Sinds 19 februari 2019, is de PSD2 officieel van kracht in Nederland. Toch blijft dit een lastig onderwerp en daarom kan dit artikel helpen om beter te begrijpen wat er nou precies veranderd is (sinds de PSD1) en wat dit voor jou als webshop eigenaar betekent.
Online fraude veroorzaakt momenteel meer dan een miljard euro aan schade, in de Europese Unie en dat bedrag zal waarschijnlijk blijven toenemen naarmate de e-commerce sector zich ontwikkelt.
Je hebt ongetwijfeld gehoord van de nieuwe regels voor online betalen. Sinds 19 februari 2019, zijn de bepalingen van de Europese Richtlijn Betalingsdiensten, bekend als "PSD2" (Payment Service Directive 2), toegepast om de Europese consument beter te beschermen tegen online shopping fraude.
Deze nieuwe Europese richtlijn heeft betrekking tot verschillende aspecten van de actualisering van het wettelijke kader voor online betalingen, die gevolgen zullen hebben voor zowel consumenten als webshop eigenaren en financiële instellingen. Kortom, de richtlijn verwijst naar een verbeterde klantenauthenticatie (tweestapsverificatie) of SCA (Strong Customer Authentication).
Maar wat houdt deze verbeterde authenticatie in en wat is verandert voor jou als webshop eigenaar en voor jouw klanten?
Ontdek het in dit artikel!
Inhoudsopgave
- Wat houdt de tweestapsverificatie of SCA (Strong Customer Authentication) in?
- De tweestapsverificatie is nu verplicht voor alle online aankopen - Wat betekent dit voor online verkopers?
- Wat zijn de gevolgen als je niet aan de nieuwe richtlijn voldoet?
- Zijn er uitzonderingen op de tweestapsverificatie?
- Conclusie
Wat houdt de tweestapsverificatie of SCA (Strong Customer Authentication) in?
Wanneer een klant een online betalingstransactie doet, is het noodzakelijk om ervoor te zorgen dat deze persoon ook echt geautoriseerd is om dit te doen. Dit wordt bereikt door middel van een verbeterde authenticatie, oftewel, de tweestapsverificatie.
De tweestapsverificatie houdt in dat de klant een tweede identificatiefactor ontvangt voordat hij de bestelling plaatst. Denk hierbij aan een pincode die de klant op zijn mobiele telefoon ontvangt en die hij op jouw site moet invoeren om zijn aankoop te valideren.
Volgens de PSD2-richtlijn is er sprake van een verbeterde authenticatie wanneer ten minste twee van de drie elementen worden gebruikt voor de verificatie:
- Kennis (iets dat alleen de consument weet - bijvoorbeeld zijn wachtwoord, pincode, toegangsgegevens, ....)
- Bezit (iets dat alleen de consument heeft - bijvoorbeeld een mobiele telefoon waar een sms aankomt om de werking te controleren (smartphone), e-mail adres ....)
- Inherentie (iets dat van de consument is - bijvoorbeeld de mogelijkheid van biometrische verificatie, of het nu door middel van een vingerafdruk, gezichtsherkenning is ....)
Deze elementen staan los van elkaar. Dat wil zeggen dat de schending van een van deze elementen niet gelijk staat aan geen betrouwbaarheid van andere elementen, en is zo ontworpen dat het vertrouwen van identificatiegegevens niet wordt geschaad.
Je kent dit proces van online bankieren waarschijnlijk al. Als je een overschrijving wilt uitvoeren, heb je je pincode nodig om in te loggen (iets wat je weet) en een code die naar je mobiele apparaat wordt verstuurd (iets wat je bezit).
Op deze manier zal het misbruiken van gebruikersgegevens veel moeilijker worden voor onbevoegden, omdat zij geen gebruik kunnen maken van de mobiele telefoon en zo ook niet kunnen betalen.
Met behulp van een tweestapsverificatie, of SCA, is de koper beter beschermd tegen eventuele fraude, dankzij de verplichte aanwezigheid van de twee factoren.
De tweestapsverificatie is nu verplicht voor alle online aankopen - Wat betekent dit voor online verkopers?
Volgens de EU-betalingsdiensten richtlijn 2015/2366 PSD2, zal vanaf 14 september 2019 een tweestapsverificatie verplicht zijn voor webshops. Het doel hiervan is de Europese consumenten beter te beschermen tegen fraude in de elektronische handel.
