Sterke klantauthenticatie: dit moet je weten

Sterke klantauthenticatie of SCA is een beveiligingseis van de Europese Unie voor contactloze, online en mobiele betalingen. Sterke klantauthenticatie is onderdeel van de Herziene richtlijn betaaldiensten of PSD2-richtlijn, ontwikkeld om het bestaande meldingssysteem met eenmalige wachtwoorden (one-time-password of OTP) te verbeteren.
Tien jaar geleden was het gebruikelijk om klanten te vragen om hun aankoop te authenticeren met een TAN- of SMS-code. Maar de techniek voor elektronische betalingen stond niet stil en fraudeurs vonden hun weg.
De PSD2-richtlijn vereist een tweestapsidentificatie bij de check-out. Hoewel de bank van de klant belast is met de authenticatie, is het toch de verantwoordelijkheid van het e-commerce bedrijf om deze controleprocessen in te bouwen.
Wat zijn de gevolgen van deze nieuwe authenticatievereisten voor jouw bedrijf? En is minder fraude het ongemak bij de check-out waard? Laten we eens kijken.
Wanneer is de sterke klantauthenticatie ingegaan?
De Europese Bankautoriteit keurde SCA in 2019 goed, maar de nieuwe verordening trad pas op 1 januari 2021 in werking voor e-commerce in de EU. In het Verenigd Koninkrijk gold de verordening vanaf op 15 september 2021 voor face-to-face-betalingen.
Wat is een tweestapsidentificatie bij check-out?
Voor sterke klantauthenticatie dient de klantauthenticatie ten minste twee van de volgende elementen te bevatten:
- Iets dat alleen de klant weet
- Iets dat alleen de klant bezit
- Iets dat alleen de klant heeft
Iets dat alleen de klant weet
Dit kan een wachtwoord, pincode of antwoord op een specifieke vraag zijn. Meestal is het een bestaand wachtwoord of een vier- tot zescijferig nummer dat per sms wordt verstuurd.
Iets dat alleen de klant bezit
Bijvoorbeeld een mobiele telefoon, tokengenerator, kaartlezer, desktop, tablet of ander goedgekeurd apparaat. Dit deel van de controle vindt plaats zonder actieve inbreng van de klant.
Iets dat alleen de klant heeft
Denk hierbij aan biometrische gegevens, zoals gezichtsidentificatie of vingerafdrukken.
Voor sterke klantauthenticatie dien je aan de voorwaarden voor een tweestapsauthenticatie te voldoen, om zo de kans op fraude te verminderen. Zo helpt het bijvoorbeeld om gevoelige klantgegevens af te schermen voor externe partijen.
Wanneer is sterke klantauthenticatie van toepassing?
SCA wordt geactiveerd op het moment dat een klant online een transactie in gang zet en zowel de bank van de klant als jouw bank binnen de EU of het VK zijn gevestigd.
Als je geld terugstort naar een klant is SCA niet van toepassing, omdat de transactie door je bedrijf wordt opgestart. Als de bank van je klant in de Verenigde Staten is gevestigd en jouw bank in de EU of andersom, is SCA ook niet van toepassing.
Welke transacties zijn vrijgesteld van sterke klantauthenticatie?
De EU is zich ervan bewust dat de verplichting van extra stappen bij een online aankoop ongemak oplevert tijdens een cruciaal onderdeel van het verkoopproces. Om dit ongemak te verlichten, gelden er enkele uitzonderingen op de SCA-regels. Onderstaande transacties zijn vrijgesteld van SCA:
Transacties met een laag risico
Een gerenommeerd betaalbedrijf mag het frauderisico voor een transactie inschatten en zelf bepalen of SCA al dan niet moet worden ingeschakeld.
Om vrijstelling te krijgen, moet het fraudeniveau dat het betaalbedrijf meldt in het algemeen lager zijn dan de percentages die in de hele EU voor dezelfde soort transacties gelden.
Factoren die bij de berekening meespelen, zijn onder andere dat het transactiebedrag minder is dan 500 euro, en dat het gedrag en de geografische locatie van de klant in lijn zijn met normaal gedrag voor die betaalmethode.
Het is goed om te weten dat het betaalbedrijf deze beoordeling uitvoert en dat dit niets te maken heeft met de gezondheid of het profiel van jouw bedrijf.
Transacties met lage bedragen
Als de klant in de afgelopen 24 uur minder dan vijf betalingen heeft gedaan of als het totaalbedrag van de betalingen in diezelfde periode minder dan 100 euro bedraagt, is in het algemeen vrijstelling van toepassing.
Terugkerende betalingen
Bij maandelijkse facturering via een creditcard of debetkaart wordt SCA alleen toegepast op de eerste betaling. Als het bedrag maandelijks wijzigt, kan SCA toch worden toegepast. Terugkerende betalingen zijn meestal factureringen van regelmatige diensten, abonnementen of termijnen.
Terugkerende betalingen via een SEPA-incasso hebben een eigen beveiligingsprocedure en staan los van de SCA-bescherming.
Toestemmingslijst leden
Als je klant een zakelijke creditcard gebruikt, dus een kaart uitgegeven op de zakelijke rekening van een ander bedrijf, zijn alle transacties waarschijnlijk vrijgesteld. PSD2 geldt namelijk niet voor B2B-aankopen.
Hoe werkt SCA bij digital wallets?
Met sterke klantauthenticatie zijn betalingen met een digitale portemonnee als ApplePay en Google Wallet snel en veilig.
Het is goed om te onthouden dat een transactie maar aan twee van de drie SCA-eisen hoeft te voldoen. Omdat digital wallets meestal op een telefoon of tablet met een soort FaceID- of vingerafdrukmogelijkheid worden gebruikt, is er al aan twee van de drie vereisten voldaan.
Het maakt niet uit of de klant met een creditcard of debetkaart betaalt. Zolang de bank toestaat dat de kaart bij Apple Pay of Google Wallet wordt geregistreerd, is deze klaar voor gebruik.
Hoe implementeer je SCA?
Je bent verplicht aan de nieuwe SCA-vereisten te voldoen, als de volgende criteria van toepassing zijn:
- Je bedrijf is in de Europese Economische Ruimte (EER) gevestigd of je doet betalingen namens verbonden relaties voor wie dit geldt
- Je klanten bevinden zich in de EER
- Je accepteert creditcards of debitkaarten
De makkelijkste manier om dit te doen is door gebruik te maken van een SCA-conforme payment gateway als Mollie.
Werk je met een aangepaste payment gateway, dan moeten je ontwikkelaars ervoor zorgen dat ze de extra authenticatielagen aan de checkout-flow van je site hebben toegevoegd. Met deze extra controles kunnen banken de informatie van klanten via het tweestapsidentificatieproces dubbelchecken.
Neem contact op met Mollie voor meer relevante tips om e-commerce betalingen veilig en compliant te houden. Meld je aan en begin vandaag nog met het aanbieden van veilige betaalmethoden in je webshop.