Sinds afgelopen weekend is Strong Customer Authentication (SCA) van toepassing op Europese online betalingen. Met de invoering van dit wetsonderdeel op zaterdag 14 september 2019 is tweestapsverificatie voortaan een vereiste bij digitale transacties, waarbij een strengere beveiliging minder frauduleuze betalingen moet garanderen. Op Nederlandse webwinkels heeft SCA vooralsnog weinig impact; enerzijds omdat veel webshops het betaalverkeer laten verwerken door een payment provider, anderzijds omdat Nederlands meest gebruikte betaalmethode iDEAL al aan de strenge authenticatie-eisen voldoet.
De strengere beveiliging van online betalingen onder Strong Customer Authentication, ook wel SCA genoemd, behelst een duidelijkere authenticatie door de betaler. Deze moet zich via verschillende kenmerken identificeren, vooral bij (online) creditcard-betalingen. Het invoeren van een creditcardnummer en de bijbehorende CVC-code is in de nieuwe situatie niet meer voldoende.
Identificatie via verschillende kenmerken; minimaal tweestapsverificatie
De tweestapsverificatie moet een combinatie zijn van tenminste 2 van de volgende 3 kenmerken: een wachtwoord of persoonlijk identificatienummer (PIN), en het bezit van een creditcard of een smartphone met gekoppelde betaalkaart, en/of een persoonlijke eigenschap zoals een fingerprint of gezichtsherkenning. Een goed voorbeeld van een betaaloplossing die hiermee werkt is Apple Pay, dat gebruik maakt van gezichts- en vingerafdrukherkenning.
Uitzonderingen SCA
Er zijn ook uitzonderingen van kracht onder SCA; de strengere klantauthenticatie is niet van toepassing op contactloze betalingen in de fysieke winkel en bij online transacties met kleine bedragen (onder de €30,-). Ook in geval van low-risk payments, gebaseerd op risico-analyses door de betaaldienstverlener (psp), neemt het aantal keren dat een klant SCA moet worden geverifieerd af. Daarnaast vallen recurring betalingen aan dezelfde organisatie, bijvoorbeeld in de vorm van abonnementen, onder de uitzonderingen.
PSD2
Strong Customer Authentication is een voortvloeisel vanuit de nieuwe Europese betaalrichtlijn PSD2. Met het invoeren van SCA krijgt deze Payment Service Directive 2 nu definitief beslag, en is deze Europabreed van kracht. Dat betekent overigens niet dat SCA al overal gehandhaafd wordt; met het oog op te verwachten chaos na invoering kunnen sommige landen uitstel verlenen. Zo hebben Denemarken, Frankrijk, Groot-Brittanië en Ierland de deadline inmiddels opgeschoven. Ook in Nederland verleent DNB partijen in bepaalde gevallen extra tijd, maar daarbij gaat het alleen om online creditcard-betalingen. Meer informatie over de uitstel van SCA in Nederland lees je hier.
Impact SCA voor webwinkels en webshophouders
Voor Nederlandse webshophouders zal de impact van SCA naar verwachting gering zijn. De meeste Nederlandse webwinkels ondersteunen voornamelijk iDEAL als online betaalmethode, een oplossing die al aan de strengere verificatie-eisen voldoet. Daarnaast hebben veel webshops voor de verwerking van online betalingen een ‘derde partij’ (een bank of payment provider) in de arm genomen. Deze bank of PSP verzorgt een juiste verwerking van de transacties en voldoet aan de laatste geldende wet- en regelgeving.
Webwinkels die ook internationaal betaalverkeer, bijvoorbeeld via creditcards, verwerken en nog geen maatregelen hebben genomen, wordt aangeraden contact op te nemen met de payment service provider (PSP) of bank om te kijken welke maatregelen nog genomen moeten worden. Let daarbij specifiek op authenticatie van online creditcard-transacties via 3-D Secure; sommige payment providers ondersteunen zelfs al de upgraded versie 3-D Secure 2.
In algemene zin hoeven online ondernemers die gebruik maken van een PSP zelf in ieder geval vrijwel niets aan te passen voor SCA; het zijn vooral de banken, acquirers en PSP’s die ervoor moeten zorgen dat alle wijzigingen die nodig zijn om te voldoen aan het nieuwe beveiligingsprotocol conform SCA worden doorgevoerd in het checkout-proces. Het staat natuurlijk altijd vrij bij de PSP of bank te informeren welke maatregelen er (al) getroffen zijn.
