Strong Customer Authentication (SCA)

Strong Customer Authentication (SCA)

Strong Customer Authentication (SCA) staat voor sterke klantauthenticatie, en is een vereiste van de herziene EU-richtlijn (PSD2) betreffende de veiligheid van betaaldiensten voor betalingsdienstaanbieders in de Europese Economische Ruimte (EER). De SCA-vereiste treedt officieel in werking vanaf 14 september 2019.

Wat is Strong Customer Authentication (SCA) onder PSD2?

Strong Customer Authentication (SCA) gaat het afrekenen van online aankopen definitief veranderen. Deze nieuwe regel is bedoeld om Europese consumenten te beschermen tegen online fraude, dat miljoenen euro’s aan schade oplevert. SCA simpel gesteld een verhoogde vorm van beveiliging op online betalingen, en dan met name creditcard-betalingen, en geldt voor transacties boven de €30.

In de basis komt het neer op authenticatie via twee trappen, bijvoorbeeld een wachtwoord in combinatie met een vingerafdruk of een wachtwoord in combinatie met een code die per SMS verstuurd wordt. Er moet dus een extra verificatiestap worden doorlopen. Onder SCA moet een online (creditcard)betaling ten minste middels 2 van 3 onderstaande authenticatielevels worden beveiligd:

  • Iets dat jouw klant weet –> bijvoorbeeld een wachtwoord of pincode;
  • Iets dat jouw klant bezit –> bijvoorbeeld een telefoon of een ‘token’;
  • En/of iets dat jouw klant is –> bijvoorbeeld via een vingerafdruk, stem- of gezichtsherkenning

Uitzonderingen op SCA

SCA is verplicht voor alle online transacties, maar er zijn uitzonderingen. Bijvoorbeeld in geval van low-risk payments, gebaseerd op risico-analyses door de betaaldienstverlener (psp), neemt het aantal keren dat een klant SCA moet worden geverifieerd af. Ook recurring betalingen aan dezelfde organisatie, bijvoorbeeld in de vorm van abonnementen, en betalingen bij bedragen onder de €30 vallen onder de uitzonderingen.

SCA in Nederland

Ook in Nederland zal SCA vanaf 14 september 2019 in de wet worden verankerd, al gaan er net als in andere Europese landen wel stemmen op om de invoering (lees handhaving) op (creditcard)transacties op te schorten om chaos te voorkomen. Hierover wordt momenteel nog druk overleg gevoerd.

Overigens is het de vraag welke impact SCA zal hebben op het Nederlandse betaalverkeer. De Nederlandse betaalmethode iDEAL verloopt al via tweestapsverificatie en is daarom al compliant met SCA. Het zal dus vooral van toepassing zijn op creditcard-betalingen (of betalingen via wallets waar credit- of debetcards aan gekoppeld zijn) in de webshop.

Wat moet ik als online ondernemer doen voor SCA?

Niet voorbereiden op SCA is geen optie; de uiterste datum waarop SCA in de hele betaalketen moet worden toegepast, is 1 januari 2021. In dit artikel lees je wat betaaldienstverleners en webwinkeliers zelf kunnen doen om op tijd klaar te zijn voor online creditcardbetalingen met SCA.

Acquirers en betaaldienstverleners; 3-D Secure 2.0

Online ondernemers die gebruik maken van een psp hoeven zelf in ieder geval vrijwel niets aan te passen voor SCA; het zijn vooral de banken en betaaldienstverleners die ervoor moeten zorgen dat alle wijzigingen die nodig zijn om te voldoen aan het nieuwe beveiligingsprotocol conform SCA worden doorgevoerd in het checkout-proces. Een voorbeeld is het nieuwe beveiligingsprotocol 3-D Secure 2, waarmee kaartbetalingen via tweestapsverificatie geverifieerd worden.

SCA uitgesteld?

Verschillende landen, waaronder Nederland, pleiten voor een uitgestelde invoer van (handhaving op) SCA. Het Verenigd Koninkrijk heeft inmiddels besloten om de invoer van SCA met 18 maanden op te schorten. Het Verenigd Koninkrijk is niet de eerste die de strengere transactiebeveiliging op de langere baan schuift. Frankrijk en Denemarken hebben al eerder aangegeven van de regels te willen afwijken en ook Duitsland denkt na over meer flexibiliteit.

Ook in Nederland is men bang voor chaos als de vernieuwde beveiligingsregels ‘te overhaast’ worden ingevoerd. Verschillende belanghebbende partijen bevestigden eerder al tegenover Internetkassa.nu ook voor een uitstelperiode in Nederland te pleiten, en te werken aan een zogenoemd migratie-protocol dat een gefaseerde invoer van SCA moet bekrachtigen.

Of, op welke wijze én met welke termijn SCA mogelijk wordt uitgesteld in Nederland, is op dit moment dus nog onduidelijk. Toezichthouders, banken en betaaldienstverleners voeren daarover naarstig overleg, en zullen hun klanten verder informeren als er meer duidelijkheid is.

Update Oktober 2019: uitstel SCA

Inmiddels is bekend dat webwinkels, Fintechs en banken uitstel krijgen om hun systemen geschikt te maken voor Strong Customer Authentication (SCA). De Europese bankenautoriteit (EBA) heeft namelijk afgelopen week bevestigd dat het de deadline voor handhaving op SCA opschuift naar 31 december 2020.

Dit geldt ook voor Nederland, want de Nederlandsche Bank (DNB) volgt het EBA-statement. Daarmee maken de toezichthouders een einde aan aanhoudende onzekerheid rond de betaalrichtlijn.

Gerelateerde publicaties over online betalen en SCA:

Het kennis- en informatieplatform Internetkassa.nu heeft verschillende publicaties geschreven over PSD2 en Strong Customer Authentication (SCA), om webwinkeliers te informeren over komende veranderingen in het (internationale) betalingsverkeer.

Payment Service Provider (PSP) is klaar voor SCA

Een payment provider (PSP) moet er voor zorgen dat haar betaalsystemen op tijd voldoen aan de voorwaarden voor SCA. Door het betaalverkeer uit te besteden aan een gecertificeerd betaaldienstverlener voldoe je als ondernemer dus altijd aan de regels.

Er zijn verschillende PSP’s die betaaldiensten voor webwinkeliers kunnen verzorgen:

Disclaimer: De informatie die we hier verstrekken is met zorg opgesteld en beschouwden wij geldig en volledig op het moment van schrijven. Niettemin is Internetkassa.nu niet aansprakelijk voor mogelijk vergissingen of een verkeerde voorstelling van zaken.