Perspektiver på Rejser og Økonomi

Transkript

1 Kortrevolution sådan kan nye europæiske love ændre den måde I booker og betaler for forretningsrejser Obligatoriske sikkerhedstiltag for online kortbetalinger som træder i kraft fra 14. september kan tvinge nogle virksomheder til at opdatere deres booking og - betalingsprocedurer hvis de betaler med plastikkort. Store ændringer for kortbetalinger træder i kraft i Europa fra den 14. september. Det er den dato efter hvilke EU medlemslande (plus Norge, Island og Liechtenstein) skal håndhæve anti-svindel tiltag kaldet Strong Customer Authentication (på dansk stærk kundeautentifikation ) for online transaktioner. Især betalinger via plastik-firmakort vil sandsynligvis blive påvirket af disse tiltag; kortholdere vil skulle identificere sig selv i flere trin, som for eksempel ved at indtaste en kode sendt til deres mobiltelefon. Eftersom den 14. september ikke ligger så langt ude i fremtiden er I måske overraskede over at I endnu ikke har hørt om SCA. Men betalingsvirksomheder og rejseselskaber kommunikerer endnu ikke bredt ud om det fordi de ikke er sikre på hvad de skal sige. Selvom datoen nærmer sig, er det kun få landes nationale betalingstilsynsmyndigheder der har bekendtgjort detaljer om hvordan de vil håndhæve SCA og i hvilke tilfælde der er undtagelser for kravet om SCA. Tilsynsmyndighederne har især ikke specificeret hvordan de tolker det tvetydige sprog i EUs reguleringsmæssige teknologiske standarder som bestemmer hvornår virksomhedsbetalinger er fritaget.

2 For yderligere at komplicere tingene, så er det op til den enkelte kortudsteder at træffe den endelige beslutning om hvorvidt de mener at SCA gælder for alle betalinger via plastikfirmakort foretaget igennem en travel management company (TMC). På nuværende tidspunkt lader det til at forskellige udstedere har forskellige tilgange til dette spørgsmål, og der derfor ikke engang er overensstemmelse inden for det samme land. Det er tydeligt at der er forandringer på vej, men det er ikke hundrede procent sikkert hvordan denne forandring kommer til at se ud, siger Søren Schødt, administrerende direktør for TravelpoolEurope. Dog ved vi at virtuelle kort og lodge cards, som er de betalingsmetoder vi primært benytter hos TravelpoolEurope, sandsynligvis vil blive fritaget. Det er brugere af plastikkort som højst sandsynligt er nødt til at ændre deres processer. Her er hvad vi ved indtil videre. Hvad er Strong Customer Authentication? SCA har til hensigt at forhindre svindel med betalinger for køb på internettet. Det kræver af kortholdere at de skal identificere sig selv i en to-trins autentifikationsproces, hvilket vil sige at de skal identificere sig ved hjælp af to af de følgende tre elementer: Viden (noget kun brugeren ved, for eksempel en engangskode) Besiddelse (noget som kun brugeren er i besiddelse af, for eksempel et kort) Iboende egenskab (noget som kun brugeren er, for eksempel fingeraftryk eller ansigtsgenkendelse) Gælder SCA for virksomhedsbetalinger? SCA er primært tiltænkt at skulle bekæmpe svindel inden for forbrugerbetalinger, men det gælder som udgangspunkt for enhver elektronisk transaktion. Der er dog visse former for betaling som ligger uden for rammerne eller er fritaget. De reguleringsmæssige teknologiske standarder fritager sikre betalingsprocesser og -protokoller for virksomhedsbetalinger, men definerer ikke nærmere hvad denne sætning betyder. Vil alle betalingsmetoder for virksomheder blive behandlet ens? Næsten helt sikkert ikke. Mærkværdigt nok (eftersom de muligvis ikke engang er medlem af EU når vi når til den 14. september) var den første nationale tilsynsmyndighed som leverede vejledning i hvordan de vil håndhæve SCA den engelske Financial Conduct Authority. Med hensyn til virksomhedsbetalinger skelner FCA meget tydeligt mellem virtuelle kort (elektronisk genererede kortnumre til engangsbrug) og lodge cards (en virksomhedskonto som er deponeret hos en travel management virksomhed) på den ene side, og plastikkort på den anden side. Danmarks finansielle tilsynsmyndigheder har også udsendt nogle retningslinjer, men modsat engelske FCA er der ikke specifikke retningslinjer for virksomhedsbetalinger.

