Het jaar 2019 stond voor de betaalsector in het teken van PSD2, een containerbegrip dat al enkele jaren boven de markt zweefde. In februari van afgelopen jaar werd deze vernieuwde EU-richtlijn dan eindelijk ingevoerd, waarmee Europa streeft naar een verdere harmonisering van het betaalverkeer binnen haar grenzen. PSD2, en dan met name de aangescherpte regels voor strenge klantauthenticatie, vergt aanpassingen van issuers, acquirers, payment providers én webwinkeliers.
(Voor een betere duiding vindt u ‘achter’ de schuingedrukte woorden in dit artikel, middels popups, een toelichting op de jargon-begrippen)
De technische standaarden voor strenge klantauthenticatie zijn verankerd in het onderdeel Strong Customer Authentication (SCA). SCA schrijft voor dat vrijwel iedere betaling middels veilige tweestapsverificatie moet worden goedgekeurd.
Tweestapsverificatie bij online kaartbetalingen verplicht
In de nieuwe situatie is het dus niet meer voldoende dat een kaarthouder een online kaartbetaling goedkeurt door het kaartnummer, de vervaldatum en een controlenummer op de kaart in te voeren. Voortaan moet een kaarthouder iedere online kaartbetaling goedkeuren met een combinatie van iets dat alleen hij of zij bezit (zoals een persoonlijke, uniek identificeerbare smartphone) met iets dat alleen hij of zij weet (zoals een geheime pincode) of met een uniek lichamelijk kenmerk (zoals een vingerafdruk). Alleen in specifieke, nauwkeurig afgebakende gevallen kan daar van worden afgeweken. [Lees hier meer over de uitzonderingen onder SCA]
SCA is sinds 14 september 2019 officieel van kracht, maar omdat op dat moment veel schakels in de betaalketen voor online kaartbetalingen nog niet klaar waren voor de invoering van SCA, verlenen toezichthouders overal in de EU onder strikte voorwaarden uitstel tot eind 2020. “Ze doen dat met instemming van de Europese Bankenautoriteit (EBA)”, zo verduidelijkt Piet Mallekoote, directeur van Betaalvereniging Nederland, desgevraagd. “En alleen aan betaaldienstverleners die zich aan de voorwaarden houden.” Dit voorwaardelijke uitstel moet vooral waarborgen dat de invoering van SCA soepel verloopt, en geen negatieve gevolgen heeft voor kaarthouders en ondernemers.
In Nederland zijn we al bekend met tweestapsverificatie, en voldoen de meest gebruikte betaalmogelijkheden al aan SCA; voor betalingen aan de kassa met een bankpas (bankpas + pincode, voor mobiel bankieren en internetbankieren (een reader + pincode) en voor online betalen met iDEAL (met smartphone + vingerafdruk). Toch verandert er ook in Nederland iets, en dan met name voor (online) betalingen met de creditcard. Bij online creditkaartbetalingen zal steeds vaker om tweestapsverificatie worden gevraagd. Het heeft tot direct gevolg dat een creditcard-betaling onder SCA meer handelingen vergt dan een betaling zónder SCA. Om dat te compenseren zullen kaartuitgevers het gebruiksgemak van online kaartbetalingen in de komende periode verder verbeteren, onder meer met de invoering van een vernieuwde versie van 3-D Secure (3DS).
In Nederland zijn we al bekend met tweestapsverificatie, en voldoen de meest gebruikte betaalmogelijkheden al aan SCA
Wat moeten webwinkeliers en online ondernemers doen voor Strong Customer Authentication (SCA)?
Online kaartbetalingen zónder tweestapsverificatie zullen vanaf 2021 vrijwel altijd worden afgekeurd (soft decline). Webwinkeliers moeten daarom op tijd zorgen dat hun webwinkel of betaaldienstverlener betalingen met SCA ondersteunt. Zo is de continuïteit van hun betaaltransacties gegarandeerd.
Niet voorbereiden op SCA is geen optie, zo waarschuwt Mallekoote. “De uiterste datum waarop SCA in de hele betaalketen moet worden toegepast, is 1 januari 2021. Individuele issuers, acquirers en PSP’s overal in de EU zullen echter al eerder overschakelen.”
