Veiligheid is een essentieel onderdeel van online betalingen. Online fraude komt echter steeds vaker voor. Vanuit Europa wordt dan ook op allerlei manieren gekeken hoe dit probleem kan worden teruggedrongen. Eén van deze manieren is strong customer authentication (SCA), zoals vermeld in de tweede Payment Services Directive (PSD2). Vanaf 1 januari 2021 moeten organisaties zich houden aan de SCA. Wat is het en wat betekent het voor jouw webshop?
Tekst: Anouk van Rijn
PSD2 is een Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. Deze richtlijn is in elke EU-lidstaat opgenomen in de nationale wetgeving. In Nederland is PSD2 geïmplementeerd in het Burgerlijk Wetboek en de Wet op het financieel toezicht. Ook wordt PSD2 verder uitgewerkt in richtlijnen voor banken en andere bedrijven die betaaldiensten aanbieden en hun toezichthouders.
Strong customer authentication
In PSD2 wordt gesproken over ‘sterke cliëntauthenticatie’, de SCA. Bij SCA draait het erom dat er zekerheid bestaat dat de klant die een online aankoop doet en hier ook voor betaalt, daadwerkelijk deze persoon is. Wordt een creditcard gebruikt of een betaling via iDeal verricht, dan is het van belang dat de kaartgegevens ook worden gebruikt door de kaarthouder. Hoe meer je over iemand te weten komt, hoe zekerder je hierover kunt zijn.
Er zijn in totaal drie manieren om iets over jouw klant te weten te komen. PSD2 vereist dat je bij elektronisch betalen en bankieren kiest voor tenminste twee van deze controles. Daarbij kan het gaan om:
1) iets wat je bezit, zoals je telefoon, kenteken of bankpas;
2) iets wat je weet, bijvoorbeeld een pincode, wachtwoord of een geheim feit;
3) iets wat je bent, denk aan je vingerafdruk, gezichtsherkenning via Face ID of je stem.
In Nederland kennen we SCA eigenlijk al veel langer. Denk aan iDeal-betalingen, daarbij gebruik je jouw geregistreerde telefoon en je toegangscode. In het kader van PSD2 moet deze dubbele authenticatie nu dus ook gebeuren bij betalingen met creditcards.
Uitzonderingen
De juridische wereld staat bekend om zowel haar regels als de uitzonderingen daarop. Zo kent PSD2 ook een aantal uitzonderingen voor het gebruik van SCA. Relevante uitzonderingen voor een webshop zijn:
Betalingen geïnitieerd vanuit de verkoper
Wanneer een betaling wordt geïnitieerd door jouw webshop, bijvoorbeeld via een automatische incasso, moet alleen voor de eerste betaling aan SCA-verificatie worden voldaan.
Abonnementen of terugkerende transacties
Wanneer het gaat om terugkerende transacties met een vast bedrag, zijn deze vanaf de tweede transactie vrijgesteld van SCA. Vrij logisch wel, aangezien abonnementskosten of terugkerende transacties vaak automatisch worden afgeschreven. Indien het te betalen bedrag verandert, zal SCA weer nodig zijn.
Transacties met een lage waarde
Transacties onder de 30 euro zijn vrijgesteld van SCA. Deze vrijstelling is beperkt en SCA wordt door de bank altijd vereist als een klant vijf van deze transacties achter elkaar uitvoert of als de som van zijn transacties een waarde bereikt van meer dan 100 euro.
Transacties met een laag risico
Daarnaast zijn transacties met een laag risico vrijgesteld van SCA. De vraag is natuurlijk hoe je een betaling kunt bestempelen als zijnde een ‘laag risico’. Dit bepaalt de bank die de betaling verwerkt. Het dient te worden gebaseerd op het gemiddelde fraudeniveau van de kaartuitgever die de transactie verwerkt en de acquirer (de verwerker van de transactie). Daarbij wordt gekeken naar het aantal fraudegemiddelden van deze partijen. Als de bank tot de conclusie komt dat dit een laag risico oplevert, kan de transactie vrijgesteld worden van SCA.
De wittelijsthandelaren
Doet een klant bijvoorbeeld regelmatig aankopen bij jouw webshop, dan heeft hij de mogelijkheid om jouw webshop toe te voegen aan de witte lijst. Daarvoor kunnen klanten zelf kiezen na het afronden van een betaling. Ook in dat geval is er geen SCA meer nodig voor deze vaste klant.
Veiligheid versus privacy
Wanneer SCA wordt gebruikt, dan worden er persoonsgegevens van klanten verzameld. In sommige gevallen zelfs bijzondere persoonsgegevens. Een voorbeeld hiervan is een Face ID. Daarbij speelt het recht op privacy, zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) een rol. De beveiliging van deze persoonsgegevens moet gewaarborgd zijn. Daarnaast zal de klant voor het gebruik van deze bijzondere persoonsgegevens expliciet om zijn toestemming gevraagd moeten worden.
Wat moeten webshops nu regelen?
Vanaf 1 januari 2021 moeten online betalingen te allen tijde met tweestapsverificatie te worden voltooid, genoemde uitzonderingen daargelaten. Voldoet een betalingstransactie niet aan de voorwaarden van de SCA, dan kan de bank de transactie weigeren.
Onderzoek dan ook eerst of voor jouw webshop SCA nodig is. Als dat zo is, dan moet er voor een betaaltechniek worden gekozen die voldoet aan de SCA-vereisten. In Europa wordt 3D Secure als tweestapsverificatie het meest toegepast. Dit komt doordat de twee grootste kaartaanbieders van Europa, Visa en MasterCard, 3D Secure gebruiken. Het is verstandig om daarnaast ook bekende betaalmethoden zoals Google Pay of Apple Pay te ondersteunen. Daarmee zullen jouw klanten al snel aan SCA voldoen zonder dat ze dat zelf doorhebben. Om deze diensten te kunnen gebruiken moeten zij zich namelijk al identificeren.
Uiteindelijk is het belangrijk om voldoende onderzoek te doen naar de geschikte SCA-methode voor jouw webshop en deze voor 1 januari 2021 te implementeren. Deze dubbele controle is niet alleen bedoeld om fraude tegen te gaan, maar zorgt er ook voor dat de algemene veiligheid van online betalingen wordt versterkt!
Anouk van Rijn is juridisch adviseur bij ICTRecht.
Er is op dit moment 0 keer gereageerd op:
Strong customer authentication voor je webshop
Je kunt niet meer reageren op dit artikel.