| 30-08-2019 | ENIGMA Consulting |

Sinds enige tijd waart er een spook door de wereld van het Europese online betalings­verkeer: sterke klantauthenticatie (strong customer authentication). Webwinkeliers vrezen conversieverlies door afhakende klanten in het afrekenproces. Betaaldienst­verleners worstelen om op tijd klaar te zijn met de implementatie. En consumenten vragen zich af of het allemaal wel nodig is. Pieter van Stempvoort, senior consultant bijEnigma Consulting, over de naderende invoering van de nieuwe betaalwet.

Volgens het ‘Fifth Report on Card Fraud’ van de ECB bedroeg de financiële schade als gevolg van kaartfraude in Europa in 2016 zo’n €1,8 miljard. 73% daarvan werd veroorzaakt door zogenaamde card-not-present betalingen en deze categorie was de enige die een stijgende trend liet zien ten opzichte van het voorgaande jaar. KPMG bevestigt in zijn ‘Global Banking Fraud Survey’ van mei dit jaar de stijgende trend van card-not-present fraude, als ook van cyber/online fraude in 2017-2018 in alle regio’s van de wereld, waaronder Europa.

Brussel zag in deze ontwikkelingen aanleiding om sterke klantauthenticatie in de Europese betaalwetgeving te verankeren, met als doel online betaalfraude en misbruik van rekening- en betaalgegevens tegen te gaan en het consumentenvertrouwen in de Europese betaalsystemen te borgen.

Sterke klantauthenticatie

Het begrip sterke klantauthenticatie (strong customer authentication) werd geïntroduceerd in de herziene Richtlijn Betaaldiensten (Payment Services Directive, afgekort PSD2). De richtlijn schrijft voor dat bij online betalingen en mobiele en kaartbetalingen aan de kassa de betaler zich onder voorwaarden moet authenticeren middels twee of meer van de volgende factoren:

1. Kennis (iets dat alleen de betaler weet, zoals een wachtwoord of pincode);
2. Bezit (iets dat alleen de betaler heeft, zoals een smartphone of e-identifier);
3. Inherente eigenschap (iets dat de betaler is, zoals een vingerafdruk of gezichtsherkenning).

Deze zogenaamde 2-factor­authenticatie is ook verplicht bij het verkrijgen van online toegang tot een betaalrekening en bij het gebruik van de door PSD2 mogelijk gemaakte betalingsinitiatie- en rekening­informatiediensten.

De Europese Bankautoriteit (European Banking Authority, afgekort EBA) heeft het één en ander verder uitgewerkt in Regulatory Technical Standards (RTS). Deze Europese regulering wordt per 14 september onverkort van kracht. Om onduidelijkheden in de RTS weg te nemen publiceerde de EBA afgelopen juni een uitgebreide toelichting, waaruit onder meer duidelijk wordt hoe de verschillende factoren kunnen worden geïmplementeerd en welke implementaties niet aan de PSD2 en RTS voldoen.

Uitzonderingen leiden tot complexiteit

De RTS beschrijven verschillende uitzonderingen die het mogelijk maken om de stap van sterke klantauthenticatie over te slaan. Een juiste en volledige implementatie van deze uitzonderingen kan dus zorgen voor minder frictie in het afrekenproces.

Sommige van deze uitzonderingen, zoals een bedraggrens bij online betalingen en contactloze betalingen aan de kassa, zijn relatief simpel in te voeren. Andere uitzonderingen zijn echter meer complex om te implementeren. Eén van de meest ingewikkelde uitzonderingen is de mogelijkheid om sterke klantauthenticatie over te slaan bij online betalingen met een laag frauderisico. Die uitzondering vereist een voortdurende toetsing van het frauderisico van betalingen aan de normen uit de RTS, op basis van een uitgebreide analyse van het transactierisico van de betaling en het betaalgedrag van de betaler.

De beslissing of sterke klantauthenticatie in voorkomende gevallen terecht niet is toegepast ligt uiteindelijk bij de bank van de betaler. En dat bemoeilijkt de implementatie van uitzonderingen bij bijvoorbeeld webwinkeliers nog verder.

