Twinkle | Digital Commerce

3D-Secure biedt webwinkelier zekerheid

2017-05-27
354223

3D-Secure moet bijdragen aan het terugdringen van online-fraude via creditcards. Sinds afgelopen mei beschikken alle Nederlandse creditcardhouders van MasterCard en Visa over dit extra ‘slot’ op hun online-betaaldeur. Wat betekent dit voor webwinkeliers?

Tekst: Mark Hemmer

Even het geheugen opfrissen: de technologie van 3D (Domain) Secure is ontwikkeld door MasterCard en Visa. Bij MasterCard heet de toepassing MasterCard SecureCode, bij Visa praat men over Verified by Visa. Maar de werkwijze is identiek. Feitelijk gaat het hier om niet meer dan een extra verificatiestap. Via een zogeheten internet-interface brengt de internetondernemer de kaarthouder in contact met de kaartuitgevende bank. De klant krijgt een scherm voor zich en moet zijn password of een one-time passcode (OTP) invoeren. Is het antwoord correct, dan wordt de transactie door de bank goedgekeurd. Het identificatieproces gebeurt geheel online en wordt mogelijk gemaakt door speciale software die de zogeheten payment service provider (PSP), de partij die in veel gevallen de betalingen voor webwinkels afhandelt, integreert met de internetkassa.

Niets nieuws
De 3D-Secure technologie is niet nieuw. Wim van Doorn, Manager Risk Management bij International Card Services (ICS, het bedrijf dat ruim twee miljoen creditcards van Visa en MasterCard in Nederland heeft uitgegeven): ‘Wij hebben 3D-Secure al vijf jaar op vrijwillige basis beschikbaar.
Sinds juli 2009 is 3D-Secure geactiveerd op al onze consumentenkaarten. Hiermee is het betalen met 3D-Secure verplicht in de webwinkels die 3D aanbieden. De reden dat het nu volop in de belangstelling staat, is dat vrijwel alle creditcarduitgevers de toepassing hebben geïmplementeerd. De laatste grote partij die dat deed, was Rabobank.’ Volgens Van Doorn zijn de reacties van consumenten wisselend. ‘Veruit de meeste consumenten zaten echt te wachten op deze extra vorm van veiligheid. Maar je hebt ook klanten die het wat minder prettig vinden en ook onhandig dat ze een extra stap moeten doorlopen.’

Aansprakelijkheid
Voor de webwinkeliers met een acquiringbank in Nederland is er evenmin weinig keus, zo blijkt uit de woorden van Jaap Schokkenkamp, relatiemanager bij Thuiswinkel.org en online-betaalspecialist van de vereniging. ‘De meeste transactieverwerkende partijen in Nederland stellen het gebruik verplicht. Buitenlandse acquiringbanken doen dit overigens niet allemaal en je ziet dus ook dat sommige webwinkeliers die bij deze banken bankieren om die reden niet meedoen.’ Webwinkeliers hebben een duidelijk voordeel als ze gebruikmaken van MasterCard SecureCode en Verified by Visa. Zij zijn niet meer aansprakelijk voor een frauduleuze transactie waarin de kaarthouder stelt dat hij niet heeft besteld (de zogeheten ‘it wasn’t me’ chargeback) en kunnen de aansprakelijkheid voor fraude neerleggen bij de bank van de kaarthouder. Dat geeft webwinkeliers zekerheid. Sander Maertens, verantwoordelijk voor de verkoop bij PSP Adyen, merkt dat zijn klanten overwegend positief zijn. ‘Kleine klanten zijn blij dat ze niet meer financieel verantwoordelijk zijn voor deze vorm van fraude. Grote klanten, die al jaren online zaken doen, weten niet beter dan dat het bestaat en maken er gebruik van.’

Schaduwzijden
Maar er zijn ook schaduwzijden aan het gebruik van deze 3D-Securetechniek. Sommige webwinkeliers vinden het lastig dat hun klanten deze extra stap moeten doorlopen. Maertens verwoordt bovendien de frustratie van webwinkeliers dat banken de invoering niet allemaal uniform hebben geregeld. ‘In theorie is het een mooi protocol. Maar het is jammer dat de banken zo verschillend opereren. Bij de Rabobank heb je een cardreader nodig, maar bij andere banken moet er een wachtwoord worden ingevuld’, aldus Maertens. Joos Lambrechtsen, eigenaar van Herensokken.nl en lid van de werkgroep Fraude en Veiligheid bij Thuiswinkel.org, vult aan: ‘Dat is voor webwinkels inderdaad lastig. Want zo is het moeilijk om de klant voor te bereiden op de stappen die hij moet nemen.’ Daarbij is de route die de consument moet afleggen om zijn identiteit te laten vaststellen nogal vaag. Lambrechtsen: ‘Allereerst wordt er gewerkt met pop-ups over het betaalscherm. En op de tweede plaats wordt de controle uitgevoerd door een externe partij met een url die niemand iets zegt. Het zou veel beter zijn om een begrijpelijke url als bijvoorbeeld “https://secure.visa.nl” te gebruiken, dan maakt het niet uit wie de controle doet. Als consument snap je dat het bij elkaar hoort. Zoals het nu gaat, roept het associaties van phishing op.’ Van Doorn heeft begrip voor deze opmerkingen: ‘Banken besteden het controleren van de wachtwoorden hoofdzakelijk uit aan een externe partij. Meestal gaat het om Arcot, een bedrijf in de VS. De kopers maken dus een uitstapje naar een site van Arcot. Ik kan me voorstellen dat dit beter kan worden uitgelegd, met een vertrouwde link daarbij. Wat ook zou helpen is dat het scherm van de webwinkel op de achtergrond zichtbaar blijft en dat op de voorgrond de informatie over de controle plaatsvindt. Dan is het voor de consument beter te begrijpen dat die twee zaken bij elkaar horen.’

