Skriftlig spørsmål fra Sigbjørn Gjelsvik (Sp) til finansministeren

Dokument nr. 15:1133 (2020-2021)
Innlevert: 31.01.2021
Sendt: 01.02.2021
Besvart: 05.02.2021 av finansminister Jan Tore Sanner

Sigbjørn Gjelsvik (Sp)

Spørsmål

Sigbjørn Gjelsvik (Sp): Mener statsråden det er hensiktsmessig at man i utgangspunktet skal måtte identifisere seg med BankID hver gang man eksempelvis skal kjøpe en bussbillett på nett, mener statsråden det foreligger et større handlingsrom i EU-regelverket enn den praktisering som bankene i Norge legger til grunn, og vil statsråden ta initiativ til endringer i bankenes praksis og/eller i EU-regelverket?

Begrunnelse

Nettavisen omtaler 21. januar nye EU-regler som trådte i kraft i Norge fra nyttår, der bankene stiller krav om en ekstra sikkerhetssjekk når man betaler med kort på nett. Dette medfører ifølge saken blant annet at man i utgangspunktet må bruke BankID for å godkjenne betaling av for eksempel en bussbillett, og at dette gjelder uansett hvor i landet man bor og hvilket reiseselskap man benytter seg av.
De fleste banker har aldersgrense på BankID på 13 eller 15 år, mens noen har 18-års aldersgrense. For barn og ungdom som ikke har BankID, så må eventuelt foreldre kjøpe en billett og sende til app-en deres og ikke alle transportselskaper har slik løsning. Noen banker opererer ifølge saken med et minstebeløp for identifisering med BankID på 300 kroner, mens andre banker stiller krav om BankID-identifisering uansett hvor lavt beløpet til betaling er.
Nettavisen referer pressevakt Sofie Bruun i Ruter, som til Avisa Oslo sier at «Vi har stor forståelse for at folk reagerer på dette, men vi kan dessverre ikke gjøre noe med det. Dette ligger hos bankene».

Jan Tore Sanner (H)

Svar

Jan Tore Sanner: Regler som gjennomfører EUs reviderte betalingstjenestedirektiv (PSD2), trådte i kraft i Norge 1. april 2019. Direktivet åpner opp for nye aktører, og har bl.a. som mål å modernisere regelverket i tråd med utviklingen i markedet, åpne opp for nyskapning og mer konkurranse, og å fremme sikre og effektive løsninger.
Flere nye aktører er også etablert i Norge og regjeringen ønsker å legge til rette for bruk av ny teknologi knyttet til finansielle tjenester, herunder «open banking» og utvikling av flere fintech-virksomheter i Norge. Finansdepartementet har i tildelingsbrevet til Finanstilsynet for 2021 understreket viktigheten av å følge opp etablerte finansforetak tilpasning til PSD2.
Det er imidlertid viktig at betalingstransaksjoner kan gjennomføres på en sikker måte, og at det kontrolleres at den som bruker de aktuelle tjenestene, er rette vedkommende. Utfyllende regler til betalingstjenestedirektivet har derfor krav om såkalt sterk kundeautentisering ved elektroniske betalinger, for eksempel ved betaling på internett. Formålet er å beskytte betaleren mot svindel. Med sterk kundeautentisering menes en løsning der det brukes to eller flere elementer for å identifisere kunden. Elementene skal være uavhengige av hverandre, og omfatter blant annet koder, passord, fingeravtrykk og ansiktsgjenkjenning. Dersom ett element kompromitteres, ivaretas sikkerheten av de andre elementene.
Kravene til sterk kundeautentisering har i utgangspunktet vært gjeldende siden september 2019. Det har imidlertid vært en overgangsperiode for kortbetalinger på internett, slik at fristen for å innføre sterk kundeautentisering for slike betalinger var 31. desember 2020.
Regelverket gir imidlertid muligheter for unntak fra kravet til sterk kundeautentisering, for eksempel for gjentatte betalinger eller betalinger med små beløp. Finanstilsynet publiserte 2. februar en grundig artikkel om hvilke unntak som kan være aktuelle.
Unntakene gjelder for tilfeller der det anses å være mindre risiko for svindel og tap for betaleren. Av medieoppslag og annet ser det imidlertid ut til at flere tilbydere av betalingstjenester ikke bruker unntaksmulighetene fullt ut, men f.eks. stiller krav om bruk av BankID for godkjenning av transaksjoner, også der regelverket inneholder muligheter til å gjøre unntak.
Ett av unntakene gjelder betalinger der beløpet er mindre enn det som tilsvarer 30 euro. Et annet unntak er der situasjonen tilsier en økt risiko for svindel og tap for betaleren. Det vil kunne være tilfellet dersom betaleren må taste PIN-koden og passord i trengsel, for eksempel i kø på bussholdeplassen der andre, lettere enn ellers, vil kunne se PIN-koden og passordet. Dersom den reisende abonnerer på reisekort, kan et unntak for gjentagende transaksjoner tenkes å komme til anvendelse. Unntak kan også basere seg på en analyse av transaksjonsrisikoen ved betalingen.
I eksempelet med kjøp av bussbilletter, som representanten tar opp, er det altså fire mulige unntak som tilbydere av betalingstjenester kan vurdere å benytte, og som vil gjøre at reisende kan unntas fra kravet om sterk kundeautentisering ved kjøp av billetter.
På bakgrunn av Finanstilsynets presisering av mulige unntak, legger jeg til grunn at tilbydere av betalingstjenester og ulike tjenesteleverandører - som f.eks. kollektivselskap - finner løsninger som gjør det enklere for brukere å benytte elektroniske betalingsløsninger.