De waarheid over Strong Customer Authentication (SCA)

De waarheid over Strong Customer Authentication (SCA)

Article
August 19, 2021
De waarheid over Strong Customer Authentication (SCA)

Sterke Klantauthenticatie komt eraan en wordt – met de nodige hoofdbrekens – op 14 september 2019 ingevoerd. De aanstaande implementatie van SCA is onderdeel van de herziene Richtlijn Betaaldiensten (PSD2) die op 18 januari 2018 van kracht werd.

 Aanbevolen lectuur Een uitleg van de herziene Richtlijn Betaaldiensten (PSD2).  

Wat is sterke klantauthenticatie precies?

De herziene Richtlijn Betaaldiensten (PSD2) bepaalt dat betalingen veiliger moeten worden gemaakt en dat platforms open moeten staan voor integratie. SCA verwijst specifiek naar de manier waarop betalingen veiliger worden gemaakt. Vanaf 14 september moeten online shoppers hun identiteit verifiëren door twee van de drie vereiste elementen te delen:

  • Iets wat ze weten (wachtwoord, pincode, geheim feit)
  • Iets wat ze bezitten (telefoon, wearable, hardwaretoken)
  • Iets wat ze zijn (vingerafdruk-ID, gezichts-ID, stem-ID, retinascan)

Tot op heden was het standaard hulpmiddel om de authenticiteit van online transacties te verifiëren het 3D Secure 1.0-systeem (3DS1). Om deze sterkere vorm van authenticatie mogelijk te maken, was een update van het 3D Secure-systeem van 1.0 naar 2.0 noodzakelijk. Dus nu, samen met de introductie van SCA, adopteren kaartschema's 3DS2 om beter te voldoen aan SCA.

Laat je niet verdwalen in de afkortingenjungle. Het wordt vrij duidelijk zodra je ziet hoe ze allemaal met elkaar verbonden zijn:

  • PSD2 ⇒ Een richtlijn die het algemene doel van open bankieren, gegevensdeling en beveiliging beschrijft
  • SCA ⇒ Een PSD2-vereiste die stelt dat twee van de drie elementen nodig zijn voor authenticatie
  • 3DS2 ⇒ De authenticatietool die naleving van SCA mogelijk maakt

SCA zorgt voor frictie en schaadt de conversie

Wat betekent SCA dan voor bedrijven? SCA is geweldig omdat het betalingen veiliger maakt en bedrijven een voorsprong geeft in de strijd tegen fraude. U moet echter wel op de hoogte zijn van de nadelen. SCA voegt frictie toe aan de winkelervaring. Gebruikers waren net gewend geraakt aan online winkelen en nu moeten ze nieuwe trucs leren, zoals het gebruik van biometrie bij het afrekenen. Er is geen ontkomen aan. Europese banken zullen verplicht zijn betalingen te weigeren die niet voldoen aan de SCA-standaard.

Terwijl we wachten op 3DS2, kijken we naar 3DS1. In april 2019 publiceerde Ravelin een schokkend rapport over de effecten van 3D Secure. Na analyse van miljoenen wereldwijde zakelijke transacties, ontdekten ze dat 22% van de betalingen verloren gegaan als gevolg van het gebruik van 3DS.

Een studie van 451 Research suggereert dat de Europese economie waarschijnlijk €57 miljard zal mislopen in de eerste twaalf maanden nadat SCA van kracht wordt.

SCA-uitzonderingen

Gelukkig zijn er verschillende uitzonderingen op de regel. De meest voorkomende zijn:

Transacties (deels) buiten de EER
Om SCA van toepassing te laten zijn op internationale transacties, moeten beide landen (dat van de gebruiker en de verkoper) zich binnen de EER bevinden. Met andere woorden, een transactie tussen een gebruiker in de VS en een Duitse e-commerce website is vrijgesteld van SCA. Sommige Europese banken kunnen er echter voor kiezen om SCA toch toe te passen.

Mensen verwijzen vaak naar PSD2, AVG, SCA enz. als Europees. Europa is echter niet synoniem met de Europese Unie en de Unie dekt het ook niet helemaal. SCA is van toepassing op alle bedrijven die actief zijn binnen de Europese Economische Ruimte (EER). Dat zijn de Europese Unie, plus IJsland, Liechtenstein en Noorwegen. Merk op dat Zwitserland geen deel uitmaakt van de EER.

Lage transactiewaarde
Bovendien zijn transacties met een waarde onder de €30 vrijgesteld van SCA.

Laag transactierisico
Uitgevende banken of acquirers kunnen een vrijstelling aanvragen voor laagrisicobetalingen op basis van Transactierisicoanalyse (TRA). Om voor de vrijstelling in aanmerking te komen, moeten de fraudecijfers voor online kaartbetalingen tussen één en zes basispunten liggen.

Vertrouwde begunstigden
Na het voltooien van een betaling met SCA, kunnen gebruikers steeds vaker vertrouwde verkopers op een witte lijst plaatsen. De volgende keer dat een aankoop wordt gedaan, wordt SCA omzeild. Whitelisting zal gebruikelijker worden naarmate meer kaartuitgevers dit gaan ondersteunen.

Uitgesloten / Buiten scope

De volgende transacties zijn uitgesloten van SCA, aangezien ze buiten het toepassingsgebied van de regelgeving vallen:

  • MOTO: Transacties die telefonisch worden voltooid of via postorder.
  • MIT: Door de verkoper geïnitieerde transacties (MIT) zoals terugkerende betalingen of abonnementen.