Zorgen
Lambrechtsen en Schokkenkamp maken zich wel zorgen over deze schaduwzijden en vrezen dat het nadelig kan zijn voor de internetverkopen. ‘Het gevaar bestaat dat de klant het niet begrijpt of niet vertrouwt. Dat kost omzet en de klant heeft een negatieve ervaring. We moeten oppassen dat de conversie niet wordt aangetast’, stelt Lambrechtsen. Van Doorn nuanceert dit enigszins: ‘Er zijn inderdaad webwinkels die claimen dat het omzet kost. Als klanten afhaken, zien we vaak dat ze het later nog eens proberen. Het kan ook zijn dat ze een ander betaalmiddel kiezen. Wij bellen overigens klanten die afhaken wel na om te onderzoeken waarom zij hun creditcardbetaling hebben gestaakt. Dat wordt erg gewaardeerd.’ Toch zijn er webwinkeliers die de 3D-Secure bewust of onbewust niet gebruiken. Lambrechtsen: ‘Vaak is het onwetendheid over de voor- en nadelen die het afgelopen jaar flink zijn verschoven. En je moet de toepassing activeren. Daar moet je de PSP opdracht voor geven.’ Maertens weet ook dat sommige winkeliers het simpelweg niet willen. ‘Wij hebben klanten die iedere bestelling handmatig checken. Zij willen hun klanten niet vermoeien met een extra stap in het proces. Wij kunnen hierin variëren. Per land, branche en doelgroep kunnen we adviseren wat de meest optimale setting is. Uiteindelijk moet dit leiden tot de beste conversie.’

Fraudevermindering
Van Doorn is ervan overtuigd dat 3D-Secure een zinvolle beveiliging is. Volgens hem zorgt het gebruik voor een aantoonbare daling van het aantal fraudegevallen. ‘We zijn in juli vorig jaar begonnen met de grootschalige uitrol van de 3D-Secure. In het segment waar deze manier van beveiliging werkzaam is, is de fraude met negentig procent verminderd.’ Om consumenten en webwinkels te overtuigen, zijn er door MasterCard en ISC campagnes gestart die de verschillende doelgroepen informatie geven over de MasterCard SecureCode. Er is nog geen compleet beeld hoe internetondernemers de introductie van 3D-Secure ervaren. Schokkenkamp heeft de indruk dat de voorlichting goed verloopt, maar de effecten van de campagne zijn tot nu toe nog onduidelijk. ‘Om inzicht te krijgen en feeling te houden, wisselen wij ervaringen uit met onze leden. Mocht blijken dat de invoering tot problemen leidt, dan springen we voor hen in de bres. We houden in ieder geval voortdurend de vinger aan de pols.’ 

____________________

Blijf alert!
Is 3D-Secure de garantie dat fraude met creditcards tot het verleden behoort? ‘Nee!’, zeggen alle partijen. In het buitenland zijn nog lang niet alle creditcards uitgevoerd met een 3D-Secure.
Joos Lambrechtsen, eigenaar van Herensokken.nl en lid van de werkgroep Fraude en Veiligheid bij Thuiswinkel.org: ‘Mijn schatting is dat het risico op fraude met een buitenlandse creditcard op dit moment vierhonderd keer groter is dan met Nederlandse kaarten vanwege de invoering van 3D-Secure. Voor webwinkeliers die uitsluitend in Nederland leveren, is het de vraag of het verstandig is om creditcards uit de hele wereld te accepteren.’ Bovendien blijft het fenomeen ‘afleverfraude’ bestaan. ‘Hierbij gaat het om mensen die hebben besteld, maar stellen dat ze de spullen niet hebben gekregen. De webwinkelier is hiervoor verantwoordelijk en aansprakelijk. Wees daarom altijd scherp op bestellingen. Met name bij goed verhandelbare producten. Bijvoorbeeld twaalf blikjes energiedrank bij een pizza? Dat is verdacht, want overdag zijn ze in de winkel veel goedkoper. Als je een afwijkende bestelling ziet, controleer deze handmatig of  bel/mail deze eventueel na’, tipt Lambrechtsen.
____________________

Dit artikel verscheen eerder in Twinkle 6-2010.