Lobby voor uitstel Strong Customer Authentication lijkt succesvol, wat nu?
De deadline van de nieuwe betaalwet PSD2 komt steeds dichterbij. Het doel is om betalen makkelijker en vooral veiliger te maken voor betaalpartijen, consumenten en retailers. Een van de laatste loodjes is Strong Customer Authentication (SCA), ook wel bekend als tweestapsverificatie. Vanaf 14 september 2019 moeten alle transacties hieraan voldoen. Maar wat betekent deze invoering voor de betrokken partijen, nu de deadline nadert? Aan het woord is Claudius van der Meulen, Senior Vice President bij Entersekt Europe.
‘Strong customer authentication’ wordt verplicht bij elke aankoop boven de €30. Dit betekent dat een betaling moet worden goedgekeurd met minimaal twee van de drie veiligheidsfactoren. Een bezitsfactor is iets wat je hebt, zoals je mobiele telefoon. De tweede factor is een kennisfactor, iets wat je weet, zoals je pincode. Een inherente factor staat voor iets wat je bent, zoals je vingerafdruk. Als een klant bijvoorbeeld online nieuwe schoenen van €80 koopt via zijn smartphone, moet de betaling met nog minstens één andere factor geauthenticeerd worden. De smartphone is in dit geval de eerste factor, een tweede factor kan een pincode of vingerscan zijn. Op deze manier voldoet de transactie aan de eisen van SCA en is deze in lijn met PSD2.
De deadline van SCA is 14 september, terwijl slechts een kwart van de Europese bedrijven compliant is. Er wordt dan ook gepleit voor uitstel voor de invoering van SCA. Maar wat zijn de gevolgen van eventueel uitstel?
Veiliger online shoppen
Er zijn voor online retailers verschillende overwegingen om SCA zo laat mogelijk te implementeren. Zo geeft het webshopkeurmerk Thuiswinkel in een recente uiting aan het niet eens te zijn met de invoering van SCA. Er wordt gevreesd dat de invoering van SCA de customer journey en de gebruikerservaring negatief beïnvloedt. Betalen wordt voor de klant complexer en de webwinkelier heeft hier geen controle over. Daarom wordt beweerd dat retailers geen belang hebben bij het eerder invoeren van PSD2 of SCA. Dit zou mogelijk zelfs een nadeel kunnen zijn ten opzichte van concurrentie. Een consument kiest dan simpelweg voor een andere webshop. Maar is deze onrust terecht?
Wie is verantwoordelijk?
Eerst even een stapje terug. Is het wel aan retailers om compliant te worden? In veel gevallen is dit niet zo. Zeker de kleinere webshops gebruiken iDEAL of andere betaalmethoden zoals Paypal, Afterpay of creditcard, waaraan een betaalgigant verbonden zit zoals Mollie of Adyen. Het is aan deze partijen om compliant te worden, niet aan de retailer. Alleen webgiganten die besluiten het betaalproces in eigen hand te nemen, moeten met hun betalingsoplossing compliant zijn en zich dus buigen over SCA. Een voorbeeld hiervan is Amazon, met zijn onlangs gelanceerde AmazonPay.
In veel gevallen is het niet aan de retailer om compliant te worden, maar aan betaalgiganten als Mollie of Adyen.
Voor de meeste webshops gaat er dus niet veel veranderen. Het merendeel van alle betalingen wordt gedaan via iDEAL, dat al compliant is met SCA. Voor betalingen via iDEAL verandert er dan ook niets. Voor andere betaalmethoden is het de taak van de betaalgiganten die deze aanbieden om compliant te worden met SCA. De webshop zal vanzelf op de hoogte gesteld worden door de betaalpartij wanneer er iets verandert.
Het voordeel van SCA
Daarnaast is het belangrijk ook stil te staan bij de positieve punten van de invoering van SCA, want die zijn er zeker. Het belangrijkste voordeel van SCA is de betere beveiliging van online betalingen. Dit is naast een voordeel voor de webwinkelier zeker ook voordelig voor de consument. Het is van belang daadwerkelijke veranderingen na de invoering van SCA helder te communiceren naar de consument. Zorg ervoor dat het de customer journey niet onderbreekt door de voordelen voor de consument duidelijk te benoemen. Binnenkort moeten alle transacties aan de voorwaarden van SCA voldoen. Er is dan niet langer sprake van eventueel concurrentievoordeel tussen webshops. Als de deadline eenmaal voorbij is, verandert er weinig. De grootste verandering is dat transacties beter worden beveiligd en we daardoor veiliger online kunnen winkelen.
Uitstel van deadline
Het halen van de officiële deadline van 14 september is wellicht niet noodzakelijk. Inmiddels is bekend dat de toezichthouders in het Verenigd Koninkrijk en in Ierland het eens zijn met uitstel van de deadline, als er maar snel genoeg een plan op tafel ligt om de nieuwe deadline wel te halen. Was de deadline te ambitieus? Volgens mij niet. De deadline van september staat al lange tijd en sommige instellingen zijn wel op tijd klaar. Of de deadline van 14 september door alle relevante partijen wordt gehaald is nog niet duidelijk. Maar dat de invoering van SCA er komt, dat is zeker. Voor webshops is het daarom van wezenlijk belang om te kiezen voor een betalingspartner die de beste klantervaring biedt in SCA. Het zou wel eens een onderscheidende factor kunnen worden.
