Wat betekent de Strong Customer Authentication van de PSD2 voor jou?
[SCA UPDATE: EUROPESE BANKAUTORITEIT HEEFT EEN NIEUWE DEADLINE GESTELD
](https://www.mollie.com/nl/news/post/sca-met-18-maanden-uitgesteld-wat-jij-moet-weten “SCA Uitgesteld”)
De regelgeving voor betalingen is aan het veranderen. Een goed voorbeeld van de veranderende regels is de PSD2, dat staat voor het tweede Payments Service Directive. Het doel hiervan is betalingen in de Europese Economische Ruimte (EER) makkelijker en veiliger maken. Hiervoor moeten banken hun data vrijgeven, zodat derde partijen op basis hiervan financiële oplossingen kunnen creëren. Die oplossingen moeten het voor de consument makkelijker maken om voor dingen te betalen. Consumenten kunnen op die manier bijvoorbeeld een chatbot toegang geven om namens hen betalingen te doen of een webshop toestemming geven hun banktegoed op het kassascherm te tonen. Hierin staat natuurlijk centraal dat deze betalingen veilig zijn en dat eventuele fraude voorkomen wordt. De beveiligingsmaatregelen uit de PSD2, de zogenaamde Strong Customer Authentication (SCA) regelgeving, worden officieel van kracht op 14 september 2019. Bij Mollie willen we jou als ondernemer graag laten weten in hoeverre deze regelgeving op jou van toepassing is en welke maatregelen we nemen om te zorgen dat betalingen soepel blijven verlopen.
Hoe werkt Strong Customer Authentication (SCA)?
Doe je op dit moment als consument een online aankoop, dan heb je vaak ‘iets’ nodig om de betaling te verifiëren, zoals een wachtwoord, vingerafdruk of apparaat (bijvoorbeeld een paslezer). Volgens de regels van de SCA is deze beveiligingsstap verplicht voor elke online betaling die een consument doet. Online betalingen zullen moeten worden geverifieerd aan de hand van ten minste twee van de volgende criteria:
-Something a consumer has. For example a telephone.
-Something a consumer knows. For example, a PIN.
-Something a consumer is. For example, physical evidence that a consumer can use to prove that he is who he says he is, such as a fingerprint or a scan of his face (many phones today are equipped with fingerprint scanners and facial scanners).
In hoeverre deze regels worden nageleefd, ligt in de handen van de issuer (meestal de bank van je consument). Het is aan hen om te beslissen of een betaling door de consument moet worden geverifieerd of niet. Om te voorkomen dat consumenten hun winkelwagentje verlaten vanwege de extra beveiligingsstap en de aankoop dus stopzetten, zijn er ook enkele uitzonderingen op de SCA-regels opgenomen in de PSD2. Dit betekent dat de consument dus niet gevraagd wordt om de betaling te verifiëren met een extra stap.
SCA is bijvoorbeeld niet vereist voor betalingen met een bedrag lager dan € 30,-. Hierbij geldt een maximum van 5 betalingen met dezelfde pas of een maximum totaalbedrag van € 100,- van de meerdere betalingen bij elkaar opgeteld. Ook voor bedragen die via automatische incasso worden afgeschreven, zoals bijvoorbeeld een abonnement op Netflix of de sportschool, is geen extra verificatie nodig.
Aangezien betalingen die niet aan de regels van de SCA voldoen door banken kunnen worden geweigerd, werken wij er hard aan om alles zo soepel mogelijk te laten verlopen.
*Opmerking: De SCA is van toepassing op bedrijven die creditcards en betaalpassen accepteren in de EER die ook klanten in de EER hebben.*
SCA en ondernemers uitgelegd
Het belangrijkste voor ons is dat onze klanten kunnen voldoen aan de richtlijnen van de SCA zonder hierover te hoeven nadenken. De overgrote meerderheid van betaalmethodes die wij aanbieden voldoet al aan de regelgeving van de SCA. Daarnaast gaan we ook een tweede versie van het al bestaande beveiligingsprotocol voor creditcards en betaalpassen die in Europa worden gebruikt, 3D Secure, ondersteunen.
3D Secure is een tweestapsverificatie (ook wel twee-factor-authenticatie) die in Europa het meest wordt toegepast om te voldoen aan de SCA-richtlijnen. Dit komt doordat de twee grootste kaartaanbieders van Europa, Visa en MasterCard, 3D Secure gebruiken.
Op dit moment ondersteunt Mollie 3D Secure 1.0 voor kaarten van Visa, Mastercard/Maestro en American Express en zijn we bezig met de ontwikkeling van 3D Secure 2.0 voor Visa en MasterCard/Maestro. Om de betaalervaring voor zowel de consument als de ondernemer zo makkelijk en veilig mogelijk te maken, wordt met 3D Secure 2.0 het gebruik van biometrische gegevens (vingerafdrukken en gezichtsherkenning) mogelijk. Het doel is om 3D Secure 2.0 uiteindelijk ook voor American Express aan te bieden, zodat alle creditcards en betaalpassen waarmee via ons betaald kan worden onder de nieuwste versie van deze tweestapsverificatie vallen.
Met de ontwikkeling van 3D Secure wordt rekening gehouden met de eerder genoemde uitzonderingen, zodat issuers betalingen kunnen goedkeuren zonder het gebruik van aanvullende beveiligingsstappen, zoals een wachtwoord of een vingerafdruk.
Samengevat biedt Mollie het volgende om ervoor te zorgen dat jij als ondernemer voldoen aan de richtlijnen van de SCA:
Het grootste deel van onze betaalmethodes is al SCA-compliant (zie tabel);
Momenteel wordt 3D Secure 1.0 ondersteund en binnenkort zal ook 3D Secure 2.0 beschikbaar zijn. Hierbij wordt rekening gehouden met de uitzonderingen op de SCA, zodat niet om tweestapsverificatie wordt gevraagd indien dit niet nodig is.
Mochten er wijzigingen doorgevoerd worden of updates zijn rondom de SCA die voor jou van toepassing zijn, dan houden we je op de hoogte.
| Betaalmethodes | SCA-compliant |
| ———- | ———- |
| Apple Pay | ✓ |
| Bancontact | ✓ |
| Belfius betaalknop | ✓ |
| Cartes Bancaires | ✓ |
| Credit Cards | ✓ |
| EPS | ✓ |
| Giropay | ✓ |
| iDEAL | ✓ |
| KBC-betaalknop | ✓ |
| Klarna | ✓ |
| PayPal | ✓ |
| Paysafecard | n/a* |
|Postepay | ✓ |
| Przelewy24 | ✓ |
| SEPA-overboeking | ✓ |
| SEPA-incasso | ✓ |
| SOFORT banking | ✓ |
** Aangezien Paysafecard en cadeaukaarten anonieme prepaid betaalmethodes zijn, zijn ze vrijgesteld van de SCA.*