Handhaving Strong Customer Authentication (SCA) uitgesteld tot 31 december 2020

Strong Customer Authentication (SCA)

Webwinkels, Fintechs en banken krijgen uitstel om hun systemen geschikt te maken voor Strong Customer Authentication (SCA), een voortvloeisel uit de Europese betaalrichtlijn PSD2. De Europese bankenautoriteit (EBA) heeft namelijk afgelopen week bevestigd dat het de deadline voor handhaving op SCA opschuift naar 31 december 2020. Dit geldt ook voor Nederland,  want de Nederlandsche Bank (DNB) volgt het EBA-statement. Daarmee maken de toezichthouders een einde aan aanhoudende onzekerheid rond de betaalrichtlijn. 

SCA is het onderdeel uit PSD2 dat toeziet op verscherpte authenticatie

De formele datum voor de inwerkingtreding van SCA, het onderdeel uit wetgeving PSD2 dat toeziet op een verscherpte authenticatie bij online transactie, lag op 14 september van dit jaar. Echter bleek al snel dat de veranderingen die nodig zijn om SCA te kunnen ondersteunen een flink aantal aanpassingen vergden. Uitdagingen waaraan vooral fintechs, betaaldienstverleners en banken binnen de bestaande deadlines niet bleken te kunnen voldoen. Een te overhaaste invoering zou dan ook tot chaos (kunnen) leiden, zo was de algemene opinie.

‘Soepel omspringen met toepassen SCA-regels’

Hoewel de wet formeel is ingevoerd, gaf de EBA naar aanleiding van die onduidelijkheid afgelopen zomer al aan soepel om te willen springen met de regels. Ware het niet dat de chaos daardoor feitelijk alleen maar toenam. Toezichthouders in verschillende landen interpreteerden die uitstel-mogelijkheid allen op hun eigen manier, waardoor de uniformiteit van PSD2 (en dus ook SCA) Europa al in een vroeg stadium dreigde te versplinteren. Zo pleitte Frankrijk voor een uitstel van drie jaar, voerde Denemarken SCA per direct in en kozen het Verenigd Koninkrijk en Ierland voor een opschorting van 18 maanden tot maart 2021.

In Nederland pleitte ook DNB voor een uitstel op de handhaving van SCA, met de aantekening dat het daarbij specifiek gaat om de authenticatie van creditcard-betalingen in de online omgeving. Op dit specifieke onderdeel zou volgens DNB een verlengde periode van inwerkingtreding van kracht moeten zijn, waarbij een migratie-protocol een gefaseerde invoer van SCA in Nederland mogelijk moet maken.

Payment Service Providers (psp’s)

Om een einde te maken aan alle onzekerheid is de EBA nu met een duidelijke richtlijn gekomen voor de Europese markt. Payment service providers (psp’s) en webwinkels krijgen tot 31 december 2020 uitstel. Volgens de EBA betekent de versoepeling niet dat SCA niet nu al ingevoerd wordt, maar dat de handhaving van SCA is opgeschort tot eind 2020.

DNB conformeert zich aan opinie EBA

Navraag leert dat De Nederlandsche Bank (DNB) deze lijn volgt. “DNB conformeert zich aan de EBA opinie die vorige week is gepubliceerd”, zo laat DNB-woordvoerder Tobias Oudejans op vragen van INternetkassa.nu weten. “Het betekent dat instellingen tot 31 december 2020 de tijd hebben om volledig te migreren naar SCA-compliant betaaloplossingen voor online card transacties.”

SCA voor webwinkels

Ondernemers die gebruik maken van een derde partij voor de afhandeling van online betalingen, zoals een psp of bank, hoeven overigens zelf geen actie te ondernemen voor SCA. De dienstverlener moet op de achtergrond zorgen dat de (betaal)systemen voldoen aan de gestelde regels rondom het authenticeren van online creditcard-transacties, zoals verificatie via (dynamische) 3D Secure.

Gerelateerde publicaties over online betalen en SCA:

Update 23-10-2019: Reactie DNB ingevoegd.