Strong Customer Authentication (SCA)

Strong Customer Authentication (SCA)

Strong Customer Authentication (SCA) staat voor sterke klantauthenticatie, en is een vereiste van de herziene EU-richtlijn (PSD2) betreffende de veiligheid van betaaldiensten voor betalingsdienstaanbieders in de Europese Economische Ruimte (EER). De SCA-vereiste treedt officieel in werking vanaf 14 september 2019.

Wat is Strong Customer Authentication (SCA) onder PSD2?

Strong Customer Authentication (SCA) gaat het afrekenen van online aankopen definitief veranderen. Deze nieuwe regel is bedoeld om Europese consumenten te beschermen tegen online fraude, dat miljoenen euro’s aan schade oplevert. SCA simpel gesteld een verhoogde vorm van beveiliging op online betalingen, en dan met name creditcard-betalingen, en geldt voor transacties boven de €30.

In de basis komt het neer op authenticatie via twee trappen, bijvoorbeeld een wachtwoord in combinatie met een vingerafdruk of een wachtwoord in combinatie met een code die per SMS verstuurd wordt. Er moet dus een extra verificatiestap worden doorlopen. Onder SCA moet een online (creditcard)betaling ten minste middels 2 van 3 onderstaande authenticatielevels worden beveiligd:

  • Iets dat je weet –> bijvoorbeeld een wachtwoord of pincode;
  • Iets dat je bezit –> bijvoorbeeld een telefoon of een ‘token’;
  • En/of iets dat je bent –> bijvoorbeeld via een vingerafdruk of gezichtsherkenning

Uitzonderingen op SCA

SCA is verplicht voor alle online transacties, maar er zijn uitzonderingen. Bijvoorbeeld in geval van low-risk payments, gebaseerd op risico-analyses door de betaaldienstverlener (psp), neemt het aantal keren dat een klant SCA moet worden geverifieerd af. Ook recurring betalingen aan dezelfde organisatie, bijvoorbeeld in de vorm van abonnementen, en betalingen bij bedragen onder de €30 vallen onder de uitzonderingen.

SCA in Nederland

Ook in Nederland zal SCA vanaf 14 september 2019 in de wet worden verankerd, al gaan er net als in andere Europese landen wel stemmen op om de invoering (lees handhaving) op (creditcard)transacties op te schorten om chaos te voorkomen. Hierover wordt momenteel nog druk overleg gevoerd.

Overigens is het de vraag welke impact SCA zal hebben op het Nederlandse betaalverkeer. De Nederlandse betaalmethode iDEAL verloopt al via tweestapsverificatie en is daarom al compliant met SCA. Het zal dus vooral van toepassing zijn op creditcard-betalingen (of betalingen via wallets waar credit- of debetcards aan gekoppeld zijn) in de webshop.

Wat moet ik als online ondernemer doen voor SCA?

Online ondernemers die gebruik maken van een psp hoeven zelf in ieder geval niets aan te passen voor SCA; het zijn vooral de banken en betaaldienstverleners die ervoor moeten zorgen dat alle wijzigingen die nodig zijn om te voldoen aan het nieuwe beveiligingsprotocol conform SCA worden doorgevoerd in het checkout-proces.

SCA uitgesteld?

Verschillende landen, waaronder Nederland, pleiten voor een uitgestelde invoer van (handhaving op) SCA. Het Verenigd Koninkrijk heeft inmiddels besloten om de invoer van SCA met 18 maanden op te schorten. Het Verenigd Koninkrijk is niet de eerste die de strengere transactiebeveiliging op de langere baan schuift. Frankrijk en Denemarken hebben al eerder aangegeven van de regels te willen afwijken en ook Duitsland denkt na over meer flexibiliteit.

Ook in Nederland is men bang voor chaos als de vernieuwde beveiligingsregels ‘te overhaast’ worden ingevoerd. Verschillende belanghebbende partijen bevestigden eerder al tegenover Internetkassa.nu ook voor een uitstelperiode in Nederland te pleiten, en te werken aan een zogenoemd migratie-protocol dat een gefaseerde invoer van SCA moet bekrachtigen.

Of, op welke wijze én met welke termijn SCA mogelijk wordt uitgesteld in Nederland, is op dit moment dus nog onduidelijk. Toezichthouders, banken en betaaldienstverleners voeren daarover naarstig overleg, en zullen hun klanten verder informeren als er meer duidelijkheid is.

Gerelateerde publicaties over online betalen en SCA:

Het kennis- en informatieplatform Internetkassa.nu heeft verschillende publicaties geschreven over PSD2 en SCA, om webwinkeliers te informeren over komende veranderingen in het (internationale) betalingsverkeer.