E-handelsekspert - Hvad er SCA (Strong Customer Authentication)? Guide til EU's sikkerhedskrav

Når kunden skal til at betale i din webshop er sikkerheden vigtig både for dig og for kunden. SCA eller Strong Customer Authentication er EU’s svar på behovet for mere sikre online betalinger. Men hvad betyder det konkret for din webshop og hvordan skal du implementere det? Her får du overblikket over, hvorfor SCA er blevet standard for e-handel i EU.

Hvad er SCA (Strong Customer Authentication)?

Strong Customer Authentication forkortet SCA er et sikkerhedskrav der blev indført som en del af EU’s reviderede betalingstjenestedirektiv PSD2. Kravet trådte i kraft den 14. september 2019 men blev udrullet gradvist i forskellige EU-lande med fuld implementering afsluttet i 2022.

SCA kræver at elektroniske betalinger skal beskyttes med tofaktorautentificering for at øge sikkerheden og reducere svindel. Dette betyder at kunder skal bekræfte deres identitet ved hjælp af mindst to ud af tre forskellige autentificeringsfaktorer. Den første faktor er viden som er noget kunden ved for eksempel en adgangskode, PIN-kode eller svar på sikkerhedsspørgsmål. Den anden faktor er besiddelse som er noget kunden har for eksempel en smartphone, hardware-token eller betalingskort med chip. Den tredje faktor er inhærens som er noget kunden er for eksempel fingeraftryk, ansigtsgenkendelse eller andre biometriske data.

Et typisk eksempel på SCA er når du betaler med dit kreditkort online og skal bekræfte købet via en app på din telefon med dit fingeraftryk. Her kombinerer du noget du har som telefonen med noget du er som dit fingeraftryk.

Hvorfor er SCA vigtigt for e-handel?

SCA blev indført for at bekæmpe den stigende svindel inden for online betalinger og resultaterne taler for sig selv. Men direktivet påvirker også både forbrugere og webshops på flere måder.

Ifølge rapporter fra perioden efter SCA’s implementering faldt antallet af svigagtige transaktioner med omkring 50% mellem december 2020 og april 2021 mens værdien af svindel faldt med cirka 33%. Dette viser at SCA har en tydelig effekt på sikkerheden i EU’s e-handelsmarked.

Når kunder ved at deres betalinger er beskyttet med to-faktor autentificering føler de sig mere trygge ved at handle online. Dette kan reducere frygten for kortsvindel og øge villigheden til at gennemføre køb særligt ved større beløb.

For webshops betyder SCA færre tvister om svigagtige transaktioner. Når betalingen er bekræftet med to-faktor autentificering er det sværere for kunder at hævde at købet ikke var autoriseret. Dette reducerer antallet af chargebacks og de omkostninger der følger med.

SCA er ikke valgfrit men et lovkrav i hele EU og EØS-området. Webshops der ikke implementerer SCA risikerer at få afvist betalinger af bankerne hvilket direkte påvirker omsætningen. Manglende compliance kan også føre til bøder fra tilsynsmyndigheder.

Med den kommende PSD3-lovgivning som forventes at træde i kraft i de næste år vil autentificeringskrav sandsynligvis blive endnu mere stringente. At have SCA implementeret korrekt nu sikrer at din webshop er klar til fremtidige ændringer.

Sådan implementerer du SCA i din webshop

Implementering af SCA kræver samarbejde mellem din webshop, betalingsgateway og kundernes banker.

De fleste moderne betalingsgateways som Stripe, Adyen, Nets Easy og Klarna understøtter SCA automatisk. Når du vælger en betalingsløsning skal du sikre at den understøtter 3D Secure 2.0 som er den nyeste version af autentificeringsprotokoller, håndterer risk-baseret autentificering intelligent, tilbyder undtagelser hvor det er muligt og giver en brugervenlig oplevelse i checkout-flowet.

Din betalingsløsning skal kunne redirecte eller vise en autentificeringsproces direkte i checkout. 3D Secure 2.0 er den nyeste version og giver en meget bedre brugeroplevelse end den gamle version da autentificeringen ofte kan ske direkte i browservinduet uden at kunden bliver redirected til bankens side. Mange banker tilbyder nu fingeraftryk eller ansigtsgenkendelse gennem deres mobilapps hvilket gør processen hurtig og brugervenlig. Kunden kan også modtage push-notifikationer på sin telefon, godkende betalingen med et tryk og checkout fortsætter automatisk.

