Hoe voorkom je afgewezen (card)transacties onder SCA?

Strong Customer Authentication (SCA)

PSD2 blijft de gemoederen bezighouden. Ditmaal gaat het niet over de strijd tussen Fintech’s en banken of het bevorderen van concurrentie op het payments-speelveld, maar over Strong Customer Authentication (SCA). Algemeen wordt aangenomen dat de invoering van SCA gepaard zal gaan met de nodige chaos, vooral op het gebied van creditcard-betalingen. Hoe voorkom je als ondernemer dat je in de problemen raakt door een verscherpte klantauthenticatie?

Strong Customer Authentication (SCA)

Strong Customer Authentication (SCA) is een onderdeel van de vernieuwde betaalrichtlijn PSD2, en richt zich op een sterke klantauthenticatie voor online betalingen boven de €30. Deze extra beveiliging van online transacties moet Europese consumenten beter beschermen tegen online fraude. Een extra authenticatie-laag moet hier in voorzien, bijvoorbeeld in de combinatie van bezit (smartphone of pinpas) en kennis (pincode of vingerafdruk).

‘Mogelijke schade door invoering SCA bedraagt 57 miljard euro’

Tegelijkertijd moet deze beveiliging ondernemers beschermen tegen frauduleus gebruik van betaalopties in de webshop, en daarmee dus onnodige kosten voorkomen. Maar met een chaotische invoering wordt de ondernemer alleen maar op kosten gejaagd, zo verwacht payment provider Stripe. Een woordvoerder laat Internetkassa.nu weten dat de impact van SCA op de Europese economie niet genoeg kan worden benadrukt. “The impact of SCA on the European online economy and the ordinary consumer cannot be overstated. A recent study, conducted by 451 Research and commissioned by Stripe, estimated that Europe stands to lose €57 billion in economic activity within the first 12 months of the regulation taking effect.” Dit bedrag is ruim het dubbele van de totale e-commerce-omzet van Nederland in 2018.

‘Ik verwacht dat alle retailers die met de creditcard werken een knauw krijgen’, zo liet Just Hasselaar van Thuiswinkel.org eerder al eens optekenen tegenover het FD. En die zorg is niet geheel onterecht, want de nieuwe beveiligingsprotocollen zullen mogelijk voor een sterk verhoogd aantal afgewezen transacties in de webshop leiden. “Het doel van SCA is meer vertrouwen wekken bij de consumenten waardoor er uiteindelijk minder declined payments zijn”, verduidelijkt Maurits Dekker van psp Buckaroo desgevraagd. “De praktijk moet gaan uitwijzen of dit zo is.”

“Het doel van SCA is meer vertrouwen wekken bij de consumenten waardoor er uiteindelijk minder declined payments zijn, de praktijk moet gaan uitwijzen of dit zo is.” – Maurits Dekker, CCO bij psp Buckaroo

 

‘Psp’s zijn op hun beurt weer afhankelijk van issuers’

Omdat veel ondernemers het betalingsverkeer laten verzorgen door partijen als Buckaroo of Stripe zijn zij afhankelijk van de veiligheidsprotocollen die de payment provider (psp) ondersteunt. Deze psp’s zijn op hun beurt weer afhankelijk van de kaartuitgevende instanties (de issuers), de banken dus. De vernieuwde beveiligingsmethode 3-D Secure 2.0 is zo’n aangescherpte authenticatie-methode, en bij Buckaroo verwacht men deze functionaliteit in september voor ondernemers te kunnen ondersteunen. “Als de issuer (kaartverstrekker aan consument, red.) het ondersteunt dan geven we zoveel mogelijk informatie uit om ervoor te zorgen dat het betaalproces aan de kant van de creditcardmaatschappij soepel verloopt”, aldus Dekker. “Meerwaarde van ons als PSP is dat wanneer 3-D secure 2.0 mogelijk is, wij de autorisatie van de betaling volgens deze route zullen laten verlopen. En dat is in elk geval al een verbetering.”

‘Soms is de extra veiligheidsstap niet nodig’

Ook Stripe is volgens eigen zeggen klaar voor de invoering van SCA. “Wij ondersteunen nu al end-to-end compliance en een dynamische SCA-toepassing om frictie en afgewezen betaling te minimaliseren”, zo stelt Stripe-woordvoerder Klaas Flechsig. “Naast het ondersteunen van nieuwe verificatiemethoden zoals 3-D Secure 2.0, geloven we dat succesvolle beoordeling van ‘uitgezonderde betalingen’ van groot belang zal zijn voor een optimale conversie voor ondernemers.”

