Op 14 september zijn de Regulatory
Technical Standards (RTS) in Nederland in werking getreden. Deze standaarden
geven invullen aan bepaalde technische voorschriften waar betaaldienstverleners
zich sinds de komst van de Payment Services Directive (PSD2) aan moeten houden. Hieronder valt ook de sterke cliëntauthenticatie oftewel de Strong Customer
Authentication (SCA).
In een aantal landen binnen de
Europese Economische Ruimte, zoals Frankrijk, Denemarken en het Verenigd
Koninkrijk, is de implementatie van SCA uitgesteld. In Nederland is dit niet
het geval, maar De Nederlandsche Bank heeft eerder dit jaar wel aangekondigd dat
partijen extra tijd krijgen voor het invoeren van SCA ten aanzien van online
creditcardtransacties. Het is onduidelijk hoeveel extra tijd partijen hiervoor krijgen.
In deze blog zal ik kort
ingaan op de vraag wat SCA inhoudt, in welke gevallen aan de eisen van SCA moet
worden voldaan en wat we hier in Nederland van gaan merken.
Wat
is SCA?
Strong Customer Authentication
is een authenticatieproces waarmee de identiteit van de gebruiker van de betaaldienst
wordt gevalideerd, waarbij een hoog beveiligingsniveau wordt gegarandeerd. Het
doel hiervan is fraude tegen te gaan. Om te voldoen aan SCA moeten
betaaldienstverleners gebruikmaken van een tweestapsverificatie oftewel Two Factor Authentication
(2FA). Dat betekent dat zij ten minste twee van de volgende factoren moeten
combineren in het validatieproces:
–
Wetenschap (bijvoorbeeld een wachtwoord of
pincode)
–
Bezit (bijvoorbeeld een pinpas of een telefoon)
–
Inherente eigenschap (bijvoorbeeld een
vingerafdruk of gezichtsherkenning)
De twee factoren samen moeten
resulteren in een authenticatiecode, waarmee de identiteit van de betaler kan
worden geverifieerd.
Waarvoor
moet SCA worden gebruikt?
SCA moet worden gebruikt
wanneer iemand toegang wil tot zijn betaalrekening of een online betaling
initieert, gebruik maakt van een communicatiemiddel op afstand, een online
betalingstransactie op afstand initieert of gebruik maakt van een betaaldienst
van een betaaldienstverlener onder PSD2. Onder de noemer betaaldienstverleners
vallen zowel de rekeninginformatiedienstverleners (denk aan aanbieders van een
huishoudboekje) als de betaalinitiatiedienstverleners. Naast
betaaldienstverleners is het ook voor webshops van belang om bekend te zijn met
deze nieuwe eisen, want online betalingen die niet voldoen aan SCA kunnen door
banken worden geweigerd.
Er bestaan overigens ook gevallen
waarin SCA niet nodig is, zoals:
–
Betalingen tussen rekeningen van dezelfde natuurlijke
persoon of rechtspersoon;
–
Betalingen van kleine bedragen (onder de 30
euro);
–
Abonnementen of herhaalbetalingen (alleen de
eerste moet via SCA worden gedaan);
–
Betalingen geïnitieerd vanuit de verkoper
(automatische incasso’s);
–
Vertrouwde ontvangers (dit kan de betaler zelf
aangeven);
–
Checken van saldo en betalingstransacties van
de laatste 90 dagen (de eerste keer moet wel via SCA toegang worden gegeven);
–
Contactloze betalingen (onder een aantal
voorwaarden);
–
Betalingen via onbemande betaalautomaten voor
vervoerbewijzen en parkeergelden;
Wat
gaan we hiervan merken?
In Nederland wordt al veel
gebruik gemaakt van SCA. Banken gebruiken het voor toegang tot betaalrekeningen
en voor het initiëren van online betalingen. We zijn in Nederland dus al
redelijk gewend aan een tweede stap in het authenticatieproces. Daarnaast
voldoet het authenticatieproces van iDeal, een veelgebruikte betaaldienst in
Nederland, ook al aan de vereisten van SCA. Daar zal dus weinig veranderen.
Ten aanzien van creditcardtransacties
is SCA nog minder vanzelfsprekend en dat is vermoedelijk de reden dat De
Nederlandsche Bank partijen die te laat zijn met het invoeren van SCA voor
creditcardtransacties extra tijd geeft. De ‘oude’ methode voor online
creditcardbetalingen, waarbij gebruik wordt gemaakt van de combinatie van het creditcardnummer
en de CVC-code, voldoet niet aan SCA. Daarbij wordt namelijk alleen gebruik
gemaakt van informatie uit de categorie bezit en dat is voor SCA onvoldoende.
VISA en Mastercard hebben een authenticatiemethode ontwikkeld genaamd ‘3D
Secure 2.0’. Deze authenticatiemethode voldoet wel aan de eisen van SCA en is
daarmee een betrouwbare manier om creditcard betalingen te initiëren. Deze
authenticatiemethode wordt door steeds meer betaaldienstverleners gebruikt,
zoals bijvoorbeeld PayPal en Adyen.
De maatregelen zullen met name
worden genomen door de betaaldienstverleners zelf, maar het is ook voor
webshops van belang om zo snel mogelijk te checken of alle online
betaalmethoden die zij aanbieden via hun webshop voldoen aan de nieuwe vereisten van SCA.
