Wat is Strong Customer Authentication (SCA)?

Sinds 14 september 2019 is PSD2 van kracht. Het is een afkorting voor Payment Service Directive 2, de Europese wetgeving op het gebied van betalingsverkeer. Strong Customer Authentication (SCA) is een onderdeel van deze wetgeving. SCA geldt voor alle online betalingen waarbij zowel de verkopende partij als de koper uit de Europese Economische Area komen.

Update: SCA is vanaf 31 december 2020 verplicht. Ben je aangesloten bij Buckaroo? Dan voldoe je vanaf dan automatisch aan de richtlijnen. Er is hiervoor geen actie vereist.

Deze nieuwe regel is bedoeld om Europese consumenten te beschermen tegen online fraude, dat miljoenen euro’s aan schade oplevert. De verwachting is dat de Europese e-commercemarkt zal groeien tot bijna 900 miljard euro in 2022.[1] En daarmee zal ook de online fraude toenemen. De Europese Centrale Bank schat dat er op dit moment jaarlijks voor 1,3 miljard dollar aan online fraude [2] wordt gepleegd met creditcards. Aangezien fraudeurs steeds geraffineerder te werk gaan is van belang dat wetgeving niet achterblijft. Strong Customer Authentication maakt betalingen veiliger.

SCA vereist dat er bij online creditcardbetalingen een (extra) authenticatiestap moet plaatsvinden. Waar tot voor kort het creditcardnummer en de CVC-code voldoende waren, moeten daar nu extra authenticatiemethode worden toegepast, zodat je op minstens 2 authenticatielevels de betaling beveiligd.

Het traditionele wachtwoord (iets dat je weet), kunnen consumenten verruilen voor een vingerafdruk (iets wie je bent) via hun smartphone (iets dat je hebt). Deze 2-stapsbevestiging wordt ook wel ‘Two Factor Authentication’ of ‘2FA’ genoemd.

Creditcardmaatschappijen zoals VISA en Mastercard hebben op dit moment al een eigen variant op 2FA, namelijk 3D Secure 1.0. Tijdens het betaalproces worden consumenten bij een creditcardbetaling doorgeleid naar een omgeving waar een pincode of wachtwoord moet worden ingevuld. Dit leidt vaak tot onnodig conversieverlies.

Als onderdeel van PSD2 wordt daarom 3-D Secure 2.0 ingevoerd. Consumenten ronden de betaling bijvoorbeeld af met een vingerafdruk of met gezichtsherkenning op hun telefoon. Deze nieuwe 3-D Secure variant maakt het dus mogelijk om de authenticatiecheck sneller/makkelijker te doorlopen. De verantwoordelijkheid voor de implementatie van een extra authenticatiemoment ligt bij de issuing bank, oftewel de bank die de creditcard heeft uitgegeven. Buckaroo zal als Payment Service Provider - waar dat kan - zorgdragen voor een frictieloos betaalproces. Dit gebeurt onder andere door eerst te checken of 3-D secure 2.0 wel nodig is, want er zijn uitzonderingen.

SCA is verplicht voor alle online transacties, maar er zijn uitzonderingen. Bijvoorbeeld in geval van low-risk payments neemt het aantal keren dat een klant SCA moet worden geverifieerd af. Buckaroo zal haar check-out proces aanpassen, zodat webshops volledig gebruik kunnen maken van uitzonderingen om de conversie niet te belemmeren.

Wanneer een consument kiest voor ‘betalen met creditcard’. Dan doet Buckaroo een check om te kijken of er SCA toegepast dient te worden of niet. Of SCA nodig is hangt af van de creditcard én de uitzonderingen. Het blijft echter aan de issuing bank om te bepalen of de uitzondering wordt geaccepteerd. De betaalflow (met of zonder SCA) ziet er schematisch zo uit:

Online retailers hoeven zelf niets aan te passen. Buckaroo zal ervoor zorgen dat alle wijzigingen die nodig zijn om te voldoen aan de nieuwe richtlijn worden doorgevoerd in het check-out proces. We zullen - daar waar mogelijk - uitzonderingen toepassen op Strong Customer Authentication, om het afrekenproces soepel te laten verlopen.

[1] https://451research.com/451-research-s-global-unified-commerce-forecast-uncovers-dramatic-shifts-in-consumer-spending-patterns
[2] https://www.ecb.europa.eu/pub/cardfraud/html/ecb.cardfraudreport201809.en.html

*N.B. De inhoud van de blogpost is gebaseerd op de officiele PSD2-richtlijn.