Strong Customer Authentication (SCA)

‘Hoe verloopt de betaalflow met SCA?’- Bron: Buckaroo

Welke uitzonderingen gelden er op SCA?

SCA is verplicht voor alle online transacties, maar er zijn uitzonderingen. Bijvoorbeeld in geval van low-risk payments of een transactie met een bedrag lager dan €30. In dat geval neemt het aantal keren dat een klant SCA moet worden geverifieerd af. Een psp kan in dat geval haar haar checkout-proces aanpassen, zodat webshops volledig gebruik kunnen maken van uitzonderingen om de conversie niet te belemmeren.

Maurits Dekker van Buckaroo onderstreept dit. “Soms is de extra veiligheidsstap niet nodig. Bijvoorbeeld wanneer er al eerder een aankoop is geweest met dezelfde kaart. Buckaroo houdt rekening met dit soort uitzonderingen binnen 3DS 2.0.”

“Stripe is ready for SCA, offering end to end compliance and dynamic SCA exemption management to reduce friction and optimize conversion for merchants” – Klaas Flechsig, woordvoerder Stripe

‘Dynamische toepassing van 3-D Secure 2.0’

Bij Stripe verwacht men evenwel dat er verschillen zullen zijn in hoe nationale toezichthouders en zelfs individuele banken deze ‘uitgezonderde transacties’ zullen beoordelen en verwerken. Om die complexiteit het hoofd te bieden zijn psp’s momenteel druk doende hun systemen aan te passen naar de vernieuwde veiligheidseisen. Bij Stripe hebben ze daarvoor een volledig nieuwe API uitgerold, Payment Intents genaamd. “Deze API voorziet in een dynamische toepassing van een uitzondering op de juiste betalingen en activeert 3-D secure 2.0 wanneer de transactie daarom vraagt.” De checkout van Stripe, maar ook een extra feature als Stripe Billing, zijn bovenop deze nieuwe API gebouwd en kunnen de nieuwe authenticatiestappen ook dynamisch toepassen.

Ook Buckaroo zal ervoor zorgen dat alle wijzigingen die nodig zijn om te voldoen aan de nieuwe richtlijn worden doorgevoerd in het checkout-proces, al benadrukt Dekker opnieuw dat zij daarbij afhankelijk zijn van andere partijen. “De issuer is uiteindelijk de beslissende factor. Begrijpelijk, want bij hen ligt ook de verantwoordelijkheid van een veilige en succesvolle betaling. Als PSP acteert Buckaroo als gateway voor het aanroepen van de 3-D secure protocol.”

‘Invoering SCA op creditcardbetalingen opgeschort’

De voorgenomen datum tot inwerkingtreding van SCA is 14 september 2019, maar die datum staat inmiddels onder druk van onder meer de Europese bankenautoriteit (EBA) alweer op de tocht. Ook Betaalvereniging Nederland, de Nederlandse betaaldienstverleners en webwinkeliers pleiten gezamenlijk voor zo’n opschorting van de regels. “De wet zal per 14 september worden ingevoerd, daar wordt niet aan getornd, maar betaaldienstverleners en webwinkeliers kunnen pleiten voor een opschorting; een periode waarin de wet onder strikte voorwaarden niet volledig wordt gehandhaafd”, zo liet Gijs Boudewijn, adjunct directeur van Betaalvereniging Nederland, eerder aan Internetkassa.nu aan weten.

‘Ondernemer hoeft in de meeste gevallen niets te doen omtrent SCA’

De termijn waarbinnen ‘de wet voor creditcard-betalingen onder strikte voorwaarden niet volledig wordt gehandhaafd’ is nog niet bekend, maar het lijkt er sterk op dat de nieuwe regels op creditcard-betalingen wat later van toepassing zullen zijn. Ondanks deze onduidelijkheid, benadrukt Dekker dat online retailers zelf niets hoeven aan te passen omtrent de invoering van SCA. “Belangrijk is om te vermelden dat merchants – die aangesloten zijn bij Buckaroo– in elk geval in de meeste gevallen niets hoeven te doen.”

Update

Inmiddels is bekend dat de Europese Bank Autoriteit (EBA) officieel heeft besloten de deadline voor het handhaven van SCA op te schuiven naar 31 december 2020. De Nederlandsche Bank (DNB) laat tegenover website NederlandFintech.nl weten zich te conformeren naar dit standpunt, waardoor bedrijven en (financiële) instellingen krijgen langer de tijd om hun systemen volledig af te stemmen op Strong Customer Authentication (SCA).

Gerelateerde publicaties over online betalen, SCA en PSD2: