Anouk van Rijn Juridisch adviseur Beryl Hetharia Juridisch adviseur E-commerce Wat betekent Strong Customer Authentication voor uw webshop? Veiligheid is een essentieel onderdeel van online betalingen. Online fraude komt echter steeds vaker voor. Vanuit Europa wordt dan ook op allerlei manieren gekeken hoe dit probleem kan worden teruggedrongen. Een van deze manieren is Strong Customer Authentication (SCA), zoals vermeld in de tweede Payment Services Directive (PSD2). Vanaf 1 januari 2021 moeten organisaties zich houden aan de SCA. Wat is het en wat betekent het voor uw organisatie? PSD2 De PSD2 is een Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. Deze richtlijn is in elke EU-lidstaat opgenomen in de nationale wetgeving. In Nederland is de PSD2 geïmplementeerd in het Burgerlijk Wetboek en de Wet op het financieel toezicht. Ook wordt de PSD2 verder uitgewerkt in richtlijnen voor banken en andere bedrijven die betaaldiensten aanbieden en hun toezichthouders. Strong Customer Authentication In de PSD2 wordt gesproken over ‘sterke cliëntauthenticatie’ (de SCA). Bij SCA draait het erom dat er zekerheid bestaat dat de klant die een online aankoop doet en hier ook voor betaalt, daadwerkelijk deze persoon is. Wordt een creditcard gebruikt of een betaling via iDEAL verricht, dan is het van belang dat de kaartgegevens ook worden gebruikt door de kaarthouder. Hoe meer u over iemand te weten komt, hoe zekerder u hierover kunt zijn. Er zijn in totaal drie manieren om iets over uw klant te weten te komen. De PSD2 vereist dat u bij elektronisch betalen en bankieren kiest voor tenminste twee van deze controles. Daarbij kan het gaan om: 1. iets wat je bezit, zoals je telefoon, kenteken of bankpas; 2. iets wat je weet, bijvoorbeeld een pincode, wachtwoord of een geheim feit; of 3. iets wat je bent, denk aan je vingerafdruk, gezichtsherkenning via Face ID of je stem. In Nederland kennen we SCA eigenlijk al veel langer, bij veel betalingen gebeurt dit namelijk al. Denk bijvoorbeeld aan betalingen met de pinpas. Daarbij gebruik je immers zowel je pincode als je bankpas. Ook bij iDEAL betalingen gebruik je jouw geregistreerde telefoon en je toegangscode. In het kader van PSD2 moet deze dubbele authenticatie nu dus ook gebeuren bij betalingen met creditcards. Uitzonderingen De juridische wereld staat bekend om haar regels, maar natuurlijk ook de uitzonderingen. Zo kent de PSD2 ook een aantal uitzonderingen voor het gebruik van SCA. Hieronder worden de uitzonderingen kort uitgewerkt. Betalingen geïnitieerd vanuit de verkoper Wanneer een betaling wordt geïnitieerd door de webshop, bijvoorbeeld via een automatische incasso, dient alleen voor de eerste betaling aan SCA-verificatie te worden voldaan. Abonnementen of terugkerende transacties Wanneer het gaat om terugkerende transacties met een vast bedrag, zijn deze vanaf de tweede transactie 7
8 Online Touch Home