Nog een kleine maand tot livegang. Ben jij al klaar voor SCA?

Een artikel van business partner PAY.

Logo van PAY. met log Thuiswinkel Business Partners rechtsonderin

Strong Customer Authentication (SCA) wordt ook wel two-factor authenticatie (2FA) genoemd en is bedacht om consumenten nog beter te beschermen tegen fraude. Een goed voorbeeld hiervan is iDEAL. Vanuit je desktop voer je een betaling uit die je met een ander apparaat valideert. Dit kan bijvoorbeeld een random reader zijn van de Rabobank, een TAN-code of een ander soort identifier (app). Tegenwoordig zie je met de opkomst van de iDEAL QR dat ook steeds vaker de mobiele app wordt gebruikt als tweede validator. En vanaf 14 september 2019 is elke webwinkel verplicht om deze manier van betalen aan te bieden.

Wat is het probleem?

Met SCA wordt het betalingsverkeer in beginsel allemaal wat strakker en daardoor veiliger. Het is echter mogelijk om via slimme techniek, met bewezen succes (lage fraude) gebruik te maken van uitzonderingen (exemptions), waardoor een kaarthouder toch zo soepel mogelijk kan betalen. Om van deze opties gebruik te kunnen maken, moeten banken hun beveiligingsmethoden en techniek aanpassen. Hiervoor is 3D Secure 2.X geïntroduceerd. Veel banken zijn echter nog niet in staat om de kenmerken en exemptions die bij betalingen worden meegegeven goed te interpreteren. Met andere woorden: ze zijn nog niet klaar voor 3Dsecure 2.X.

Ondernemers verwachten dat zonder deze mogelijkheden alle partijen telkens een volledige autorisatie moeten uitvoeren. De markt is daardoor lichtelijk in paniek, omdat sommige kaartuitgevende banken (issuers) geen 3D Secure ondersteunen en veel kaarthouders 3D Secure niet gewend zijn. De gebruikerservaring wordt met de komst van SCA dus enorm veranderd.

Wie zijn verantwoordelijk en wat doen ze met deze signalen?

De lobbymachine in Europa draait ondertussen op volle toeren en Thuiswinkel.org draagt daar haar steentje aan bij (zie kader onderaan artikel). Het doel is om uitstel te vragen op de SCA-richtlijnen binnen de PSD2-wetgeving. Zo kunnen financiële instellingen zich technisch beter voorbereiden. De Europese Bankenautoriteit (EBA) heeft als overkoepelende toezichthouder al aangegeven dat de nationale toezichthouders – bij wijze van uitzondering en om onbedoelde negatieve gevolgen voor sommige gebruikers van betalingsdiensten na 14 september 2019 te voorkomen – kunnen besluiten om samen te werken met betalingsdienstaanbieders en belanghebbenden om in beperkte extra tijd te voorzien.

Ondertussen hebben Denemarken en Frankrijk al uitstel verleend. Duitsland, Ierland en Verenigd Koninkrijk stellen de invoering van de SCA-regel tot nader order uit en gaat zelfs al uit van een transitieperiode van 18 maanden. De Nederlandsche Bank (DNB) acht ook uitstel nodig, maar wacht op de EBA aangezien zij een duidelijk migratieplan wil op een Europees niveau met een gelijk speelveld. Of en zo ja, voor hoelang Nederland uitstel verleent, is dus nog onbekend.

Olaf Kok, Founder & COO van PAY.: “Uitstel is geen afstel. Er zal een moment komen dat de SCA-regels moeten worden geïmplementeerd, maar een periode van uitstel geeft de banken en consumenten meer tijd om te wennen, zodat de (tijdelijke) impact kleiner wordt."

Opinie van PAY.

Fraudepreventie is een gezamenlijke uitdaging; zowel de ondernemer en de issuer dienen hun steentje bij te dragen. De ondernemer kan hiervoor een moderne payment service provider (PSP) inzetten, zoals PAY. Deze kan tenslotte een goede risico-inventarisatie maken, vaak beter dan de issuer. De rol van de PSP zou hierin, bij bewezen succes, meer erkend worden. Indien de PSP zorgdraagt voor een lage frauderatio, zou zij ook de diepgang van autorisatie moeten kunnen bepalen, met bijbehorende risico’s voor de merchant.

Uiteindelijk kan de beste fraudeprotectie inderdaad bij de issuer worden uitgevoerd; zij kent de kaarthouder het beste en daarnaast neemt zij ook het financiële risico. Maar de issuer kan dit alleen op het moment dat zij een vergelijkbaar fraudeprotectiesysteem in-place heeft als dat een PSP kan bieden. Met als doel: lage fraude én een soepele klantervaring.  

Door de opkomst van wallets als Alipay, WeChat en Apple Pay voldoet de betaling tegenwoordig overigens al eenvoudiger aan de SCA-eisen, ervaart de klant een soepele gebruikersflow en zien wij al bewezen lagere frauderatio’s. Dus iets meer tijd geeft ook deze opties de kans om marktaandeel te winnen.  

Het invoeren van de SCA-regel is een paardenmiddel zolang de issuers niet klaar zijn om de exemptions te verwerken, en dat terwijl de introductie van deze regel al jaren bekend was. De kracht van een PSP wordt hierdoor ondergewaardeerd.

Meer informatie?

Just Hasselaar PSD2 en SCA vormen belangrijke onderwerpen binnen digital transactions, een van de belangrijke thema's waar Thuiswinkel.org zich mee bezighoudt. Heb je vragen over dit thema, neem van contact op met Just Hasselaar (), adviseur digital transactions bij Thuiswinkel.org. Daarnaast zijn er al verschillende stukken geschreven over PSD2 en SCA. Lees hier bijvoorbeeld de blog over de SCA van Just, lees het artikel over SCA in het FD of beluister het interview op BNR met Just.