Det er vigtigt at teste hvordan SCA fungerer for forskellige kundetyper med danske kunder med MitID og bankapp, internationale kunder med forskellige autentificeringsmetoder, mobile versus desktop brugere og kunder der handler første gang versus returnerende kunder.

SCA har visse undtagelser som kan forbedre brugeroplevelsen uden at kompromittere sikkerheden. Transaktioner under 30 EUR kan være undtaget fra SCA dog med begrænsninger for hvor mange undtagede transaktioner der kan gennemføres. Kunder kan tilføje din webshop til deres trusted merchants liste så fremtidige køb ikke kræver SCA. Abonnementer og tilbagevendende betalinger kan være undtaget efter den første autentificerede betaling. Hvis din betalingsgateway har en lav svindelprocent kan nogle transaktioner klassificeres som lav-risiko og undtages. Det er vigtigt at bemærke at disse undtagelser ikke er garanteret da kundens bank træffer den endelige beslutning om om en transaktion kræver SCA eller ej.

Fordele og ulemper ved SCA

SCA giver højere sikkerhed der reducerer risikoen for kortsvindel og beskytter både kunder og webshops. Du får færre chargebacks da med klar autentificering er der færre tvister om uautoriserede betalinger. Der er øget kundetillid da kunder føler sig mere trygge ved at handle når de ved at betalingen er sikker. Du opfylder EU-compliance og undgår potentielle bøder. Din webshop er klar til kommende sikkerhedskrav som PSD3.

Dog er der ulemper som øget friktion i checkout da selv med 3D Secure 2.0 tilføjer SCA et ekstra trin i betalingsprocessen hvilket kan øge antallet af forladte indkøbskurve. Der er teknisk kompleksitet da implementering kræver opdatering af betalingssystemer og kan være kompliceret for mindre webshops. Internationale kunder kan opleve forvirring da SCA ikke er standard i deres hjemland. Nogle kunder har svært ved at gennemføre SCA på mobile enheder særligt hvis de skal skifte mellem browseren og bankappen. Ældre brugere kan have svært ved at forstå og gennemføre to-faktor autentificering.

Best practices for SCA i din webshop

Forklar til dine kunder hvad der sker når de bedes om at autentificere deres betaling med simple beskeder som for din sikkerhed skal du bekræfte betalingen i din bankapp og undgå teknisk jargon.

Sørg for at SCA-flowet fungerer gnidningsfrit på mobile enheder da mange kunder handler på mobilen og skift mellem browser og app skal være så glidende som muligt.

Investér i en betalingsløsning der understøtter 3D Secure 2.0 og kan håndtere risk-baseret autentificering intelligent da dette giver den bedste balance mellem sikkerhed og brugeroplevelse.

Nogle kunder foretrækker betalingsmetoder som MobilePay, Vipps eller Apple Pay der har integreret autentificering så ved at tilbyde flere muligheder giver du kunderne fleksibilitet.

Hold øje med hvor mange betalinger der bliver afvist på grund af SCA-problemer da hvis procenten er høj kan det være et tegn på at flowet ikke fungerer optimalt eller at dine kunder har brug for bedre vejledning.

Arbejd sammen med din betalingsgateway for at bruge SCA undtagelser hvor det giver mening da dette kan reducere friktion for små køb eller loyale kunder uden at kompromittere sikkerheden.

SCA-teknologi og bankers implementering udvikler sig løbende så test regelmæssigt med forskellige scenarier for at sikre at alt fungerer som det skal.

Opsummering

I 2026 er SCA blevet standard i hele EU’s e-handelslandskab. De fleste kunder er nu vant til at skulle autentificere deres betalinger og teknologien er blevet mere brugervenlig siden de første implementeringer.

Den kommende PSD3-lovgivning forventes at introducere endnu strengere sikkerhedskrav herunder bedre understøttelse af moderne autentificeringsmetoder som Passkeys. Det kan betyde at autentificeringen bliver hurtigere og lettere i fremtiden hvor biometrisk login kan erstatte kodeord helt.

For webshops er budskabet klart at SCA ikke er noget man kan udsætte men en central del af at drive e-handel i EU og implementering skal prioriteres højt. Med den rette tilgang kan du sikre at SCA beskytter både dig og dine kunder uden at skabe unødig friktion i checkout-processen.