Stel je voor dat de verkeersregels plotseling worden gewijzigd en automobilisten opeens aan de linkerkant van de weg moesten rijden. Door deze nieuwe situatie zou het aantal verkeersongelukken waarschijnlijk flink toenemen. Iets meer dan twee jaar geleden gebeurde er iets vergelijkbaars met internetbetalingen in de EU. En sinds kort is ook het Verenigd Koninkrijk aan de beurt.
Strong Customer Authentication (SCA) ontwikkeld in het kader van PSD2
Op 14 maart jongstleden werd als slotakkoord in een lang proces in Europa de Strong Customer Authentication (SCA)-richtlijn van kracht in het VK. Deze richtlijn, door de Europese Commissie ontwikkeld in het kader van het bredere regelgevingsinitiatief PSD2, bepaalt hoe de online betalingstransacties van klanten moeten worden geverifieerd. Het doel, fraude rond internetbetalingen terugdringen, is lovenswaardig. Maar helaas blijkt de toepassing van de richtlijn ook onbedoelde schade aan te richten. Het heeft operationeel nogal wat voeten in aarde en resulteert tegelijkertijd in een stijgend aantal geweigerde legitieme transacties.
3DSecure-protocol
Het doel van SCA was om internetfraude terug te dringen door verificatie van betalingstransacties voor goederen en diensten, meestal op basis van het 3DSecure (3DS) protocol. Dit moet bewijzen dat de koper is wie die zegt te zijn. 3DS werd in 2001 geïntroduceerd, inclusief het proces waarbij een betalende klant de veilige internetpagina bezoekt van de bank die zijn creditcard heeft verstrekt om de authenticiteit van de betaling te verifiëren. De afgelopen jaren zijn er nieuwe versies van het protocol uitgebracht in de vorm van 3DS2, 3DS2.1 en 3DS2.2. Deze stellen bedrijven in staat om meer informatie naar kaartverstrekkers te verzenden, zodat sommige transacties kunnen worden voltooid zonder dat de klant de betaalpagina hoeft te verlaten.
SCA herschreef de manier waarop alle betrokken partijen (zoals de bank die de creditcard uitgeeft, de kaarthouder en de webwinkel) overeenstemming moeten bereiken om een betaling te kunnen voltooien. Als maar één van de partijen niet bereid is om het protocol toe te passen, loopt het authenticatieproces spaak en mislukt de hele transactie.
Afgewezen creditcardtransacties
Stripe streeft naar een wereld waarin betalingen veilig en probleemloos verlopen en heeft daarom technologie ontwikkeld voor het identificeren en verhelpen van dit soort valkuilen.
Nu SCA langzaam maar zeker op Europese schaal wordt toegepast wordt het tijd om de
balans op te maken. Het afgelopen jaar heeft de sector veel mislukte transacties voor de kiezen gekregen. Hoe komt dat?
Ten eerste blijkt dat, zelfs wanneer de meerderheid van de bij betalingsprocessen betrokken partijen SCA-standaarden toepast, er nog altijd veel transacties mislukken. Deze kink in de kabel is te wijten aan een cruciaal kenmerk van internetbetalingen: ze zijn zo sterk als hun zwakste schakel. Als er dus ook maar één van de bij een transactie betrokken partij de SCA-regels niet volgt of de richtlijn niet op de juiste wijze toepast, mislukt de hele transactie.
Soft Decline
Neem bijvoorbeeld banken die creditcards verstrekken. De implementatie van SCA stelde hen voor fikse uitdagingen. Zeker in 2020, toen de richtlijn nog maar net werd toegepast in de Europese Economische Ruimte, bleek dat veel uitgevende banken transacties generiek afwezen, terwijl deze transacties wel hadden kunnen doorlopen als de bank simpelweg een ‘zachte weigering’ had aangeven met een verzoek om aanvullende informatie.
