Webshop langer ud efter Nets for nøl med Dankort-sikkerhed: »Useriøst«

15. november 2016 kl. 06:1712
Webshop langer ud efter Nets for nøl med Dankort-sikkerhed: »Useriøst«
Illustration: Morganka/Bigstock.
Ekstra sikkerhed til Dankort-betalinger online udskydes til næste år.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når der handles med Visa og MasterCard på danske webshops, kræver det ekstra autentifikation med SMS gennem den såkaldte 3D Secure-løsning.

Samme sikkerhedssystem skal også implementeres på Dankortet, annoncerede Nets i maj. Men løsningen er siden blevet udskudt flere gange.

Hos webshoppen Goshopping.dk oplevede man i oktober svindel for mellem 100.000 og 150.000 kroner. Og her er man ikke tilfredse med, at sikkerhedsløsning udskydes.

»Vi fik første gang besked fra Nets om at den bedre sikkerhed var på vej, i december 2015, og at de forventede, at løsningen var klar inden sommerferien 2016. Nu er beskeden, at det er klar primo 2017,« fortæller direktør i Goshopping.dk, Kasper Witt.

Artiklen fortsætter efter annoncen

Politiet mangler ressourcer til svindelsager

En espressomaskine købt med et stjålne Dankort-oplysninger bliver hentet i en købmand på Fyn.

Sammen med et privat sikkerhedsselskab undersøgte GoShopping for nyligt, hvor de svindlede varer havnede, ved at udstyre dem med en GPS-tracker.

To varer blev sporet til svindleren, men begge sager blev senere droppet af politiet pga. mangel på ressourcer.

»Vi oplever desværre ikke meget hjælp, hvorved det ofte føles, som om svindlerne har frit spil,« fortæller Kasper Witt.

3D-secure

3D Secure er en fælles sikkerhedsstandard for internationale betalingskort på internettet. Standarden er udviklet af Visa og MasterCard og implementeret med hhv. Verified by Visa og MasterCard SecureCode.

Når der bruges 3D Secure, føjes der et ekstra sikkerhedstrin til betalingsforløbet. Det foregår ved, at kunden modtager en éngangskode på sms som skal indtastes lige efter, kunden har indtastet sine kortoplysninger.

Dankort Secure kommer til at basere sig på samme standard, men med forskelle. Fx. vil autentificeringen kun være påkrævet på køb over 450,- kroner.

»Jeg synes, det er useriøst, at man ikke tager ansvaret, der følger med at have et stort produkt som Dankortet. Vi kan gøre meget for at tjekke selv, hvor vi både tjekker informationer og kontakter kunder manuelt for at følger op, men i modsætningen til f.eks. Mastercard, har Dankortet ikke deres egen ekstra sikkerhed, selvom vi snart skriver 2017,« fortsætter han.

Når en vare fra fx Goshopping købes med stjålne kortoplysninger, bliver pengene ført tilbage til kortejeren - men det samme kan ikke siges om den fysiske vare, der er blevet sendt fra webshoppens lager.

Samtidig opkræver Nets et gebyr, hver gang der bliver svindlet, fortæller Kasper Witt til Version2.

Nets: Ikke meget svindel med Dankort

Det ekstra lag af sikkerhed - Dankort Secured - kommer til Dankortet i januar, oplyser Nets i dag, og løsningen vil kun gælde for køb over 450 kroner, og derfor vil langt de fleste køb ikke blive berørt.

Hos Nets forventer man dog at beløbsgrænsen vil ramme størstedelen af det misbrug, der foregår i dag.

»Man skal huske på, at svindel på Dankort er meget lav i forhold til internationale kort. Det er også en af grundene til, at det ikke er blevet indført før,« forklarer Ulrik Marschall, der er talsperson for Nets.

»En anden grund er, at mange webbutikker ikke har været interesseret i det, fordi de risikerer at miste kunder, hvis de bliver bedt om at autentificerer kortet midt i et et køb,« fortsætter han.

Hos netbutikkernes interesseorganisation FDIH havde man gerne set en mere elegant teknisk løsning end 3D-secure.

»Alle erfaringer er, at når man beder om 3D-secure på internationale kort, så taber man rigtig mange ordre, fordi kunder bliver forvirrede,« siger FDIH's kommunikationsdirektør Henrik Theil.

