De Europese Bankautoriteit (EBA) publiceerde vorige week haar definitieve voorstel over de technische normen voor de Europese betaalrichtlijn PSD2. Die richtlijn, die op 13 januari 2018 wordt ingevoerd, moet leiden tot meer innovatie en concurrentie op de Europese betaalmarkt. Onderdeel van het EBA-voorstel is ook de norm voor de strikte verificatie van klanten; de voor ondernemers centrale vraag hoe het proces zo veilig mogelijk kan worden ingericht, zonder de nieuw te ontwikkelen diensten gebruiksonvriendelijk te maken en zonder innovatie in de weg te staan.
Dat lijkt op het eerste gezicht voor ondernemers positief uit te pakken. Koepelorganisaties Thuiswinkel.org en Ecommerce Europe juichen in gezamenlijkheid de beslissing van de EBA toe om binnen de Europese Unie risk based benadering voor elektronische betalingen tot 500 euro toe te staan. De EBA geeft, volgens beide vertegenwoordigers voor webwinkeliers, gehoor aan de eerder geuite zorgen van de e-commercesector.
Risk-based technologieën
“In het vorige voorstel pleitte de EBA nog voor een strengere verificatie van klanten zonder dat ze daarbij veel ruimte lieten aan webshops om een eigen inschatting te maken”, vertelt Just Hasselaar, Policy Adviser Digital Transactions bij Thuiswinkel.org. “Online retailers hebben vandaag de dag genoeg technologische mogelijkheden om het gedrag van hun klanten in de gaten te houden en de potentiële risico’s van transacties effectief te analyseren. Met deze beslissing erkent de EBA de mogelijkheden die risk-based technologieën hebben voor het succes van de Europese e-commercebranche.”
Maar wat betekent dit nu concreet voor online ondernemers? De nieuwe technische reguleringsnormen (Regulatory Technical Standards, RTS) van de EBA stellen vast welke technische standaarden webwinkels moeten handhaven voor de verificatie van hun klanten, de zogenoemde Strong Customer Authentication (SCA). In de nieuwe opzet van de EBA leggen de regels voor verificatie van klanten e-retailers niet aan strikte banden, maar gaan ze uit van het gebruik van risk-based technologieën. Het aankoopbedrag is in de nieuwe set regels het uitgangspunt voor het vaststellen van de identiteit van de klant.
Wijze van klantverificatie afhankelijk van aankoopbedrag
Door de toenemende populariteit van online shoppen, ook voor kleine aankopen, komt de gemiddelde transactiewaarde steeds lager te liggen. Als bij iedere (kleine) transactie een verplichting tot verificatie noodzakelijk is, legt dit een zwaar beslag op merchant én consument. Daar heeft de EBA rekening mee gehouden; Voor bedragen onder de 30 euro geldt nu al dat zij volledig zijn vrijgesteld van de SCA, met de beperking van 100 euro per dag en maximaal vijf transacties met een lage waarde achter elkaar.
Bestedingen tussen de 30 en 100 euro worden gezien als een verhoogd risico en hiervoor is wel een bepaalde vorm van strikte klantverificatie verplicht. Door het besluit van de EBA zitten webwinkeliers niet vast aan een strenge verificatie, die minder gebruiksvriendelijk kan zijn en dus van invloed is op de conversie van de webshop. Online retailers mogen gebruikmaken van een risk-based benadering en dus zelf bepalen hoe ze de identiteit van de klant kunnen vaststellen.
Voor bedragen tussen de 100 en 500 euro wordt de strengheid van de klantverificatie bepaald door het algemene fraudeniveau van de Payment Service Provider (psp) die de klant heeft uitgekozen voor zijn betaling. Als er met een bepaalde betaalmethode relatief veel fraude wordt gepleegd, is een strengere klantverificatie verplicht en andersom.
“Met deze beslissing zet de EBA volgens ons een stap in de goede richting”, aldus Hasselaar. “Het oprekken van de betalingsgrens voor de risk-based benadering is een duidelijke vooruitgang ten opzichte van het oorspronkelijke voorstel, al hadden wij graag gezien dat betalingen tot 100 euro geen strikte klantverificatie zou hebben gehad. Maar deze nieuwe mogelijkheden voor een risk-based benadering komen de innovatie en gebruiksvriendelijkheid van webwinkel zeker al ten goede.”
Geen betaalkastjes voor verificatie van (kleine) online betalingen
Het zorgde recentelijk nog voor veel onrust onder ondernemers; de mogelijke invoering van een betaalkastje om iedere betaling vanaf 10 euro te allen tijde te moeten bevestigen. Wij schreven destijds al een nuancerend stuk, waarin we de kans op de invoering van het kastje nihil achtten. Nu bevestigd ook EBA deze zienswijze, door in de nieuwe opzet haar vorige aanbeveling met betrekking tot mobile commerce definitief te laten varen.
Ook dit besluit wordt door Thuiswinkel.org en Ecommerce Europe met gejuich ontvangen. ‘Daarmee is een onafhankelijkheidsverplichting tussen de apparaten, applicaties en software waartussen transactions worden geïnitieerd en autheticatiecodes worden ontvangen van de baan. Retailers hoeven zich daarmee definitief geen zorgen meer te maken over de eventuele invoering van een zogenoemd betaalkastje’, zo lezen we in de persverklaring op de website van Thuiswinkel.
Vertraging in het proces
De totstandkoming van de tekst had veel voeten in de aarde. De EBA ontving een recordaantal van 224 reacties op de tekst die het eerder ter consultatie aan de markt voorgelegde. De reacties, die leidden tot veel vertraging in het proces, waren afkomstig van banken en creditcardmaatschappijen, maar ook van technologiebedrijven en allerhande belangenclubs. De conflicterende doelstellingen binnen PSD2 maakten het samenstellen van de regelset erg gecompliceerd; de EBA moest rekening houden met de veiligheid van het systeem, maar ook concurrentie stimuleren.
Het EBA-voorstel is afgelopen week ingediend bij de Europese Commissie. De EBA verwacht dat de richtlijn op zijn vroegst november 2018 van kracht wordt.