Echter, niet alle betalingsmethoden worden in gelijke mate door de richtlijn (BDR2) beïnvloed. Denk hierbij aan:
- Automatische afschrijving: geen behoefte aan versterkte authenticatie.
- Onmiddellijke overschrijving / Giropay: zij zijn gebaseerd op een systeem van internetbankieren. Zo zijn ze altijd verzekerd via de TAN's die worden uitgegeven via een tweede apparaat, zoals een smartphone. Daarom heeft dit systeem dus al in feite een tweestapsverificatie.
- Paypal: hier hangt het af van de type betalingsdienst die gebruikt wordt. Betaling van het PayPal-bedrag kan zowel via automatische incasso als via creditcard. Als er gebruik wordt gemaakt van automatische incasso's, is het niet nodig om een tweestapsverificatie toe te passen. Als in plaats daarvan de creditcard wordt gebruikt, is een SCA vereist.
- Creditcard: tweestapsverificatie moet worden toegepast.
Betalingsdienst aanbieders moeten ervoor zorgen dat er aan deze eisen wordt voldaan en niet webshop eigenaren zelf. Met andere woorden, aanbieders zoals Paypal, Amazon Pay en creditcard maatschappijen moeten hun betalingsprocedures aanpassen door de tweestapsverificatie toe te voegen.
Webshop eigenaren zijn echter verplicht om te controleren of betalingsdienst aanbieders aan deze eisen voldoen.
Op dit moment zijn enkele betalingsproviders nog bezig met de implementatie, dus is het nog niet mogelijk om te weten hoe de SCA er precies zal uitzien voor verschillende aanbieders.
Ik raad je daarom ook aan om op de hoogte te blijven van de veranderingen die jouw betalingsproviders wellicht wel of niet ondergaan, zodat je op tijd alle nodige wijzigingen kan aanbrengen en juridische teksten kan aanpassen.
Het kan zo zijn, dat er in het begin een aantal winkelwagentjes zullen worden achtergelaten, omdat men simpelweg niet op de hoogte is van het nieuwe betalingsproces. Echter, zullen er dankzij de nieuwe regelgeving minder gevallen zijn van internetfraude. Dit brengt op lange termijn toch meer klanten, omdat ze veiliger online kunnen winkelen.
Wat zijn de gevolgen als je niet aan de nieuwe richtlijn voldoet?
Als iemand anders zich voordoet als jouw klant om een aankoop te doen in jouw webshop, zal de betaling worden geaccepteerd, omdat er geen sprake is van een tweestapsverificatie. De bank zal vervolgens het geld terugstorten aan de persoon van wie de rekening eigenlijk is. Daarnaast zal de bank de betalingsdienst aanbieder eisen het geld terug te betalen, die zij in eerste instantie hebben terugbetaald aan de klant die slachtoffer is geworden van identificatiediefstal.
Zijn er uitzonderingen op de tweestapsverificatie?
zoals met vele andere regelgevingen, zijn ook hier enkele uitzonderingen te vinden op de SCA. Dit zijn de volgende uitzonderingen:
- Klanten kunnen in hun internetbankieren bijvoorbeeld een eigen ‘witte lijst’ maken, waarin zij vertrouwde ontvangers in kunnen plaatsen zodat zij niet elke keer gebruik hoeven te maken van de tweestapsverificatie. (Tip: let op de loyaliteit van je klanten, zodat ook jij samen met de belangrijkste webshops kunt profiteren van de ‘witte lijst’).
- Klanten die aankopen doen via een mobiele telefoon waarvan de kaartgegevens zijn opgeslagen, zijn ook vrijgesteld van de SCA.
- Voor betalingen of transacties van minder dan 30 euro is geen tweestapsverificatie nodig, met als voorwaarde dat de klant niet meer dan vijf keer per dag bestellen of 100 euro aan limiet bereiken binnen 24 uur.
Conclusie
Er is geen twijfel dat de nieuwe wetgeving de e-commerce voor zowel kopers als verkopers zal versterken, waardoor uiteindelijk ook het veiligheidsniveau en de online betalingen zullen toenemen.
Hoewel het aan de betalingsdienst aanbieders is om de tweestapsverificatie of SCA te implementeren, is het aan jou als webshop eigenaar om te controleren of deze aan de eisen voldoen. Vervolgens zou je de juridische teksten van jouw webwinkel moeten bijwerken om klanten te laten weten welke stappen ze moeten volgen om een aankoop te doen.
Origineel in het Italiaans: 'Aggiornamento PSD2: la guida che spiega la Direttiva'
