“SCA in beginsel uitgangspunt voor alle betalingen met risico van fraude”

online betalen

Vorige week berichtten we over de aanstaande invoering van de nieuwe Europese betaalrichtlijn PSD2 en de gepaard gaande regels voor sterke klantauthenticatie (SCA), die vanaf 14 september 2019 in de hele Europese Unie gaan gelden. Rond deze klantauthenticatie van online betalingen bleken nog veel onduidelijkheden. Reden om Gijs Boudewijn, als adjunct-directeur van de Betaalvereniging Nederland vertegenwoordiger voor aangesloten banken en psp’s, te vragen naar zijn visie.

Volgens Boudewijn is er inmiddels meer duidelijkheid. “Met haar opinie over de invoering van de Reguleringsnormen en de SCA”, zo geeft hij aan, “heeft de Europese Bankautoriteit (EBA) een einde gemaakt aan een aantal onzekerheden.”

Sterke klantauthenticatie dient ten minste twee van de drie factoren kennis, bezit en kenmerk te bevatten, zo stelt de EBA. Een CVV-nummer op een creditcard of alleen een gebruikersidentificatie voldoen niet aan het kenmerk ‘kennis die alleen de gebruiker heeft’. “Maar een SMS TAN code is in beginsel wel informatie die alleen de gebruiker kent en dus voldoende”, zo licht Boudewijn toe.

Wat is Strong Customer Authentication (SCA)?

Welke betalingen vallen onder SCA?

“SCA is het uitgangspunt voor alle betalingen”, geeft Boudewijn aan, “evenals voor handelingen met een risico op fraude. De partij die de authenticatie moet uitvoeren is de ASPSP (Account Servicing Payment Service Provider), doorgaans de bank van de betreffende rekeninghouder.”

Diezelfde ASPSP kan besluiten om een uitzonderingsmogelijkheid op de SCA te gebruiken. “Op basis van vooraf bepaalde vrijstellingen”, legt Boudewijn uit, “heeft de ASPSP discretionaire bevoegdheid en kan besluiten dat een transactie weinig risico met zich meebrengt en SCA dus niet nodig is.”

Volgens de EBA kan de begunstigde van een betaling nooit besluiten om SCA wel of niet toe te passen. In haar Opinion legt de EBA uit dat bij een overboeking alleen de PSP van de betaler kan beslissen om de SCA niet toe te passen. Bij kaartbetalingen kan de PSP van de begunstigde, op basis van een risico-analyse, besluiten om geen SCA af te dwingen. “Maar ook hier”, verduidelijkt Boudewijn, “is het uiteindelijk de PSP van de kaarthouder (issuer) die besluit of hij dat accepteert of dat hij de transactie weigert.”

Lijst van betrouwbare ontvangers

Wat betreft eventuele uitzonderingen op de SCA voor ontvangers, die staan op de zogenaamde “list of trusted beneficiaries“, zijn het ook weer uitsluitend de ASPSP’s die hierover beslissen.

“Er is een duidelijke wettelijke basis voor deze afspraken”, aldus Boudewijn. “Wel kunnen ASPSP’s met AISP/PISP’s (Payment Initiation Service Providers of Account Information Service Providers) aanvullende overeenkomsten sluiten om op onderdelen af te wijken. Bijvoorbeeld kunnen ze overeenkomen dat een PISP namens de ASPSP de SCA uitvoert.”

Met SCA minder fraude in de toekomst?

Met de genoemde uitleg, en de daaraan gekoppelde consultatieronde die op 14 augustus afliep, heeft de EBA volgens Boudewijn aan de belangrijkste onduidelijkheden een einde gemaakt. Interessante vraag is natuurlijk of de invoering van de sterke klantauthenticatie zal leiden tot een significante afname van fraude in het betaalproces. “Ik vraag me af of de SCA-verplichting in Nederland tot een directe afname van fraude met overboekingen leidt”, zegt Boudewijn. “De Nederlandse banken gebruiken namelijk al jaren SCA, in tegenstelling tot sommige andere landen.”

Voor consumenten worden de authenticatieregels in sommige gevallen zelfs minder strikt dan de huidige Nederlandse regels. Voor betalingen via internet en met de telefoon is tot 30 euro maar één authenticatiefactor nodig. Voor contactloze betalingen aan de kassa hoef je onder de 50 euro geen pincode in te voeren. Ook bij betalingen voor tolwegen en parkeren is geen pincode nodig.

Gerelateerde publicaties over SCA:


Daniel de Voogt is freelance copywriter en blogger voor onder meer Internetkassa.nu, Medischdossier.org en Quiethotelroom.org en publiceert regelmatig over ontwikkelingen op het gebied van online marketing, SEO en social media.