Spanningsveld

De introductie van sterkte klantauthenticatie creëert een spanningsveld tussen betaalgemak en fraudepreventie. Met name webwinkeliers vrezen dat de toepassing ervan voor conversieverlies gaat zorgen, doordat klanten afhaken in het afrekenproces. Begin dit jaar deed onderzoeksbureau 451 Research in opdracht van betaaldienstverlener Stripe onderzoek naar de impact van sterke klantauthenticatie op de Europese online economie. In zijn rapport ‘The impact of SCA’ noemt het bureau een negatief effect van €57 miljard in de eerste twaalf maanden na de invoering. Dat is maar liefst 9,6% van de door het bureau geschatte €592 miljard online omzet in de EU in 2019.

Wellicht valt het negatieve effect in Nederland nog wel mee. Het merendeel van de Nederlandse online aankopen (59% in 2018) wordt immers gedaan met iDEAL, dat al gebruikmaakt van 2-factorauthenticatie. De Nederlandse consument is dus al aan sterke klantauthenticatie gewend. Maar zelfs als we de cijfers van 451 Research halveren zou de financiële schade door frictie in het afrekenproces Europa-breed in de miljarden euro’s kunnen lopen.

Geen uitstel

Een probleem is dat veel partijen niet op tijd klaar lijken te zijn met hun voorbereidingen op sterke klantauthenticatie. Het rapport van 451 Research stelt dat 1 op de 5 bedrijven met minder dan 100 werknemers nog niet bekend is met de ins en outs en dat slechts 8% goed is voorbereid. Van de bedrijven met meer dan 5.000 werknemers is dat 1 op de 25 respectievelijk 19%. Om maar niet te spreken over de consument zelf: volgens het rapport is 73% niet op de hoogte van de nieuwe regels.

Eind juni kwam de EBA een beetje tegemoet aan de zorgen rondom de tijdige invoering, door te stellen dat partijen ‘op uitzonderingsbasis’ beperkte extra tijd voor de implementatie kunnen nemen, zodat ongewenste negatieve gevolgen voor de gebruikers van betaaldiensten worden voorkomen. Zij benadrukt echter dat er geen sprake is van uitstel.

Maak een strategie en voorkom drama

Al met al is er inmiddels geen ontkomen meer aan de implementatie van sterke klantauthenticatie. De invoering ervan behoeft beslist aandacht, maar hoeft geen drama te zijn:

• Voor bedrijven die online betaalmogelijkheden bieden is er weinig aan de hand als zij gebruikmaken van één van de grote PSP’s. Deze zijn immers geheel op sterke klantauthenticatie voorbereid.Voor deze bedrijven is het wel van belang om na te gaan of de bij de PSP afgenomen betaalmethoden die zij aan hun klanten binnen de EU/EER aanbieden, voldoen aan de eisen uit de RTS. Met name voor betaalmethoden met creditcards en betaalkaarten is het belangrijk dat deze gebruikmaken van 3D Secure 2. Dit is de nieuwste versie van de 3D Secure-standaard, die door alle grote kaartmerken wordt ondersteund. In tegenstelling tot de eerste versie, maakt 3D Secure 2 naadloze integratie van 2-factorauthenticatie in het afrekenproces mogelijk en kan het frictie in dit proces tot een minimum beperken.Daarnaast is het een enorm pluspunt als de PSP zelf actief de uitzonderingen op de toepassing van sterke klantauthenticatie managet. Hiertoe behoren ook het analyseren van het transactierisico en monitoren van de uitgevoerde betalingen en het managen van de ontheffing van sterke klantauthenticatie bij online betalingen met een laag frauderisico.
   
• Voor aanbieders van betalingsinitiatie- en rekeninginformatiediensten is het van belang om voor de interactie met de banken aan te sluiten op een breedgedragen interface-standaard. Terwijl er inmiddels een veelheid aan zogenaamde API-standaards is ontstaan, valt de NextGenPSD2-standaard van de Berlin Group op door de brede ondersteuning door zo’n 2.500 banken in 24 landen.NextGenPSD2 lijkt derhalve een goede kandidaat voor de implementatie van sterke klantauthenticatie in het kader van deze diensten. De standaard ondersteunt verschillende modellen om de authenticatie in samenwerking met de bank van de betaler uit te voeren, maar geen van de modellen wordt door álle banken ondersteund. Voor een echt pan-Europees bereik zullen deze aanbieders dus alle modellen moeten implementeren en per bank het juiste model moeten kunnen aansturen.

Auteurs: 
Pieter van Stempvoort, Enigma Consulting, Expert Consultant

 

 

ENIGMA Consulting