Seitatech - Mobiilimaksuratkaisut

Korttimaksamisesta älypuhelimella vuonna 2019 – In-app ja Card-on-file maksaminen sekä CIT- ja MIT-maksut PSD2:n aikakaudella

1. Maksaminen mobiilisovelluksen sisällä kasvussa

Nykyään useat mobiilikauppiaat, tarkoittaen tässä kauppiasta, joka tarjoaa palveluitaan ja tuotteitaan asiakkailleen mobiilisovelluksen välityksellä, veloittavat asiakkaitaan puhelinsovelluksessa syötettyjen asiakkaiden maksukorttitietojen (mm. Visa, Mastercard, American Express) perusteella.

Näin toimivat mm. EasyPark pysäköintosovellus, HSL-mobiililippusovellus, VOI Scooters sovellus ja moni muu. Tulevaisuudessa tämä näppärä korttimaksutapa laajentunee entisestään mm. sähköautojen latausbisnekseen.

Maksaminen mobiilisovelluksen sisällä, eli ns. in-app maksaminen, jossa sovelluksen käyttäjä tallentaa maksukorttitietonsa kauppiaan käyttöön sovelluksessa, pääsääntöisesti heti sovelluksen lataamisen jälkeen ja ennen kuin sovelluksen käyttäminen on ylipäänsä mahdollista, on yleistynyt mobiilisovellusten määrällisen kasvun seurauksena. Kauppiaan kannalta tämänkaltainen asiakkaan lisääminen palveluun (customer onboarding) on kustannustehokasta ja nopeaa.

2. Miten In-app maksaminen käytännössä toteutetaan?

In-app maksaminen on teknisesti Card-on-file maksamista, jossa kortinhaltija antaa kauppiaalle, yleensä sovelluksen käyttöehdoissa;

1) luvan tallentaa asiakkaan maksukortin tiedot kauppiaan tietojärjestelmään; ja

2) veloittaa maksukorttia yhdessä sovituin tavoin joko niin että;

  • asiakas käynnistää mobiilisovelluksen välityksellä maksun itse ( CIT-maksu, cardholder initiated transaction); tai
  • niin että kauppias veloittaa maksukorttia automaattisesti ilman asiakkaan aktiivista myötävaikutusta ( MIT-maksu, merchant initiated transaction).

Tosiasiassa kauppias ei tallenna mobiilisovellukseensa asiakkaidensa maksukorttien korttinumeroita tai muuta sensitiivistä korttidataa, vaan ainoastaan korttinumerosta maksupalveluntarjoajan, kuten Seitatechin, muodostaman yksilöllisen tokenin, josta ei voida laskea tai päätellä alkuperäistä korttinumeroa ja joka tarkoittaa samalla että jos asiakkaan älypuhelin varastetaan, ei samalla asiakkaalta varasteta hänen korttitietojaan.

Seitatech tarjoaa kauppiaille kehittämäänsä, omistamaansa ja ylläpitämäänsä PSD2:n vaatimukset täyttävää Card-on-file -palvelua sekä korttimaksujen vastaanotossa jokaisen kauppiaan tarvitsemaa kehittämäänsä, omistamaansa ja ylläpitämäänsä korttimaksujen prosessointipalvelua eli Payment Gateway – palvelua.

Seitatechin Card-on-file-palveluun sisältyy vakiona Seitatechin 3D Secure -palvelu, joka suojaa kauppiaita petoksilta ja rajoittaa kauppiaan taloudellista vastuuta maksukorttipetoksista. Payment Gateway – palvelu on puolestaan jokaiselle kauppiaalle välttämätön korttimaksujen prosessointipalvelu.

In-app korttimaksuominaisuuden suosio mobiilikauppiaiden keskuudessa on jo pitkään perustunut käyttäjien positiiviseen maksukokemukseen. In-app maksaminen on asiakkaan näkökulmasta helppoa ja vaivatonta kun palvelua käytettäessä maksu tulee vain hyväksyä, ilman esim. PIN-koodin näppäilyä tai maksukortin esille ottamista.

3. Mitä jokaisen mobiilikauppiaan pitäisi tietää asiakkaan vahvasta tunnistamisesta?

PSD2, EU:n uusi maksupalveludirektiivi, on tuonut mobiilikauppiaille 14.9.2019 alkaen uusia turvallisuusmääräyksiä mm. asiakkaan vahvan tunnistautumisen muodossa (SCA, Strong Customer Authentication).

Käytännössä asiakkaan vahvan tunnistautumisen laiminlyönti tarkoittaa kauppiaalle tulon menetystä kortinmyöntäjäpankin (card issuer) hylätessä uuden sääntelyn vastaisiksi tulkittavissa olevat maksut.

