The Revised Payment Services Directive (PSD2) in Europe requires that electronic payments and access to payment accounts be protected by Strong Customer Authentication (SCA). In practice, that usually means two-factor authentication: something the user knows (e.g. PIN), something they have (e.g. phone or token), or something they are (e.g. biometric). If you’re building an open banking or payment product—in the EU, UK, or in jurisdictions that follow similar rules—your flows need to work with SCA, not around it.
När krävs SCA?
SCA krävs när användaren (1) får åtkomst till kontoinformation online, (2) initierar en elektronisk betalning eller (3) utför en åtgärd som kan innebära bedrägeririsk. När er app ber banken om kontodata eller initierar en betalning kräver banken normalt SCA innan data släpps eller betalningen genomförs. Användaren skickas till banken (eller bankens inbäddade flöde), genomför SCA där och skickas tillbaka till er app med en auth‑kod. Er backend byter sedan koden mot en access token. Det är flödet vi implementerar när vi bygger open‑banking‑auth åt kunder.
Undantag
PSD2 tillåter undantag i vissa fall: lågvärdestransaktioner (t.ex. under 30 €), betrodda mottagare, återkommande betalningar m.m. Banker och tillsynsmyndigheter kan tillämpa undantag olika. Om er produkt förlitar sig på ett undantag måste ni förstå lokala regler och bankens policy. Även med undantag går trenden mot mer konsekvent SCA, så det är säkrare på sikt att designa samtycke- och redirectflödet med SCA i åtanke.
Vad det betyder för er produkt
Er produkt utför inte SCA själv — det gör banken. Er uppgift är att (1) skicka användaren till bankens auth‑sida med rätt parametrar (t.ex. consent‑ID, redirect‑URI), (2) ta emot callbacken med auth‑koden och (3) byta koden mot en token och lagra den säkert. Användarupplevelsen blir: ”Koppla min bank” → redirect → bankinloggning/OTP/biometri → tillbaka till er app. Vi bygger detta redirect‑ och tokenutbytesflöde så att er app förblir compliant och användarna får en smidig och säker upplevelse. Vi har gjort det för kunder som Meras och Infinipi och kan göra det för er produkt i Pakistan eller på andra marknader.
Utanför Europa
Många länder inför liknande koncept: säker autentisering innan kontodata delas eller betalningar initieras. Pakistan och andra marknader kan ha egna regler eller bankpraxis. När vi bygger open banking‑ eller TPP‑system åt er designar vi för SCA‑liknande flöden och lokala krav så att ni är redo för både nuvarande och framtida reglering.
Behöver ni auth‑flödet och SCA‑integration byggt för er produkt? Vi bygger det åt er.
← Tillbaka till bloggen