Frictionless flow en verschuiving van de aansprakelijkheid voor chargebacks

De Payment Services Directive (PSD2) bevat bepalingen die verkopers in staat stellen de impact van SCA op de consumentenervaring te verzachten. Eén zo'n bepaling is 'frictionless flow'.

Frictionless flow maakt het mogelijk om SCA-maatregelen te omzeilen. Met andere woorden, in aanmerking komende verkopers kunnen hun consumenten een afrekenervaring bieden zonder extra wrijving.

Frictionless flow kan alleen worden toegepast op transacties die aan bepaalde criteria voldoen; de omvang van de aankoop in verhouding tot het fraudecijfer van de verkoper (acquirer).

Bijvoorbeeld, voor transacties tot €100 is frictionless flow alleen toegestaan als het fraudecijfer minder dan 0,13% bedraagt. Voor transacties tot €250 en €500 is de fraudelimiet vastgesteld op respectievelijk 0,06% en 0,01%.

Frictionless flow is zeer voordelig voor in aanmerking komende verkopers, aangezien het het risico op winkelwagenverlating minimaliseert. Echter, de verkoper is aansprakelijk voor eventuele chargebacks die via frictionless flow plaatsvinden.

Toch is er een uitzondering. Als een uitgevende bank een transactie niet vertrouwt en weigert frictionless flow toe te staan, krijgt de consument een authenticatie-uitdaging voorgelegd. Als de consument de uitdaging doorstaat, verschuift de aansprakelijkheid voor de chargeback naar de uitgevende bank.

Aanvullende achtergrond

Het navigeren door het steeds veranderende landschap van online betalingen vereist dat bedrijven en consumenten op de hoogte blijven van belangrijke ontwikkelingen op het gebied van betalingsbeveiliging. Een cruciaal aspect hiervan is de naleving van de vereisten voor sterke cliëntauthenticatie (Strong Customer Authentication) die zijn opgelegd door de Europese Bankautoriteit. Deze standaarden beïnvloeden zowel de bedrijfsvoering van betalingsdienstaanbieders als de interacties van gebruikers, met name die via mobiele apparaten.

Voor elke betalingsdienstaanbieder is het cruciaal om op de hoogte te blijven van de regelgeving. Zij moeten beveiligingsmaatregelen treffen die een robuust authenticatieproces waarborgen. Het genereren van een unieke authenticatiecode voor elke transactie zorgt bijvoorbeeld voor de geldigheid van elke betaling. Bovendien moeten betalingsdienstaanbieders authenticatieverzoeken correct afhandelen, wat soepele en veilige transacties garandeert.

Elektronische betalingen via mobiele apparaten vereisen speciale aandacht, aangezien mobiele kanalen vaak te maken hebben met unieke beveiligingsuitdagingen. Of het nu gaat om persoonlijke of zakelijke betalingen, eindgebruikers vertrouwen sterk op hun mobiele telefoon voor gemak. Dit betekent dat betalingsverwerkers maatregelen moeten implementeren om ervoor te zorgen dat deze platforms veilig zijn.

Samenvattend is het begrijpen van het veranderende landschap van betalingsbeveiliging van vitaal belang voor zowel consumenten als bedrijven. Door te voldoen aan de vereisten voor sterke cliëntauthenticatie die zijn opgesteld door de Europese Bankautoriteit, kunnen bedrijven veilige en naadloze betaalervaringen blijven aanbieden.

Wat kunnen bedrijven doen om de impact te verzachten?

Uiteindelijk beïnvloeden conversies uw bedrijfsresultaat. Het is van het grootste belang dat bezoekers hun aankopen zoals bedoeld uitvoeren, ongeacht de nieuwe authenticatiemaatregelen. Daarom is het beste wat u kunt doen er open over zijn.

Omarm het. Informeert uw gebruikers dat u trots bent een veilige winkelervaring te bieden. Vertel uw klanten dat afrekenen zo veilig mogelijk is dankzij uw naleving van de nieuwste standaarden. Vertel het ze vooral vroeg, wacht niet tot ze in de afrekenfase zijn.

Bepaalde betaalmethoden zijn van nature (op zichzelf) SCA-proof, bijvoorbeeld Apple Pay en Google Pay. Beide combineren al de 'bezit'- en 'zijn'-elementen. Het gebruik van een betaalmethode zoals Apple Pay vermindert daarom automatisch de ervaren frictie.

Tot slot is het beste wat u kunt doen, u te verbinden met een expert op het gebied van betalingen. Weet u niet zeker of uw betaaltransacties voldoen aan de SCA-standaard? Op zoek naar een partner die lokale betaalmethoden aanbiedt waar Europeanen van houden en op vertrouwen? Alphacomm kan helpen. Neem contact met ons op!

Vragen? Neem contact op!

Voor aanvullende informatie of vragen met betrekking tot Strong Customer Authentication (SCA), kunt u gerust contact met ons opnemen.

Heading here
Heading here
Heading here
Heading here
Heading here
Adres
Scheepmakerspassage 183
3011 VH Rotterdam
Nederland
Support
Dien een supportticket in
Contact
Juridisch
Privacybeleid
Cookiebeleid
Algemene voorwaarden
Sociale media
© Auteursrecht Alphacomm B.V.

Door op "Accepteren" te klikken, gaat u akkoord met het opslaan van cookies op uw apparaat om de sitenavigatie te verbeteren, het sitegebruik te analyseren en onze marketinginspanningen te ondersteunen. Bekijk ons Privacybeleid voor meer informatie.

VoorkeurenWeigerenAccepteren
Bedankt! Uw inzending is ontvangen!
Er is iets misgegaan bij het verzenden van het formulier.