Wat is Strong Customer Authentication (SCA)?

Sinds 14 september 2019 is PSD2 van kracht. Het is een afkorting voor Payment Service Directive 2, de Europese wetgeving op het gebied van betalingsverkeer. Strong Customer Authentication (SCA) is een onderdeel van deze wetgeving. SCA geldt voor alle online betalingen waarbij zowel de verkopende partij als de koper uit de Europese Economische Area komen.

Update: SCA is vanaf 31 december 2020 verplicht. Ben je aangesloten bij Buckaroo? Dan voldoe je vanaf dan automatisch aan de richtlijnen. Er is hiervoor geen actie vereist.

Waarom wordt SCA ingevoerd?

Deze nieuwe regel is bedoeld om Europese consumenten te beschermen tegen online fraude, dat miljoenen euro’s aan schade oplevert. De verwachting is dat de Europese e-commercemarkt zal groeien tot bijna 900 miljard euro in 2022.[1] En daarmee zal ook de online fraude toenemen. De Europese Centrale Bank schat dat er op dit moment jaarlijks voor 1,3 miljard dollar aan online fraude [2] wordt gepleegd met creditcards. Aangezien fraudeurs steeds geraffineerder te werk gaan is van belang dat wetgeving niet achterblijft. Strong Customer Authentication maakt betalingen veiliger.

Drie levels van SCA

SCA vereist dat er bij online creditcardbetalingen een (extra) authenticatiestap moet plaatsvinden. Waar tot voor kort het creditcardnummer en de CVC-code voldoende waren, moeten daar nu extra authenticatiemethode worden toegepast, zodat je op minstens 2 authenticatielevels de betaling beveiligd.

Minimalisering van terugboekingsrisico's

Terugboekingen vormen een veelvoorkomend probleem voor webshops met als gevolg mogelijk omzetverlies. Cryptobetalingen bieden webshops meer gemoedsrust vanwege het lagere risico op terugboekingen. Crypto-transacties zijn namelijk onomkeerbaar, wat betekent dat u zich geen zorgen hoeft te maken over terugboekingen en/of fraude.

Strong Customer Authenticatie vraagt om:
  1. Iets dat je weet (wachtwoord of pincode)
  2. Iets dat je bezit (telefoon of hardware token)
  3. Iets dat je bent (vingerafdruk of gezichtsherkenning)

Het traditionele wachtwoord (iets dat je weet), kunnen consumenten verruilen voor een vingerafdruk (iets wie je bent) via hun smartphone (iets dat je hebt). Deze 2-stapsbevestiging wordt ook wel ‘Two Factor Authentication’ of ‘2FA’ genoemd.

Creditcardmaatschappijen zoals VISA en Mastercard hebben op dit moment al een eigen variant op 2FA, namelijk 3D Secure 1.0. Tijdens het betaalproces worden consumenten bij een creditcardbetaling doorgeleid naar een omgeving waar een pincode of wachtwoord moet worden ingevuld. Dit leidt vaak tot onnodig conversieverlies.

Als onderdeel van PSD2 wordt daarom 3-D Secure 2.0 ingevoerd. Consumenten ronden de betaling bijvoorbeeld af met een vingerafdruk of met gezichtsherkenning op hun telefoon. Deze nieuwe 3-D Secure variant maakt het dus mogelijk om de authenticatiecheck sneller/makkelijker te doorlopen. De verantwoordelijkheid voor de implementatie van een extra authenticatiemoment ligt bij de issuing bank, oftewel de bank die de creditcard heeft uitgegeven. Buckaroo zal als Payment Service Provider - waar dat kan - zorgdragen voor een frictieloos betaalproces. Dit gebeurt onder andere door eerst te checken of 3-D secure 2.0 wel nodig is, want er zijn uitzonderingen.

Welke uitzonderingen gelden er op SCA?

SCA is verplicht voor alle online transacties, maar er zijn uitzonderingen. Bijvoorbeeld in geval van low-risk payments neemt het aantal keren dat een klant SCA moet worden geverifieerd af. Buckaroo zal haar check-out proces aanpassen, zodat webshops volledig gebruik kunnen maken van uitzonderingen om de conversie niet te belemmeren.

 

De meest relevante uitzonderingen zijn:

  • Betalingen met een laag risico
    Gebaseerd op risicoanalyse uitgevoerd door de betaalverwerker.
  • Betalingen lager dan 30 euro
    Zijn er echter meer dan 5 betalingen of komt het totaalbedrag boven de 100 euro? Dan dient alsnog te worden voldaan aan SCA.
  • Abonnement of herhaalbetalingen van hetzelfde bedrag aan dezelfde organisatie? Dan hoeft alleen de eerste betaling te voldoen aan SCA.
  • Betalingen geïnitieerd vanuit de verkoper
    Denk aan abonnementen en automatische incasso op de creditcard. Alleen de eerste betaling heeft SCA nodig. Maar de bank van de betalende partij besluit of SCA nodig is of niet.
  • Vertrouwde ontvangers die consumenten zelf kunnen aanvinken na het afronden van een betaling. Deze lijst met zogenaamde ‘trusted beneficiaries’ wordt beheerd door de bank van de consument of via de payment service provider.
  • Interregionale transacties, waarbij of de issuer of acquirer van buiten de EU komen vallen niet onder de PSD2-regelgeving. Een creditcard uit Amerika kan dus een uitzondering opleveren.

Hoe verloopt de betaalflow met SCA?

Wanneer een consument kiest voor ‘betalen met creditcard’. Dan doet Buckaroo een check om te kijken of er SCA toegepast dient te worden of niet. Of SCA nodig is hangt af van de creditcard én de uitzonderingen. Het blijft echter aan de issuing bank om te bepalen of de uitzondering wordt geaccepteerd. De betaalflow (met of zonder SCA) ziet er schematisch zo uit:

Schema Strong Customer Authentication (Csa)

Wat moet ik als webshop of online verkoper doen omtrent SCA?

Online retailers hoeven zelf niets aan te passen. Buckaroo zal ervoor zorgen dat alle wijzigingen die nodig zijn om te voldoen aan de nieuwe richtlijn worden doorgevoerd in het check-out proces. We zullen - daar waar mogelijk - uitzonderingen toepassen op Strong Customer Authentication, om het afrekenproces soepel te laten verlopen.

 

 

 

[1] https://451research.com/451-research-s-global-unified-commerce-forecast-uncovers-dramatic-shifts-in-consumer-spending-patterns
[2] https://www.ecb.europa.eu/pub/cardfraud/html/ecb.cardfraudreport201809.en.html

 

*N.B. De inhoud van de blogpost is gebaseerd op de officiele PSD2-richtlijn.