeen.