Hoe veilig online betalen door een betaalkastje ‘geframed’ wordt

mobiel online betaalmethoden

De discussie deed afgelopen week veel stof opwaaien; de Telegraaf maakte melding van de introductie van een ‘pasjeskastje’ voor mobiele online betalingen. Volgens de berichtgeving zou de Europese Bankenautoriteit (EBA) pleiten voor het gebruik van een betaalkastje om iedere mobiele online betaling hoger dan €10,- te bevestigen. “Apekool”, aldus Gijs Boudewijn. “De discussie wordt uit de context gehaald.”

‘Betaalkastje als extra verificatie komt er niet’

Gezien de vele vragen die wij de afgelopen week van verontruste webwinkeliers hebben ontvangen, is het goed de kou direct uit de lucht te halen; de kans dat er een betaalkastje wordt ingevoerd is zeer gering (Arnoud Engelfriet schreef daar vanuit juridisch oogpunt een interessant stuk over ), zeker voor Nederlandse online betalingen. Nederlands meest gebruikte online betaalmethode iDEAL voldoet aan de eisen van sterke authenticatie met een tweefactorauthenticatie, evenals creditcard-betalingen via Nederlandse banken (mits met 3D-Secure).

‘Betaalkastje is funest voor de conversie’

Terug naar de situatie. Hoewel het buiten kijf staat dat de invoering van een extra kastje voor authenticatie een onzalig plan zou zijn, funest voor de conversie van webwinkels en in weerwil van alle recent genomen stappen binnen de payments branche, wordt het feitelijke punt van discussie daarmee uit z’n verband getrokken.

“De nuance in de berichtgeving ontbreekt”, zo laat Gijs Boudewijn, voorzitter van Betaalvereniging Nederland, exclusief aan Internetkassa.nu weten. “Emota (een Europees Webwinkel Keurmerk, red.) ‘framed’ de discussie door te spreken over een ‘pasjeskastje’, maar dat is geen realiteit. Het is puur bedoeld om de discussie aan te zwengelen.”

Conceptadvies heeft betrekking op PSD2, en dan met name XS2A

Het klopt dat de berichtgeving over een mogelijk ‘betaalkastje’ voor authenticatie op weinig feiten gebaseerd is. EBA noemt het kastje in ieder geval nergens in haar voorstel als ‘de oplossing’.

Maar waar gaat het dan wel om? “Het advies dat de EBA hier geeft is een conceptvoorstel en heeft betrekking op de nieuwe betaalrichtlijn PSD2, en dan met name op het onderdeel Acces to the Account (XS2A)”, zo stelt Boudewijn. “Die discussie over veiligheid moet niet ‘vervuild’ raken door te wijzen op een doemscenario.”

Wat is Strong Customer Authentication?

Het gaat hier met name om de zoektocht naar een juiste en gebruiksvriendelijke toepassing van Strong Customer Authentication; technische standaarden die de veiligheid moeten waarborgen bij online betalen, zeker als het gaat om toegang tot de bankrekening (XS2A) die mogelijk is in de nieuwe PSD2.

Deze Strong Authentication is gebaseerd op 3 facetten, te weten:

  •  Bezit – bijvoorbeeld een telefoon
  •  Kennis– bijvoorbeeld een pincode
  •  Kenmerk – bijvoorbeeld biometrische kenmerken als de vingerafdruk of gezichtsherkenning, en sinds kort ook via een iris-scan

‘(mobiel) iDEAL voldoet aan Strong Customer Authentication’

Als er bij de afronding van een online betaling sprake is van tenminste 2 van de 3 bovengenoemde facetten, wordt er voldaan aan Strong Authentication. Een goed voorbeeld, volgens Boudewijn, is mobiel iDEAL. “Daarbij staat de smartphone voor ‘bezit’ en de verificatie van de betaling wordt afgerond met een pincode (‘kennis’).”

Het nu gedane voorstel van de EBA bevat de eerste technische en organisatorische maatregelen om betalen en bankieren veiliger te maken, met als uitgangpunt ‘wat kunnen we doen om online fraude Europa-breed aan te pakken?’. Het is logisch te bedenken dat een voorstel met zulke verstrekkende gevolgen niet door alle kampen met gejuich wordt ontvangen. Het vinden van de juiste balans tussen alle belangen is de moeilijkheid, getuige de pijnpunten die zo’n dossier oplevert.

EBA

Source: European Banking Authority

Hoe passen we Strong Customer Authentication toe?

