I tisdagens CS varnade polisen för kortbetalningar med mobillösningar. Speciellt pekades betallösningar ut som godkänns med namnteckning på skärmen i stället för pinkod, en lösning som svenska Izettle gjort sig känt för. Nu fortsätter kritiken mot Izettle.

– Visa stängde av Izettle i Danmark, Finland och Norge för att de inte lever upp till de europeiska säkerhetskraven, säger Jan-Olov Brunila, ställföreträdande chef på Swedbank Group Cards, som har en konkurrerande tjänst för mobilbetalningar.

Reglerna som Jan-Olov Brunila hänvisar till är EUs gemensamma säkerhetskrav på alla system som accepterar betalning med chipp och som används inom EU, förkortat Sepa. Enligt Izettle själva följer företaget kortutgivarnas gemensamma krav som krävs för att kunna läsa betalkortens chipp samt kraven som ställs för att kunna hantera och skicka betalinformation, men EUs säkerhetsregler är betydligt hårdare och kräver bland annat att pinkod måste accepteras om betalterminalen har stöd för det.

Izettles mobilbetallösning bygger på att en kortläsarmodul kopplas till telefonen och köpen godkänns genom att användaren signerar med hjälp av telefonens pekskärm. Anledningen till att signering används för att godkänna köpet, och inte pinkod, är enligt Johan Bendz på Izettle, att smarttelefoner och surfplattor inte anses säkra nog för pinkoder.

Men enligt Jan-Olov Brunila räcker det inte med att välja bort pinkod för att följa EUs regelverk.

– Om det finns möjlighet att godkänna köp med signering måste det även finnas stöd för pinkod. Det räcker inte med att ha stöd för endast en identifikationsmetod. Enligt EUs regler måste de även ha stöd för magnetremsan på kortet också.

Enligt Jan-Olov Brunila drog Visa tillbaka sitt stöd för Izettle i Norge, Danmark och Finland eftersom Izettle inte kunde leva upp till säkerhetskraven som finns i Sepa. Det går fortfarande att använda Visakort i Izettle i Sverige och Izettle har även stöd för flera andra betalkort, något som Jan-Olov Brunila hävdar beror på att Izettle har skrivit enskilda avtal med kortutgivarna där säkerhetskraven inte är lika höga.

Izettles marknadschef Johan Bendz kommenterar uppgifterna i ett mejl till CS.

”Izettle uppfyller alla de krav som kortbranschen ställer på oss, EMV, PCI-DSS samt kortbolagens egna regler [...] Att använda signatur istället för PIN är något som görs i alla kortterminaler runtom i Europa, inte bara hos iZettle – tänk dig tex hur du allt som oftast betalar för en öl i baren, eller hur man verifierar sig genom signatur i de fall man glömt sin PIN-kod. Det är en godkänd verifieringsmetod.”

Fakta

Det finns många olika regler och standarder som måste följas för att få hantera betalkort med chip.

EMV-standarden – framarbetad av Europay, Mastercard och Visa, som framför allt ställer krav på säkerheten för att läsa betalkortschipp. Uppfylls inte standarden får man inte ha terminaler som läser chipp.

Pci-dss-standarden – ställer krav på hur betalinformation rent tekniskt får hanteras i terminaler och kortläsare. Bland annat måste datatrafiken mellan pinkodstangenterna och kortets chipp krypteras. Det är endast kortets eget chipp som ska kunna dekryptera pinkoden.

Sepa – EUs gemensamma regelverk för kortläsare och betalterminaler inom EU. Enkelt uttryckt är Sepa som en kombination av EMV och pci-dss, men med högre säkerhetskrav.

Kortutgivaren Visa har regler utöver EMV och pci-dss som liksom Sepa är hårdare än bägge standarderna.