Een webwinkel die het afrekenen helemaal heeft uitbesteed kan contact opnemen met zijn PSP of acquirer met de vraag wat er verandert, wanneer het verandert en wat de webwinkel daarvan zou kunnen merken in de conversie. “Deze dienstverlener kan hulp en advies bieden ten behoeve van een goede ondersteuning van de verplichte tweestapsverificatie”, zo motiveert Mallekoote. Een ondernemer die het afrekenen zelf in zijn webwinkel heeft ingebouwd zal ook zelf alle afrekenprocessen en software moeten aanpassen. “Maar er zijn ook tussenliggende scenario’s, waarbij een webwinkelier bijvoorbeeld een paar plugins moet vervangen of bepaalde standaardmodules moet upgraden. Een webwinkelier moet in alle scenario’s de door te voeren wijzigingen eerst goed testen.” De Betaalvereniging publiceert op zijn website wanneer Nederlandse issuers in de loop van 2020 beginnen met overschakelen.
Een webwinkel die het afrekenen helemaal heeft uitbesteed kan contact opnemen met zijn PSP of acquirer met de vraag wat er verandert, wanneer het verandert en wat de webwinkel daarvan zou kunnen merken in de conversie.
3-D Secure
Voor de meeste soorten creditkaarten, waaronder American Express, Mastercard en VISA, dienen webwinkels de EMV 3-D Secure (3DS) standaard voor online kaartbetalingen te ondersteunen om aan de regels voor SCA te voldoen. De PSP of acquirer van de webwinkel kan precies vertellen op welke momenten welke aanpassingen nodig zijn voor een vlotte invoering van 3-D Secure. EMVco heeft inmiddels een vernieuwde versie van 3DS naar de markt gebracht. “Met de nieuwste versies van deze standaard (3DS v2.x) kunnen webwinkels in de loop van 2020 profiteren van de best mogelijke klantervaring bij online creditcardbetalingen. Al voldoet een webwinkel ook met 3DS v1.0 aan de eisen”, zo verduidelijkt Mallekoote.
Drempelloos online betalen in 2020
Online 3DS-transacties kunnen aanvankelijk, als gevolg van de tweestapsverificatie, een uitdaging zijn voor kaarthouders. “Naar verwachting zullen issuers geleidelijk een slimmere en wrijvingsloze betaalervaring bieden, ieder in zijn eigen tempo.”
Webwinkeliers en PSP’s moeten hun conversieratio’s goed bewaken en kunnen hun strategie waar nodig aanpassen. Overigens kunnen de drempels voor kaarthouders worden weggenomen als online kaartbetalingen buiten de scope van SCA vallen. “Webwinkels kunnen hiervoor mogelijk zogeheten Merchant Initiated Transactions (MIT) gebruiken.” Bij deze transacties is SCA niet van toepassing. “Acquirers kunnen hun klanten (webwinkeliers en PSP’s) daarover informeren.”
SCA Migration Project
In het traject van een soepele implementatie van Strong Customer Authentication speelt Betaalvereniging Nederland overigens een belangrijk rol. Middels het SCA Migration Project coordineert het een migratieproject voor issuers, acquirers en PSP’s. “Het is in ieders belang dat het hele ecosysteem in deze migratie wordt meegenomen”, zegt Mallekoote. “Daarom hebben we dit project opgezet met een stuurgroep waarin alle toonaangevende schakels in de betaalketen én eindgebruikers zitting hebben.”
Het migratieproject voorziet in afstemming tussen partijen die in Nederland betrokken zijn bij online kaartbetalingen. Zo wordt iedereen op de hoogte gehouden van SCA-ontwikkelingen in de betaalketen. “De tijdlijnen in andere EU-landen kunnen soms verschillen, maar de richting is in de hele EU dezelfde: SCA wordt in de loop van dit jaar een vast onderdeel van kaartbetalingen op het internet.”
“De tijdlijnen in andere EU-landen kunnen soms verschillen, maar de richting is in de hele EU dezelfde: SCA wordt in de loop van dit jaar een vast onderdeel van kaartbetalingen op het internet.” – Piet Mallekoote, Directeur Betaalvereniging Nederland
Gerelateerde publicaties over Strong Customer Authentication en PSD2:
-
-
-
- Hoe minimaliseer je afgewezen kaartbetalingen onder Strong Customer Authentication (SCA)?
- PSD2 brengt nieuwe (online) betaalmethoden, maar de consument bepaalt het succes
- Strong Customer Authentication (SCA) op online betalingen van kracht
- De vier belangrijkste betaaltrends van 2020
- Ik wil mijn klanten online laten betalen, hoe maak ik dat mogelijk?
- Ecommerce Europe pleit voor uitstel SCA i.v.m. Covid-19
- Hogere conversie bij webwinkels mogelijk met 3DS
- Mollie; Nederlandse psp behaalt ‘unicorn-status’
-
-
Afbeelding: Depositphotos