Een logische vervolgvraag is de hoe-vraag; ‘hoe maken we dat mogelijk?’. En juist dat aspect moet worden bekeken vanuit de webwinkelier; veilig en gemakkelijk, maar zo min mogelijk inbreuk op de conversie. Het is dan ook zeer terecht dat er op dat terrein kritische kanttekeningen worden geplaatst door belangenverenigingen en keurmerken als Emota en Webshop Keurmerk. Zij uiten hun zorgen in het belang van de merchant.

‘Te rigide focus op alleen Strong Customer Authentication’

Een zorg die door Thuiswinkel.org gedeeld wordt. Paul Alfing, senior adviseur betalingsverkeer bij Thuiswinkel.org: “Wat ons zorgen baart in dit voorstel is de te rigide focus op Strong Customer Authentication. Voor ons is vertrouwen in de sector natuurlijk cruciaal en is het goed dat er wordt gekeken naar manieren om fraude tegen te gaan en betalingen veiliger te maken. Maar EBA houdt te sterk vast één oplossing, terwijl er verschillende methodes voor zijn. Zo geloven wij veel meer in een risk based approach, waarbij webshops klanten die vaker bestellen, herkennen en vertrouwen.“

Daarnaast is er tegenwoordig steeds meer mogelijk op het gebied van biometrie, en moet ook daar ruimte voor zijn. “Regulering moet ruimte laten voor innovatie uit de markt, goed voor gemak voor consumenten en conversie voor webwinkels.”

Gevolgen voor iDEAL gering

Hoe de voorstellen in 2018 gaan uitpakken in Nederland en Europa is nog niet precies te voorspellen, maar voor de meest gebruikte online betaalmethode iDEAL lijken de gevolgen mee te vallen. Gijs Boudewijn “Voor de Nederlandse consument heeft dit geen gevolgen. Wij betalen al veilig met iDEAL, waarbij je identiteit al is gekoppeld aan je banknummer. Wij lopen met dit soort toepassingen voorop, maar er zijn landen in Europa waar dit allemaal minder goed is geregeld. Daarom wil de EBA de regelgeving juist in die landen aanscherpen.”

Bij creditcard-transacties ligt dat wat ingewikkelder, maar ook daar is vaak al sprake van ‘twee factor authenticatie’ bij Nederlandse banken middels 3D-Secure; je hebt de betaalkaart met nummer en cvc-code, en de authenticatie verloopt via je unieke 3D-Secure wachtwoord. In dat opzicht zullen de gevolgen voor Nederland naar verwachting klein zijn.

Toch is het volgens Alfing goed dat er continu gekeken wordt hoe we het online betalingsverkeer veiliger kunnen maken, al is het onzinnig alle EU-landen over één kam te scheren. “Gezien de grote verschillen tussen de lidstaten lijkt me één algemene oplossing niet logisch. Waar in verschillende landen nog voldoende te winnen is op het gebied van veiligheid, zijn we in Nederland (bijvoorbeeld met iDEAL) al vele stappen verder.”

Definitief voorstel volgt in januari 2017

Het is overigens nog maar de vraag of deze nieuwe aanpassingen er überhaupt komen. De EBA is wel belast met het toezicht op de banken van de Europese unie, maar brengt op dit vlak alleen maar advies uit aan de Europese Commissie. Deze eerste aanzet was slechts het conceptvoorstel, in januari 2017 volgt het definitieve voorstel aan de Europese Commissie. Vervolgens moet het Europese Parlement er ook nog over beslissen.

Merchants moeten zich op daily business kunnen richten

Belangrijkste in deze is dat er uiteindelijk oplossingen komen die voor alle betrokken partijen als toegevoegde waarde worden gezien. In het belang van de webwinkelier moet de discussie daarom zo ‘zuiver’ mogelijk gevoerd worden, en niet worden vertroebeld door politieke belangen van betrokken partijen.

Webwinkeliers moeten zich kunnen richten op hun daily business, en niet bezig zijn met mogelijke ‘nieuwe authenticatiemethoden’ die in 2018 van kracht (zouden kunnen) worden. Dat is een taak voor banken en belangenbehartigers voor webshop; van de Europese onderhandelingstafel terugkomen, met de juiste oplossingen voor de achterban. Uiteraard met een scherp oog op conversie voor webwinkeliers, een branche met een steeds groter economisch belang.

Update:

Inmiddels heeft EBA de plannen concreter vorm gegeven en het definitieve voorstel aan de Europese Commissie voorgelegd. Zoals ook in bovenstaande artikel geanalyseerd ligt het uiteindelijk genuanceerder, en adviseert EBA dat de mate van klantverificatie afhankelijk zal zijn van het aankoopbedrag.