Sterke klantauthenticatie: dit moet je weten
Sterke klantauthenticatie of SCA is een beveiligingseis van de Europese Unie voor contactloze, online en mobiele betalingen. Sterke klantauthenticatie is onderdeel van de Herziene richtlijn betaaldiensten of PSD2-richtlijn, ontwikkeld om het bestaande meldingssysteem met eenmalige wachtwoorden (one-time-password of OTP) te verbeteren.
Tien jaar geleden was het gebruikelijk om klanten te vragen om hun aankoop te authenticeren met een TAN- of SMS-code. Maar de techniek voor elektronische betalingen stond niet stil en fraudeurs vonden hun weg.
The PSD2 guideline requires a two-step identification at check-out. Although the customer’s bank is in charge of the authentication, it is still the responsibility of the e-commerce company to build in these verification processes.
What are the implications of these new authentication requirements for your business? And is less fraud worth the inconvenience at checkout? Let’s see.
Wanneer is de sterke klantauthenticatie ingegaan?
De Europese Bankautoriteit keurde SCA in 2019 goed, maar de nieuwe verordening trad pas op 1 januari 2021 in werking voor e-commerce in de EU. In het Verenigd Koninkrijk gold de verordening vanaf op 15 september 2021 voor face-to-face-betalingen.
https://www.mollie.com/pool/wp-content/uploads/2022/07/mollie-logo-light-small.svgWhat is a two-step identification at check-out?
Voor sterke klantauthenticatie dient de klantauthenticatie ten minste twee van de volgende elementen te bevatten:
- Iets dat alleen de klant weet
- Iets dat alleen de klant bezit
- Iets dat alleen de klant heeft
Iets dat alleen de klant weet
Dit kan een wachtwoord, pincode of antwoord op een specifieke vraag zijn. Meestal is het een bestaand wachtwoord of een vier- tot zescijferig nummer dat per sms wordt verstuurd.
Iets dat alleen de klant bezit
Bijvoorbeeld een mobiele telefoon, tokengenerator, kaartlezer, desktop, tablet of ander goedgekeurd apparaat. Dit deel van de controle vindt plaats zonder actieve inbreng van de klant.
Iets dat alleen de klant heeft
Denk hierbij aan biometrische gegevens, zoals gezichtsidentificatie of vingerafdrukken.
Voor sterke klantauthenticatie dien je aan de voorwaarden voor een tweestapsauthenticatie te voldoen, om zo de kans op fraude te verminderen. Zo helpt het bijvoorbeeld om gevoelige klantgegevens af te schermen voor externe partijen.
Wanneer is sterke klantauthenticatie van toepassing?
SCA is activated the moment a customer initiates a transaction online and both the customer’s bank and your bank are located within the EU or the UK.
If you return money to a customer, SCA does not apply, because the transaction is initiated by your company. If your customer’s bank is located in the United States and your bank is in the EU or vice versa, SCA also does not apply.
Welke transacties zijn vrijgesteld van sterke klantauthenticatie?
De EU is zich ervan bewust dat de verplichting van extra stappen bij een online aankoop ongemak oplevert tijdens een cruciaal onderdeel van het verkoopproces. Om dit ongemak te verlichten, gelden er enkele uitzonderingen op de SCA-regels. Onderstaande transacties zijn vrijgesteld van SCA:
Transacties met een laag risico
Een gerenommeerd betaalbedrijf mag het frauderisico voor een transactie inschatten en zelf bepalen of SCA al dan niet moet worden ingeschakeld.
Om vrijstelling te krijgen, moet het fraudeniveau dat het betaalbedrijf meldt in het algemeen lager zijn dan de percentages die in de hele EU voor dezelfde soort transacties gelden.
Factors that come into play in the calculation include that the transaction amount is less than 500 euros, and that the customer’s behavior and geographic location are in line with normal behavior for that payment method.
Het is goed om te weten dat het betaalbedrijf deze beoordeling uitvoert en dat dit niets te maken heeft met de gezondheid of het profiel van jouw bedrijf.
Transacties met lage bedragen
Als de klant in de afgelopen 24 uur minder dan vijf betalingen heeft gedaan of als het totaalbedrag van de betalingen in diezelfde periode minder dan 100 euro bedraagt, is in het algemeen vrijstelling van toepassing.
Recurring
Bij maandelijkse facturering via een creditcard of debetkaart wordt SCA alleen toegepast op de eerste betaling. Als het bedrag maandelijks wijzigt, kan SCA toch worden toegepast. Terugkerende betalingen zijn meestal factureringen van regelmatige diensten, abonnementen of termijnen.
Terugkerende betalingen via een SEPA-incasso hebben een eigen beveiligingsprocedure en staan los van de SCA-bescherming.
Toestemmingslijst leden
If your customer uses a business credit card, i.e. a card issued to another company’s business account, all transactions are likely exempt. PSD2 does not apply to B2B purchases.
Hoe werkt SCA bij digital wallets?
Met sterke klantauthenticatie zijn betalingen met een digitale portemonnee als ApplePay en Google Wallet snel en veilig.
Het is goed om te onthouden dat een transactie maar aan twee van de drie SCA-eisen hoeft te voldoen. Omdat digital wallets meestal op een telefoon of tablet met een soort FaceID- of vingerafdrukmogelijkheid worden gebruikt, is er al aan twee van de drie vereisten voldaan.
Het maakt niet uit of de klant met een creditcard of debetkaart betaalt. Zolang de bank toestaat dat de kaart bij Apple Pay of Google Wallet wordt geregistreerd, is deze klaar voor gebruik.
Hoe implementeer je SCA?
Je bent verplicht aan de nieuwe SCA-vereisten te voldoen, als de volgende criteria van toepassing zijn:
- Je bedrijf is in de Europese Economische Ruimte (EER) gevestigd of je doet betalingen namens verbonden relaties voor wie dit geldt
- Je klanten bevinden zich in de EER
- Je accepteert creditcards of debitkaarten
De makkelijkste manier om dit te doen is door gebruik te maken van een SCA-conforme payment gateway als Mollie.
If you’re working with a custom payment gateway, your developers need to make sure they’ve added the extra layers of authentication to your site’s checkout flow. These additional checks allow banks to double-check customer information through the two-step identification process.
Neem contact op met Mollie voor meer relevante tips om e-commerce betalingen veilig en compliant te houden. Meld je aan en begin vandaag nog met het aanbieden van veilige betaalmethoden in je webshop.