Sterke klantauthenticatie (SCA) in Europa roept nog veel vragen op

Strong Customer Authentication

De aanstaande invoering van de nieuwe Europese betaalrichtlijn PSD2 heeft ook gevolgen voor de manier waarop online klanten zich moeten authenticeren. De zgn. Technische Reguleringsnormen (RTS) inzake Strong Customer Authentication (SCA) zullen in de hele Europese Unie gaan gelden vanaf 14 september 2019.

De Europese Commissie had de Europese Bankautoriteit (EBA) geautoriseerd om deze Reguleringsnormen op te stellen. Na veel gepraat en diverse aanpassingen stelde de Commissie op 27 november 2017 een uiteindelijke versie vast. Hierin staan dus de minimaal vereiste regels voor klantauthenticatie bij online transacties voor banken en payment service providers. Een recent artikel van Alex Rolfe gaat wat dieper in op deze regels.

Meer duidelijkheid, maar er blijven onzekerheden

Bij sterke klantauthenticatie kunnen we 3 zaken onderscheiden, aldus Rolfe: dat wat de klant weet (wachtwoord of pincode), dat wat hij heeft (betaalkaart of smartphone) en dat wat hij is (bijv. vingerafdruk). Wil de klant zijn betaalrekening online raadplegen of online betalen, dan moet hij zich identificeren met ten minste twee van deze drie elementen. De RTS bepaalt de minimum regels voor elk van deze elementen en koppelt elk transactiebedrag en klant aan een authenticatiecode. Wijzigt een van beiden, dan is de code ongeldig.

Welke manieren van SCA zijn toegestaan, is niet strak omlijnd. Zo wordt het wijdverbreide gebruik van pass codes via SMS niet expliciet genoemd in de regels. Dit brengt tevens een andere vraag aan de oppervlakte: in hoeverre zullen lokale autoriteiten bepaalde methoden wel of niet toestaan?

Welke betalingen vallen onder SCA?

Ook niet geheel duidelijk is welke transacties verplicht dienen te voldoen aan de SCA. In principe gaat het om betalingen die door de betaler worden geïnitieerd. Vervolgbetalingen (mits het om gelijke bedragen gaat) zijn vrijgesteld. Voor automatische incasso’s geldt hetzelfde. Maar onduidelijk is of SCA ook vereist is bij kaartbetalingen die door de ontvanger worden geïnitieerd, zoals bij abonnementen. Ook de bedragen kunnen variëren in de loop van het abonnement.

De RTS maakt ‘screen scraping‘ in principe onmogelijk. Hierbij hebben derden (Payment Initiation Service Providers of Account Information Service Providers) ongeautoriseerd toegang tot de bankgegevens van klanten. Dit druist in tegen de sterke beveiligingsvereisten van de PSD2. In plaats daarvan moeten banken nu een speciale interface beschikbaar stellen voor deze derden om de gegevens te raadplegen. Doen ze dit niet, dan moeten ze een noodvoorziening bieden die mogelijk toch een vorm van screen scraping inhoudt.

Positie van Payment Service Providers

Volgens artikel 13 van de nieuwe normen hoeven PSP’s de SCA niet toe te passen als het om een door de betaler geïnitieerde betaling gaat en de ontvanger op een lijst van betrouwbare ontvangers (een zogenoemde whitelist) staat. Maar het is onduidelijk welke PSP deze status kan bepalen of aanpassen – de PSP van de betaler? Of die van de ontvanger?

Uitzonderingen op de SCA zijn ook mogelijk voor PSP’s bij zgn. ‘laag-risico’ transacties. Hiervoor wordt gebruik gemaakt van een Transactie Risico Analyse (TRA). Maar ook hier is niet duidelijk welke PSP’s op basis van welk fraudeniveau zo’n uitzondering kunnen toepassen.

Er zijn dus nog heel wat onduidelijkheden en er ligt nog veel werk voor banken en PSP’s om zich voor te bereiden op de inwerkingtreding van de RTS/SCA.

Gerelateerde publicaties:


Daniel de Voogt is freelance copywriter en blogger voor onder meer Internetkassa.nu, Medischdossier.org en Quiethotelroom.org en publiceert regelmatig over ontwikkelingen op het gebied van online marketing, SEO en social media.

Onze business partners