GDPR ingewikkeld? Zet je dan maar schrap voor SCA!

Strong Customer Authentication

Europa staat aan de vooravond van een flinke verandering in de manier waarop we online betalen. Een verandering met grote consequenties voor bedrijven die online zakendoen. Net zoals GDPR (in Nederland bekend als de AVG; Algemene Gegevens Verordening) enorme gevolgen had (en nog steeds heeft) voor de manier waarop bedrijven met persoonlijke gegevens omgaan, brengt de invoering van Strong Customer Authentication (SCA), op 14 september van dit jaar, belangrijke veranderingen met zich mee voor bedrijven die online transacties verwerken en voor de manier waarop we dagelijks online betalen.

Strong Customer Authentication (SCA)

Strong Customer Authenticatie draait om klantauthenticatie bij online transacties, met als doel fraude terug te dringen. Een zware authenicatie bij transacties kan het afrekenproces complex maken. Daarmee lijkt SCA de conversie voor retailers op korte termijn negatief te beïnvloeden, maar biedt het ook kansen om het vertrouwen van de consument bij online betalingen te vergroten? Wij vroegen Guillaume Princen, Head of Continental Europe bij psp Stripe, naar de impact van deze verordening voor (online) ondernemers. Hij licht dat in onderstaand expertblog toe.

Wat is SCA?

SCA vereist dat er bij online betalingen een extra authenticatiestap moet plaatsvinden. Waar tot nu toe een creditcardnummer en een adres voldoende waren, moeten klanten nu minstens twee van de volgende drie extra authenticatiemethoden gebruiken als ze online voor iets willen betalen.

Die drie factoren zijn:

  • 1) iets dat je weet (zoals een wachtwoord of je PIN-code),
  • 2) iets dat je hebt (zoals een smartphone of een authenticatie-apparaat) en,
  • 3) iets dat je bent (zoals een vingerafdruk of gezichtsherkenning).

Waarom deze verandering?

Deze nieuwe regel is bedoeld om Europese consumenten te beschermen tegen online fraude, dat miljoenen euro’s aan schade oplevert. De verwachting is dat de Europese e-commercemarkt zal groeien tot bijna 900 miljard euro in 2022 . En daarmee zal ook de online fraude toenemen. De Europese Centrale Bank schat dat er op dit moment jaarlijks voor €1,3 miljard aan online fraude wordt gepleegd met creditcards. Bij Stripe zien én voorkomen we ieder jaar wereldwijd ongeveer voor €3,5 miljard aan fraudepogingen. Nieuwe maatregelen om de groeiende online fraude tegen te gaan, zijn dan ook meer dan welkom.

Maar SCA kan voor een flinke schadepost zorgen. Zonder een goede voorbereiding, zullen geweigerde transacties en andere fricties bij het online afrekenen een grote negatieve impact op de conversie hebben. Toen bijvoorbeeld in 2014 vergelijkbare regelgeving werd ingevoerd in India, zagen sommige ondernemingen van de ene op de andere dag een conversieverlies van ruim 25%. Als datzelfde nu zou gebeuren met de 600 miljard euro online economie van Europa, hebben we het over een potentiele schadepost van maar liefst €150 miljard.

Hoe kunnen online ondernemingen zich voorbereiden?

Het beste advies is: begin NU met de voorbereidingen. Op dit moment is slechts een kwart van de Europese ondernemingen zich bewust van de aankomende veranderingen. Dit betekent dat veel bedrijven – net zoals gebeurde bij de GDPR – waarschijnlijk pas op het laatste moment gehaaste stappen gaan nemen. En vergis je niet: SCA is minstens zo complex als GDPR. De overkoepelende EU-regelgeving wordt op verschillende manieren geïnterpreteerd door de verschillende landen, terwijl creditcardnetwerken en banken hun eigen regels en beleid hebben. Ook zijn er uitzonderingsgevallen waarin SCA niet nodig is. Het kan allemaal behoorlijk verwarrend zijn, daarom zijn hier enkele belangrijke punten om aan te denken bij de voorbereidingen op SCA:

Om te beginnen is het aan te raden om de huidige afrekenprocedures goed onder de loep te nemen, om ervoor te zorgen dat klanten zo makkelijk mogelijk online kunnen betalen, met de beste betaalmethodes. Er zijn verschillende manieren waarop ondernemingen de authenticatie van klanten zo kunnen inrichten dat ze voldoen aan de SCA-richtlijnen. Dit loopt van biometrische beveiliging in mobiele wallets tot regionale betaalmethoden zonder creditcards (denk aan iDEAL), tot 3D Secure 2.0. Ook hebben consumenten hun eigen voorkeuren, afhankelijk van het land waarin zij wonen of hun relatie met het bedrijf waarmee ze zakendoen. Daarom is het verstandig om zo veel mogelijk opties te bieden bij het afrekenen, waarbij de beste betaalmethode dynamisch verschijnt, afhankelijk van de context.