Hoe streng SCA werd nageleefd bleek ook per land nogal te verschillen. Zo neigden kaartverstrekkers in Denemarken en Spanje sterker naar zachte weigeringen voor transacties dan hun Franse tegenhangers. In Nederland en Finland kwam het voor dat bij transacties die niet onder de richtlijn vielen, zoals mail order / telephone order (MOTO), kaartverstrekkers onterecht authenticatie vroegen. In Duitsland en Italië konden veel kaarthouders niet in SCA-compatibele systemen ingevoerd worden omdat ze geen enkele vorm van tweestappenverificatie hadden ingesteld.
Dynamisch schakelen tussen 3DS1 en 3DS2 via Stripe
Verder waren er sterke verschillen tussen de prestaties van kaartverstrekkers die het nieuwe authenticatieprotocol 3DS2 gebruikten en kaartverstrekkers die met de oudere versie 3DS1 werkten. Sommige banken verifiëren meer betalingstransacties met 3DS2, iets wat je mag verwachten bij een geüpdatet protocol. Maar in 2021 bleek bijna de helft beter te presteren bij het gebruik van de oudere versie 3DS1. Het verschil was zo groot dat Stripe een manier ontwikkelde om dynamisch tussen 3DS1 en 3DS2 te wisselen, op basis van de bij de transactie betrokken kaartverstrekker.
Maar kaartverstrekkende banken zijn slechts één partij binnen transacties. Nieuwe problemen doemen op zodra verschillende partijen tegelijk aan de nieuwe regels moeten voldoen. Zo hebben we moeten constateren dat het echt uitmaakt welk type apparaat je gebruikt voor het verifiëren van betalingstransacties. Voor SCA-transacties vanaf een mobiel apparaat ligt de slagingskans 3 procent lager dan voor transacties vanaf een pc. Dit geeft aan dat het doorsturen van mobiele gebruikers naar hun bankapp voor authenticatie nog niet werkt zoals het zou moeten.
Hoewel steeds meer kaartverstrekkers correct gebruikmaken van 3DS2 en het bijhorende verificatieproces, valt er nog een lange weg te gaan voordat de richtlijn zal zijn uitgegroeid tot een succesvol standaardprotocol voor alle kaartverstrekkers.
Aansprakelijkheid geschillen verschuift naar kaartverstrekkende bank
Ondanks deze uitdagingen levert SCA webwinkels ook een klein voordeel op. De richtlijn verlegt namelijk de aansprakelijkheid voor geschillen van de bedrijven naar de kaartverstrekkende banken. Dit weegt echter niet op tegen het hoge aantal mislukte transacties. Visa schat dat de conversiepercentages 11 procent lager liggen voor transacties op basis van 3DS. Met andere woorden: ruim een op de tien verkooptransacties mislukt doordat bedrijven aan de eisen van de SCA moeten voldoen.
De geleidelijke invoering van SCA heeft wel voorkomen dat het meest pessimistische scenario uitkwam: de omzet van bedrijven zou van de ene op de andere dag verdampen. Maar er valt nog een hoop werk te verrichten. Alle partijen die deel uitmaken van de betalingswereld moeten hun krachten bundelen om ervoor te zorgen dat SCA zijn doel bereikt: fraude rond internetbetalingen terugdringen zonder omzetverlies voor bedrijven en frustratie bij klanten.
Deze expertblog over Strong Customer Authentication (SCA) is geschreven door Margreet Brenkman, Head of Northern Europe bij Stripe. Als Payment Service Provider (psp) is Stripe sinds juni 2017 actief in Nederland en België en biedt het een compleet betaalplatform voor webshops en bedrijven van ieder formaat.
Bron afbeelding: Depositphotos
Gerelateerde publicaties over Strong Customer Authentication (SCA):
Gerelateerde publicaties over Stripe:
Een Expert Blogger is een bijdrage geschreven door een specialist uit de branche. Dit kan iemand zijn met expertise op Online Betalen, FinTech, Wet en Regelgeving of PSD2, maar ook op het gebied van online marketing of e-commerce in het algemeen! Kortom; actueel en informatief, gericht op de online ondernemer. Heb jij expertise en wil jij die delen met de achterban van Internetkassa.nu? Pitch jouw idee op redactie@internetkassa.nu