3 Er virtuelle kort og lodge cards fritaget? I Storbritannien, ja, hvilket er en stor lettelse, da det er svært at se hvordan SCA skulle kunne fungere i praksis for disse to betalingsformer. Begge er centraliserede betalinger, hvor der ikke er nogen individuel betaler, og det derfor ville være en udfordring at identificere præcis hvem der kan autentificere betalingen. Men selvom fritagelsen af virtuelle kort og lodge cards er gode nyheder i Storbritannien, er der ikke nogen der er sikker på om disse betalingsmåder vil blive fritaget i alle andre lande. Men selv hvis der ikke er nogen generel fritagelse kan kortudstedere stadig ansøge om en fritagelse specifikt for deres virtuelle kort og lodge cards hvis de kan bevise at forekomsten af svindel med disse produkter befinder sig på at acceptabelt lavt niveau. For at opsummere: der er stadig visse tvivlsspørgsmål med hensyn til virtuelle kort og lodge cards, men på nuværende tidspunkt ser de ud til at være de mest sandsynlige former for virksomhedsbetaling som undgår SCA-krav. Hvad med plastikfirmakort? Er de fritaget? Det er her det begynder at blive mere kompliceret. Endnu engang har vi kun det engelske FCAs retningslinjer til at hjælpe os. De siger Som vi ser det vil brug af fysiske firmakort udstedt til medarbejdere til brug ved forretningsudgifter, under omstændigheder hvor der ikke er anvendt en sikker betalingsproces og- protokol, ikke falde inden for rammerne af denne fritagelse. Det store spørgsmål her er: hvad tæller som en sikker betalingsproces og -protokol (for hvilken en fritagelse ville gælde) og hvad tæller ikke? Betyder det at den måde vi booker og/eller betaler for rejser kommer til at forandre sig? For mange virksomheder, ja. En ting er sikkert, og det er at hvis I bruger et plastikkort til at betale for en booking foretaget via et offentligt tilgængeligt website (for eksempel et hotels egen website eller et online flyselskab), så vil SCA være påkrævet. Dette er ikke noget problem i tilfælde hvor booker og kortholder er den samme person, men undertiden er det to forskellige personer. Hvis I betaler for mere end én rejsende med det samme plastikkort så er denne praksis nødt til at stoppe, fordi autentificeringsanmodningen vil blive sendt til den navngivne kortholder, og denne person er måske ikke i stand til at autentificere, eller måske ved de ikke engang hvem der foretog bookingen Hvis jeres afdeling booker på vegne af rejsende og bruger disse rejsendes plastikkort til at betale så er dette også nødt til at stoppe, fordi autentificeringsanmodningen vil blive sendt til kortholder, ikke til rejsebooker. I begge disse tilfælde er løsningen at skifte til at betale med virtuelt kort eller lodge card (forudsat at disse er fritaget fra SCA), eller at kortholder selv står for at booke deres egen rejseaktivitet.

4 Hvad med betaling med et plastikfirmakort for bookinger foretaget gennem travel management companies (TMC) eller via virksomhedens bookingværktøjer? Dette er det emne der er mindst enighed om. Generelt kan man sige at rejse- og betalingsbrancherne mener at bookinger foretaget gennem globale distributionssystemer er fritaget fra SCA, selv om det endnu engang ikke kan siges med fuldstændig sikkerhed. Med hensyn til online bookingværktøjer skrev Bank of America Merrill Lynch i en manual som de har udgivet omhandlende anvendelsen af SCA ved kommercielle internetkøb via kort: SCA er ikke påkrævet ved køb foretaget via det online bookingværktøj som er stillet til rådighed af TMC, da de bruger GDS til at booke transaktionerne. Men har BAML forstået hvordan virksomhedsrejseområdet fungerer? Online bookingværktøjer stilles ikke nødvendigvis til rådighed af TMCerne, og det er ikke alle bookinger af fly og hotel og andre ting i et online bookingværktøj der distribueres via GDS. Hvis en TMC foretager en booking på et offentligt tilgængeligt website på vegne af en kunde for eksempel på en lavpris-flybillet - så vil SCA næsten med sikkerhed være påkrævet. Det virker derfor endnu en gang som fornuftig planlægning at have virtuelle kort eller lodge cards tilgængelige til at dække bookinger foretaget af TMCer som ikke er via GDS (Global Distribution System).

5 TravelpoolEurope perspektivet Gør jer klar til SCA allerede nu SCA er ligesom Brexit: det står klart at alle bør forberede sig, men det er svært at vide præcis hvordan når der stadig er så mange detaljer som er usikre. Men der er dog visse handlinger som uden tvivl er en god idé. Rådfør jer. Spørg jeres kortudbyder og jeres TMC hvad de har tænkt sig at gøre for hver enkelt land i Europa. Bed især jeres kortudbyder om at specificere hvilke slags transaktioner der vil være omfattet af SCA og hvilke der ikke vil. Sæt jer ind i hvilke forandringer I er nødt til at foretage i tilfælde hvor SCA gælder. Kig især nærmere på jeres brug af firmakort. Hvis der foretages transaktioner i jeres virksomhed hvor betaler og booker ikke er den samme person, så kan plastikkort blive et problem efter den 14. september. På kort sigt er det sandsynligt at kortudbydere vil sende koder via sms som deres trin-to autentificering, så sørg for at virksomhedens kortudbyder har upto-date mobilnumre på alle kortholdere af virksomhedens plastikkort. Dog skal I også huske at være opmærksomme på om udlevering af disse numre er i overensstemmelse med General Data Protection Regulation (GDPR), hvilket potentielt kan være et problem hvis kortholderne bruger private mobiler frem for firmatelefoner. Indfør virtuelle eller lodge kort, eller begge dele, hvis I ikke allerede bruger dem. Det er meget sandsynligt at I får brug for et af dem eller dem begge i fremtiden til at betale for virksomhedens rejseaktiviteter. Hold øjnene på bolden. Situationen kan udvikle sig i rivende fart op til den 14. september, og også efter denne dato.