De nieuwe Europese betaalrichtlijn PSD2 is sinds vorig weekend volledig van kracht en is een inleiding tot sterke klantauthenticatie (Strong Customer Authentication – SCA). Heb je er al over gehoord, maar weet je niet precies wat het is of wat de gevolgen zijn? Wij leggen het je uit!
Samen met de explosieve toename van het aantal verwerkte betalingen neemt het risico van frauduleus gedrag toe. Dit is jammer en onvermijdelijk – maar belangrijker is dat het kan worden verholpen.
Om voor consumenten een veiligere omgeving te creëren voor het verwerken van betalingen maakte het Europees Parlement plannen om de herziene Betalingsdienstenrichtlijn (PSD2) eind 2015 te implementeren. Als gevolg van die richtlijn is voor bepaalde online betalingen vanaf 14 september 2019 een hoger niveau van bevestiging van de consument nodig om in overeenstemming te zijn met wat de richtlijn ‘sterke cliëntauthenticatie’ of ‘Strong Customer Authentication – SCA’ noemt.
Om ervoor te zorgen dat de zaken gewoon doorgaan zodra de nieuwe regelgeving van kracht wordt, moeten organisaties nu actie ondernemen en de juiste stappen zetten om in orde te zijn met SCA – voordat het verplicht wordt.
Ten eerste, wat is SCA?
Zoals de naam al doet vermoeden, is Sterke cliëntauthenticatie gewoonweg nagaan of een klant is wie hij/zij beweert te zijn, voordat zijn betaling wordt goedgekeurd – om het risico op fraude te verminderen. Hoe kan worden aangetoond dat mensen zijn wie ze zeggen dat ze zijn? Goede vraag. In verband met SCA houdt dit in dat de klant zijn identiteit moet bewijzen met twee van de drie volgende methoden:
- Iets wat de klant HEEFT:
- Dit kan een item zijn als een smartphone, smartwatch of badge.
- Iets wat de klant KENT:
- Gangbare voorbeelden hiervan zijn een wachtwoord, een pincode of het antwoord op een geheime vraag.
- Iets wat de klant IS:
- Dit is een fysieke eigenschap die uniek is voor uw klant, zoals een vingerafdruk, gezicht, ogen of stem.
Zullen klanten elke betaling moeten authenticeren?
Je denkt misschien dat het veel werk is om die stappen toe te voegen aan elke betaling die je verwerkt, en daar heb je gelijk in. De bedoeling van SCA is echter om het risico van fraude te verminderen voor transacties die een hoger frauderisico inhouden dan andere. Om die reden zijn er ook enkele transacties waarvoor geen SCA vereist is nadat de richtlijn van kracht wordt. Het gaat om de volgende uitzonderingen:
Betalingen van minder dan € 30: betalingen onder deze drempel zijn vrijgesteld van SCA. Banken zullen echter een authenticatie vragen indien de kaart bij de laatste vijf transacties niet werd geauthenticeerd of indien de som van de niet-geauthenticeerde transacties meer dan € 100 bedraagt.
Transacties met een laag risico: transacties die als een laag risico worden beschouwd, worden ook vrijgesteld van SCA. ‘Laag risico’ is uiteraard een subjectieve term en zal worden bepaald door de bank die de betaling verwerkt op basis van fraudegemiddelden van zowel de kaartuitgever als de entiteit die de transactie verwerkt. In sommige gevallen kunnen zowel de kaartuitgever als de acquirer een vrijstelling vragen.
Terugkerende transacties: voor elke eerste transactie van een abonnement is SCA nodig. Bedrijven die een abonnementsmodel voor hun facturering hanteren, zullen blij zijn te vernemen dat de meeste terugkerende aanrekeningen vrijgesteld zijn van SCA – in de veronderstelling dat het bedrag hetzelfde blijft. Als het bedrag verandert, kan SCA nodig zijn, tenzij de transactie is vrijgesteld op basis van de volgende vrijstelling…
Door handelaars geïnitieerde transacties: bedrijven met een variabel bedrag aan abonnementskosten of die kosten aanrekenen voor aanvullingen wanneer de klant niet aanwezig is, worden vrijgesteld op grond van de vrijstelling voor transacties die door de handelaar worden geïnitieerd. De betreffende kaart moet wellicht wel bij het eerste gebruik worden geauthenticeerd.
Handelaars op een witte lijst (whitelisted merchants): als een klant een bepaald bedrijf bezoekt en zijn transacties daar in de toekomst niet wil authenticeren, kan hij die handelaar toevoegen aan een ‘whitelist’ bij zijn bank. Hierdoor moet hij zijn betalingen in de toekomst niet authenticeren.
Postorder-/telefoontransacties (MOTO): omdat bestellingen die via de post of de telefoon worden ontvangen geen vorm van elektronische betaling zijn, is SCA er niet op van toepassing.
Interregionale transacties: bedrijven die betalingen van klanten buiten Europa accepteren, hoeven deze niet te authenticeren. Als de klant echter buiten Europa is gevestigd, maar de uitgever van de kaart en de verwerker van de transactie allebei in Europa zijn gevestigd, zal dit niet als een interregionale transactie worden beschouwd en kan SCA erop van toepassing zijn.
Parkeer- en vervoervergoedingen: dit geldt voor onbewaakte terminals, waaronder contactloze betalingen en zonder bedraglimiet. De indicator is de MCC, aangezien er hiervoor geen standaardvrijstelling bestaat.
Let op: de kaartuitgever beslist of authenticatie nodig is bij de controle van de transacties. Daarom ligt het risico bij vrijstelling bij de uitgever. Bovendien verschuift de aansprakelijkheid in geval van vrijstellingen van de uitgever naar de acquirer.
Hoe kunnen bedrijven SCA-conform worden?
Tegenwoordig vertrouwen bedrijven meestal op 3D Secure om hun online transacties te verwerken. Als reactie op SCA werd 3D Secure 2.0 gelanceerd om SCA-conformiteit te helpen bereiken. Door gebruik te maken van 3D Secure 2.0 om jouw online betalingen te authenticeren, kan je erop rekenen dat jouw klanten zo min mogelijk hinder ervaren bij het afrekenen.
Door ook bekende betaalmethoden zoals Apple Pay of Google Pay te ondersteunen, zullen jouw klanten veel van het authenticatiewerk doen zonder het te beseffen, omdat ze zich moeten identificeren om die diensten te kunnen gebruiken.
Samenvatting: bescherming van klanten en bedrijven
Naarmate de handel steeds meer verschuift naar een online omgeving, zullen de zakelijke en regelgevende omgevingen blijven evolueren om klanten te beschermen. Hoewel SCA vandaag de dag misschien lastig lijkt om mee om te gaan, zal ze op de lange termijn zowel klanten als bedrijven beschermen tegen kwaadwillig gedrag.
Door na te denken over de manier waarop je conform kan blijven met zo weinig mogelijk invloed op de ervaring van jouw klanten, kan je maatregelen nemen om de negatieve gevolgen van de veranderende regelgeving voor jouw bedrijf tot een minimum te beperken.
Houd er rekening mee dat deze informatie aan interpretatie onderhevig kan zijn. Als je op zoek bent naar deskundige hulp bij het omgaan met PSD2 en SCA om met zo weinig mogelijk moeite conform te blijven, neem dan vandaag nog contact met ons op. Wij zorgen ervoor dat betalingen veilig en betrouwbaar verlopen, zonder dat dit ten koste gaat van het comfort voor de klant. Neem contact op voor meer informatie.