Bedrijven en (financiële) instellingen krijgen langer de tijd om hun systemen volledig af te stemmen op Strong Customer Authentication (SCA). De Europese Bankautoriteit (EBA) heeft afgelopen week namelijk besloten de SCA-deadline op te schuiven naar 31 december 2020. De Nederlandsche Bank (DNB) volgt deze lijn, waardoor ook Nederlandse webwinkels, fintechs en banken ruim(er) de tijd krijgen te voldoen aan de richtlijn vanuit PSD2.
Strong Customer Authentication (SCA)
Strong Customer Authentication (SCA) is een onderdeel van PSD2, en ziet toe op het beter en strenger beveiligen van online transacties. Dat zal in Nederland met name gaan om creditcard-betalingen, omdat Nederlands meest gebruikte betaalmethode iDEAL al voldoet aan de voorwaarden van tweestapsverificatie.
Formeel is het SCA-protocol afgelopen maand al in werking getreden, maar EBA pleitte eerder voor een soepele kijk op de handhaving van deze ‘wet’ om chaos te voorkomen. Een te snelle invoer en handhaving zou kunnen leiden tot stagnatie van ontwikkelingen bij betaaldienstverleners en fintechs, en onnodige uitval van betalingen bij ondernemers. Die voorgenomen ‘soepele aanpak’ is nu geformaliseerd met een definitief statement vanuit de EBA: de handhaving op SCA zal worden opgeschort tot 31 december 2020.
DNB volgt opinie EBA
De Nederlandsche Bank (DNB) volgt deze lijn, zo blijkt desgevraagd. “DNB conformeert zich aan de EBA opinie die vorige week is gepubliceerd”, zo laat DNB-woordvoerder Tobias Oudejans tegenover NederlandFintech weten. “Het betekent dat instellingen tot 31 december 2020 de tijd hebben om volledig te migreren naar SCA-compliant betaaloplossingen voor online card transacties.”
Overigens benadrukt Oudejans namens DNB nog de versoepeling van de handhaving op SCA niet betekent dat deze PSD2-richtlijn niet van kracht is. “De RTS (Regulatory Technical Standards, red.) is wel in werking getreden op 14 september jongstleden.” DNB en EBA zullen deze processen monitoren.
Striktere beveiliging van creditcard-betalingen in e-comm omgeving
SCA staat voor een striktere beveiliging van creditcard-betalingen in de e-commerce omgeving. Iedere card-betaling boven de 30 euro zal in de nieuwe situatie moeten voldoen aan tweestapsverificatie. Zo kan een betaling worden bevestigd via een wachtwoord in combinatie met een vingerafdruk of een wachtwoord in combinatie met een code die per SMS verstuurd wordt.
Onder SCA moet een online (creditcard)betalingen ten minste middels 2 van 3 onderstaande authenticatielevels worden beveiligd:
- Iets dat je weet –> bijvoorbeeld een wachtwoord of pincode;
- Iets dat je bezit –> bijvoorbeeld een telefoon of een ‘token’;
- En/of iets dat je bent –> bijvoorbeeld via een vingerafdruk of gezichtsherkenning
Uitgezonderde betalingen onder SCA
SCA is verplicht voor alle online transacties, maar er zijn uitzonderingen. Bijvoorbeeld in geval van low-risk payments, gebaseerd op risico-analyses door de betaaldienstverlener (psp), neemt het aantal keren dat een klant SCA moet worden geverifieerd af. Ook recurring betalingen aan dezelfde organisatie, bijvoorbeeld in de vorm van abonnementen, en betalingen bij bedragen onder de €30 vallen onder de uitzonderingen.
Bron Afbeeldingen: Depositphotos