»Dankort bruges kun i Danmark, og derfor har det ikke været et oplagt mål for svindel. Og derfor har vi også været meget forbeholdne. Men vi erkender at svindelen er stigende, og vi slutter fuldstændig op om den her løsning,« fortsætter han.

Løsningen stiller webbutikkerne ringere end sikkerhedsløsningen på Visa og MasterCard, der flytter ansvaret - og dermed det økonomiske tab - fra butik til kortudsteder.

Med den kommende Dankort-sikkerhed er det fortsat butikken, der hæfter for svindel.

Tjekker kunder manuelt

Løsningen fra Nets efterfølger krav fra Finanstilsynet, som følger anbefalinger fra EU om at kræve, at kortindløsere og Payment Service Providers (PSP) bolstrer autentificeringen. På de internationale kort har løsningen nedbragt misbruget med 70 procent, oplyser Nets.

Der er forskellige grunde til, at løsningen ikke er implementeret endnu trods udmeldingen fra foråret.

»Der har været skærpede sikkerhedsforhold i løsningen, som vi nu har implementeret,« oplyser Ulrik Marschall.

»Og for at undgå at implementere i forretningerne henover den travle julehandel, vil løsningen blive sat i produktion lige efter nytår,« siger han.

Løsningen kræver, at Dankort får tilknyttet telefonnummer til autentifikation - i dag har 2 millioner Visa/Dankort et nummer tilknyttet, oplyser Henrik Theil.

I mangel på en løsning har Goshopping tyet til en manuel vetting-proces, hvor de blandt andet har ringet til kunder for at komme svindlen til livs.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
16. november 2016 kl. 10:43

Henning Hansen

Jeg vil gætte på at tæt på 100% af de der er i stand til at handle på nettet også har en mobil, og af de der ikke har en mobil så er det sandsynligvis tilsvarende tæt på 100% der enten ikke vil eller ikke helt har tjek på det med nethandel.

Og så bør man vel ikke holde igen med gode løsninger over for et massivt flertal på grund af meget få ikke lige er eller vil være med.

Man kunne så lade den enkelte kunde vælge, altså ikke som i norvegean, men noget den enkelte bruger fravælger i sin konto, de der så har fravalgt 3D Secure må selv stå med en del af ansvaret.

10
15. november 2016 kl. 22:45

Forstår ikke hvorfor man ikke blot laver det obligatorisk at benytte 3D-secure. Evt. blot periodisk på mindre transaktioner - ligesom pinkode ind i mellem kræves ved kortløse betalinger.

Ved ikke om det er blevet bedre siden da, men for ca. 8 år siden var 3D-secure løsningen til Visa så dårlig lavet af Nets at den var nærmest ubrugelig. I stedet for at få bankerne til at få deres kunder til at gå gennem 3D-secure-oprettelsen, skete det ved selve købet hvor man midt under processen blev sendt forbi Nets. Det så vitterligt ud som en scam-side - "hej, vi er Nets, du kender os sikkert ikke, men vær ikke bekymret, du skal bare lige give os nogle personlige oplysninger for at gøre dit køb sikrere".

Kommunikerede dengang med en projektleder ved Nets som godt var klar over problemet, men ikke havde travlt med at gøre noget ved det.

Som webshopbestyrer vil man gerne højne sikkerheden, også for at undgå chargebacks, men hvis det medfører at de fleste af ens kunder blive utrygge og skrider til fordel for konkurrenten som ikke har 3D-secure slået til, ja, så hjælper det jo ikke meget. Så det skal komme over en samlet front så alle forbrugere vænner sig til processen - man kan håbe det så snart vil ske.

Som jeg forstår artiklen har Nets mere eller mindre siddet på deres hænder så længe svindlen på Dankort procentvis ikke var så høj. Men det har vel altid været et spørgsmål om tid før svindlerne opdagede et uudnyttet potentiale i mindre sikre Dankort.

9
15. november 2016 kl. 19:43

Det må afhænge af udbyderen af dit MasterCard / VISA Kort. 3D secure (SecureCode) er aktiveret på mit SEB MasterCard uden brugt af NemID. Men det er også gjort direkte hos SEB og ikke gennem Nets.

Jeg har spurgt min nuværende bank Spar Nord om ikke de har mulighed for at verificere mit Visa kort for mig så jeg kan bruge det, men de siger at det KUN er muligt at verificere det med NemID.