Ten tweede: kijk waar SCA echt nodig is en waar niet. SCA gaat niet voor iedere online transactie gelden. Er zijn uitzonderingen, bijvoorbeeld voor aankopen onder de €30 of voor periodieke betalingen. Denk dus goed na wanneer een klant wel of niet die extra authenticatiestap moet doorlopen. Ook kunnen klanten de bedrijven die ze vertrouwen toevoegen aan een whitelist bij hun bank, zodat ze bij toekomstige aankopen niet die extra authenticatiestap hoeven te doorlopen. Maar dit soort uitzonderingen is uiteindelijk afhankelijk van de bank van de klant. Voor ondernemingen die actief zijn in meerdere Europese landen betekent dit dat ze rechtstreeks zouden moeten samenwerken met talloze lokale banken om precies te weten hoe ze dit soort uitzonderingen moeten detecteren. En er zijn in heel Europa ruim 6.000 banken… Bedrijven moeten beslissen of ze zelf SCA-expert willen worden of dat ze een strategisch partner zoeken die ze daarbij helpt.

Welke gevolgen kan dit hebben voor e-commerce in Europa?

Waar risico’s zijn, zijn vaak ook kansen. Makkelijk online afrekenen en intelligent beheer van uitzonderingen op SCA kunnen een concurrentievoordeel opleveren voor ondernemingen die erin slagen om dit goed in te richten. In zekere zin kan deze ontwikkeling zelfs een voordeel opleveren voor bedrijven die op technologisch gebied voorop lopen en die voortdurend bezig zijn met het optimaliseren van de klantervaring. Dit geldt ook voor mobile commerce, waar SCA ervoor kan zorgen dat de biometrische beveiliging van wallets zoals Apple Pay en Google Pay meer worden gebruikt. Verder kan SCA aanleiding zijn voor een nieuwe innovatiegolf in biometrische beveiligingstechnieken en mobiele betaaltechnologie in Europa, omdat ondernemers nieuwe kansen zien voor authenticatiemethoden die veiliger én gebruiksvriendelijker zijn.

Laten we dus optimistisch zijn. Het is niet de eerste keer dat Europa voorop loopt met nieuwe betalingsstandaarden die een betere beveiliging combineren met meer gemak. Kijk maar naar de uitrol van de EMV-standaard ruim tien jaar geleden, die ervoor heeft gezorgd dat chip- en PIN-betalingen nu vrijwel overal in Europa worden geaccepteerd. Hoe dan ook, als Europa voorop loopt in de manier waarop online betalingen worden gedaan, zal de rest van de wereld waarschijnlijk snel volgen.

Uiteindelijk is een beter beveiligde interneteconomie belangrijk voor de groei op de lange termijn. Naarmate het consumentenvertrouwen groeit, zullen ook de online uitgaven stijgen. Hoewel SCA op de korte termijn een flinke uitdaging is voor e-commerce, kan het uiteindelijk wel eens een belangrijke mijlpaal zijn op weg naar groeiende online handel in Europa, naar één digitale markt en naar het verhogen van het GDP van internet. En laat dat laatste nu onze missie zijn…

Dit artikel is een experblog van Guillaume Princen, Head of Continental Europe bij Stripe. Payment Service Provider Stripe is sinds juni 2017 ook actief in Nederland en België. Het biedt ondernemers een breed ecosysteem aan producten, zoals fraudedetectie en -bestrijding, een oplossing voor marktplaatsen en analytics-software.


Een Expert Blogger is een bijdrage geschreven door een specialist uit de branche. Dit kan iemand zijn met expertise op Online Betalen, FinTech, Wet en Regelgeving of PSD2, maar ook op het gebied van online marketing of e-commerce in het algemeen! Kortom; actueel en informatief, gericht op de online ondernemer. Heb jij expertise en wil jij die delen met de achterban van Internetkassa.nu? Pitch jouw idee op redactie@internetkassa.nu