PSD2:n merkittävimmät vaikutukset korttimaksuja mobiilisovelluksessa vastaanottaville kauppiaille ovat pähkinänkuoressa seuraavat:

  1. Maksukortin tiedot eivät riitä asiakkaan tunnistamiseen. Asiakkaat eivät voi käyttää in-app maksamista maksutapana pelkästään maksukortin tietojen perusteella, vaan heidän tulee todentaa henkilöllisyytensä sovelluksessa maksua tehtäessä PSD2:n edellyttämällä tavalla;
  2. Lähtökohtana aina asiakkaan vahva tunnistaminen. In-app maksut edellyttävät lähtökohtaisesti asiakkaan vahvaa tunnistautumista (SCA), elleivät säännellyt poikkeukset sovellu (ks. kohta 6.);
  3. Lähtökohtana kahdenkertainen tunnistaminen. In-app maksuissa asiakkaiden tulee lähtökohtaisesti todentaa henkilöllisyytensä maksua tehtäessä ainakin kahdella seuraavaksi esitetyllä tavalla
  • Tieto (asia, jonka vain maksaja tietää, esim. tekstiviestitse tai sähköpostitse lähetettävä kertakäyttösalasana tai vain maksajan tuntema PIN-koodi tai salasana);
  • Hallinta (asia, joka vain maksajalla on, esim. maksajan oma älypuhelin, kortinlukija tai muu laite); ja
  • Maksajan ominaisuus (esim. kasvotunniste, sormenjälki, äänitunniste tai muu maksajan biometrinen tunniste)

4. Maksajan käynnistämä maksu (CIT-maksu) edellyttää pääsääntöisesti asiakkaan vahvaa tunnistamista. 

 CIT-maksaminen (kortinhaltijan käynnistämä maksu mobiilisovelluksessa, esim. HSL-mobiilikertalipun ostaminen) edellyttää lähtökohtaisesti asiakkaan vahvaa tunnistautumista 3. kohdan mukaisesti elleivät poikkeukset (kohta 6.) sovellu;

  1. Kauppiaan käynnistämä maksu (MIT-maksu) edellyttää ensimmäisellä kerralla asiakkaan vahvaa tunnistamista. 

MIT-maksaminen (kauppiaan käynnistämä maksu mobiilisovellukseen syötettyjen korttitietojen perusteella) edellyttää asiakkaan vahvaa tunnistautumista kun asiakas antaa kauppiaalle MIT-maksutoimeksiannon mobiilisovelluksessa. Tämän asiakkaan vahvan tunnistautumisen jälkeen asiakkaan vahvaa tunnistautumista ei ole lähtökohtaisesti tarpeen toistaa.

MIT-maksaminen edellyttää lisäksi, että kortinhaltija on antanut sopimuksella kauppiaalle valtuutuksen MIT-korttiveloituksiin. Asiaan liittyen, linkissä on Euroopan pankkiviranomaisen (EBA) vastaus kysymykseen:

Are card payments that are initiated by the payee only on the basis of (1) an initial mandate by the payer authorizing the payee to initiate the periodic payments and (2) a pre-existing agreement between the payer and the payee for the provision of     products or services, subject to the RTS SCA requirements?”

https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4031

  1. Poikkeukset asiakkaan vahvasta tunnistamisesta.

Huom! Poikkeuksen soveltumisen päättää tapauskohtaisesti maksajan, eli asiakkaan kortinmyöntäjäpankki (card issuing bank), eikä sitä voi johtaa suoraan EU:n sääntelystä.

Siis vaikka EU:n sääntely mahdollistaisi tietyn poikkeuksen soveltumisen tiettyyn tilanteeseen, se ei tarkoita että se olisi kaikkien kauppiaiden käytössä. Tämä perustuu siihen, että vastuu korttimaksupetoksista on uudessa EU:n sääntelyssä siirretty enenevässä määrin kortinmyöntäjäpankeille.

In-app maksuissa ei vaadita lähtökohtaisesti asiakkaan vahvaa tunnistamista seuraavissa tilanteissa:

  • Alle 30 euron maksut. Poikkeus on rajallinen.

Alle 30 euron in-app kertamaksut ovat vapautettu asiakkaan vahvasta tunnistamisesta.

Peräkkäisiä alle 30 euron ostoksia ilman asiakkaan vahvaa tunnistamista voi tehdä enintään sataan (100) euroon saakka ja maksimissaan viisi (5) kappaletta.

  •  Kauppiaan käynnistämät toistuvat maksut (MIT-maksu). Poikkeus on rajallinen. Vahva asiakastunnistaminen vaaditaan kerran.

Näillä maksuilla tarkoitetaan esim. sosiaalisen median (mm. LinkedIn), digitaalisten tv-kanavien (mm. Netflix) ja muiden palveluntarjoajien kuukausittaisia tilausmaksuja, jotka veloitetaan asiakkaalta toistuvasti ennalta sovitun määräisenä.

  • Maksajan rekisteröimä luotettu kauppias. Poikkeus on rajallinen.

Tämä ehto edellyttää käytännössä maksajan pankin (card issuing bank) hyväksyntää ja vaikka maksaja olisi rekisteröinyt tietyn kauppiaan luotettavaksi, voi maksajan pankki poistaa rekisteröinnin.

- Seitan tiimi

Lisätietoja PSD2:n vaikutuksesta korttimaksuihin:

Markus Laaksonen
Head of Development
Seita Technologies Oy
markus.laaksonen@seitatech.fi

Scroll to top