De voordelen van Strong Customer Authentication voor banken en fintechs
De invoering van PSD2 betekent ook de verplichte invoering van zogeheten ‘strong authentication’ voor gevoelige transacties. Een gewoon wachtwoord wordt als onvoldoende beschouwd, consumenten moeten onder PSD2 inloggen via twee of meer schijven. Voor banken en andere betaalaanbieders is dit een kostbaar proces. Volgens online beveiliginsexpert Entersekt Europe biedt het echter ook grote voordelen.
Inloggen via twee of meer schijven wordt ‘strong customer authentication’ genoemd of ook wel ‘two factor authentication’. Volgens PSD2 is ‘strong authentication’ gedefinieerd als: … gebaseerd op twee of meer elementen gecategoriseerd als kennis (iets dat alleen de gebruiker weet), bezit (iets dat alleen de gebruiker heeft) of kenmerkende eigenschap (iets dat alleen de gebruiker is), waarbij de inbreuk op één onderdeel geen invloed heeft op de betrouwbaarheid van de andere onderdelen, en ontworpen is dat het de vertrouwelijkheid van de betreffende data beschermt.
Dat is een hele mond vol. In lekentaal betekent het bijvoorbeeld een wachtwoord in combinatie met een code die de gebruiker op zijn mobiel ontvangt, of een wachtwoord in combinatie met een vingerafdruk. De gebruiker moet uitdrukkelijk instemmen met elke gevoelige transactie. In Europa eist PSD2 nu niet alleen twee-factor authenticatie voor alle online transacties boven de €30?, maar ook de mogelijkheid om de klant veilig te associëren met zijn persoonlijke authenticatie-apparaten, zoals de smartphone als bezitsfactor.
Fysieke bezitsfactor
Het voordeel van de mobiele telefoon als fysieke bezitsfactor, is dat gebruikers binnen vier tot twaalf minuten (gemiddeld kijken mensen zo’n 80 keer per dag op hun smartphone volgens Amerikaans onderzoek) weten dat ze hun apparaat kwijt zijn. De gebruiker kan dus meteen actie ondernemen door het account te blokkeren om fraude-transacties tegen te gaan. Bij andere gebruikte fysieke authenticatiehulpen, zoals voorheen kaartlezers, duurde dit vele malen langer.
De implementatie van deze beveiligingsmaatregel is een grote investering voor banken en fintechs. Er moet dus wat tegenover staan. Sterke klantauthenticatie vergroot de veiligheid van zowel de consument als de bank aanzienlijk én werkt op termijn zelfs winstgevend voor de bank. Hoe? Volgens Claudius van der Meulen - Senior Vice President bij Entersekt Europe - gebeurt dat op de volgende drie manieren.
- Diefstal wordt moeilijker. Sterke klantauthenticatie maakt van de telefoon een bezitsfactor (een ‘iets wat de gebruiker heeft’). Omdat de mobiele telefoon dus fysiek in bezit moet zijn van de gebruiker om een transactie te kunnen doen, worden digitale aanvallers gedwongen om ook de fysieke wereld te betreden. Zij moeten namelijk niet alleen het digitale kanaal of account van de gebruiker of financiële instelling hacken, maar ook het device in handen zien te krijgen. Diefstal moet dus naast digitaal, ook fysiek plaatsvinden. En dat is een stuk lastiger.
- Datalekken vormen geen directe bedreiging. Zoals het stelen van slechts één tastbaar bezit geen bedreiging meer vormt door sterke klantauthenticatie, zullen online datalekken ook niet meer fataal zijn. Één wachtwoord is immers niet voldoende om een betaling te verifiëren. Zelfs wanneer de gegevens van een consument gestolen zijn, kunnen fraudeurs niet gemakkelijk inloggen op hun bankrekening of transacties initiëren. De bezitsfactor ontbreekt dan immers. Dus wanneer de gebruiker (in dat geval) via de mobiele telefoon een pushmelding ontvangt om de transactie goed te keuren, is hij direct gealarmeerd.
- Aantal transacties neemt toe. Met de invoering van PSD2 worden gebruikers gedwongen om hun transacties goed te keuren met een token dat zij bezitten. Wanneer de gebruiker actief betrokken is bij het authenticatieproces, is de uitvoering van de transactie het bewijs dat de gebruiker ermee heeft ingestemd, ten voordele van de financiële instelling. De gedane transacties zijn daarmee definitief. Dit voorkomt storneringen (het moeten terugdraaien van transacties), wat betekent dat banken en andere instanties direct goed zicht hebben op wat er binnenkomt en uitgaat. Meer controle zorgt voor meer vertrouwen en dus meer transacties is de achterliggende theorie.
Recent onderzoek heeft aangetoond dat consumenten steeds bereidwilliger worden om een actieve rol te spelen in het beheer van hun digitale beveiliging, maar gebruiksgemak zal hierin altijd een cruciale rol spelen. Voor banken en instellingen ligt hier de uitdaging om de ervaring voor klanten zo soepel mogelijk te maken.