Et hurtigt kig på SEB bank får mig til at tænke at de nok ikke er bank for småsparere som mig selv og det er netop mit indtryk at alt det der, der ikke er muligt uden NemID, rent faktisk ER muligt, hvis bare dem som sidder i den anden ende kan tjene godt nok på det.

For et lille år siden købte vi et hus. Ja det vil sige vi kiggede på huset og da vi havde besluttet at vi gerne ville købe det, så sagde vi det til ejendomsmægleren.

Hun sagde så at vi skulle komme forbi med vores NemID papkort så vi kunne få fikset skødet.

Da vi sagde til hende at vi ikke havde NemID, så sagde hun at så skulle vi skaffe det for at købe huset, men da vi så rejste os og sagde "Hvis vi SKAL have NemID for at købe huset, så må vi desværre takke nej"

Sjovt nok så kunne det pludseligt godt lade sig gøre alligevel.

Da vi skulle aktiveres på tabulex til børnene, så fik vi også at vide at der skulle vi bruge NemID, men da Tabulex er et privat firma som tjener penge på at forbrugerne bruger deres system, så var de forresten villige til at aktivere os uden NemID da vi forklarede at ellers ville vi ikke kunne bruge det.

Det er sådan set KUN når det drejer sig om monopoler og defakto monopoler vi er stødt ind i en mur.

Nå, jeg er alligevel ved at kigge på ny bank, den gamle bliver ringere og ringere og mon ikke en ny bank vil være mere villig til at fikse det med 3D secure, hvis det er et krav for at få os som kunder. :)

7
15. november 2016 kl. 15:13

Når de indfører dette så mister de i hvert fald en kunde for man kan ikke aktivere 3D secure code uden NemID.

Fremadrettet bliver mine penge så lagt ved udenlandske butikker der accepterer PayPal indtil de evt også indfører det.

4
15. november 2016 kl. 11:13

Man skal vel også kunne handle på nettet uden at have en mobiltelefon! - derfor?

3
15. november 2016 kl. 09:23

Det lyder jo direkte tosset, at de ligefrem giver en valget selv?

I sverige er det et krav med 3D-secure, med mindre at kunden logger ind på sin netbank og deaktivere det midlertidigt (15-30 minutter). Det blev indført i Oktober 2015, så vidt jeg husker.

Det skulle iøvrigt også snart være et krav for os Danskere at vores VISA/MasterCard betalinger skal gennemføres med 3Dsecure, ligesom i sverige, grundet EU direktiv der stiller krav til sikre onlinebetaling. FDIH omtalte det i Maj 2015:

Skal vi have 3D Secure på Dankortet fra 1.August?

Igen, så gætter jeg på at årsagen til det endnu ikke er blevet et krav, er fordi Nets nøler med løsningen til Dankortet

2
15. november 2016 kl. 09:12

Hvad hjælper 3D-secure når man lader brugerne vælge om de vil betale med eller uden 3D-secure?

Vågnede en morgen for 2 år siden og lagde mærke til at jeg havde fået en SMS kode fra SEB lige efter midnat. Mystisk.... tjekkede min kontoudskrift og kunne se at der var købt flybilletter til Egypten på norwegian.com med mit MasterCard. Fedt.... ringe til SEB der sagde jeg skulle tage fat i Norwegian - de var så bedøvende lige glade. Lavede en indsigelse hos SEB og fik pengene retur. Men det kostede mig stadig gebyret til et nyt kort.

Det fedeste er så at Norwegian gav brugerne mulighed for, at vælge mellem brug MasterCard med og uden SecureCode direkte i listen over betalingsmetoder. Mener også de gjorde det samme med VISA. Så svindleren har først valgt betalingsmetoden med SecureCode, fundet ud af at det ikke virkede, og bagefter valgt metoden uden SecureCode og fået sig et par billetter til Hurghada i Egypten....

Forstår ikke hvorfor man ikke blot laver det obligatorisk at benytte 3D-secure. Evt. blot periodisk på mindre transaktioner - ligesom pinkode ind i mellem kræves ved kortløse betalinger.

1
15. november 2016 kl. 09:08

Jeg er ret overrasket over, at det forsat er butikken der hæfter for svindel, selvom en betaling sker med "Dankort Secured" løsningen. For mig lyder det her som om at Nets ikke stoler på deres egen løsning?

Alternativt kan det skyldes de har 100% monopol på Dankortet og derfor dem selv der laver reglerne...