Voorbereidingen op PSD3: Voorgestelde wijzigingen in SCA en APP-fraudepreventie
Banken en financiële instellingen worden voortdurend geconfronteerd met nieuwe vormen van bank- en betalingsfraude, variërend van phishing en overboekingsfraude tot zogenoemde authorized push payment (APP)-fraude. Hoewel PSD2 een solide kader heeft gecreëerd, heeft de Europese Unie de richtlijn opnieuw bekeken om de toenemende druk van bankfraude effectiever te bestrijden. Dit heeft geleid tot een voorstel voor een nieuwe verordening: de PSD3.
In zijn nieuwe whitepaper, ‘PSD3: Current status of SCA and authorised push payment fraud prevention requirements’, bespreekt Frederik Mennes (Director of Product Management & Business Strategy bij OneSpan) de huidige status van deze regelgevende herziening.
Hierbij wordt de nadruk gelegd op de voorgestelde wetswijzigingen in twee belangrijke gebieden: strong customer authentication (SCA) voor digitaal bankieren en betalingen, én de preventie van APP-fraude.
Strong customer authentication
PSD2 werd officieel ingevoerd in 2019. SCA-methodes zijn ontworpen om online gebruikers te beschermen tegen fraudeurs door minstens twee verificatiefactoren te vereisen tijdens een transactie. Om het SCA-proces te vereenvoudigen en te verbeteren, stelt de nieuwe PSR-regelgeving het volgende voor:
Een aangepaste definitie van SCA: De twee factoren die gebruikt worden voor identiteitsverificatie hoeven niet uit verschillende categorieën te komen, zolang ze maar onafhankelijk van elkaar zijn. Dit maakt het bijvoorbeeld mogelijk om een SCA-mechanisme op te zetten met twee elementen van inherentie (zoals een vingerafdruk en gezichtsherkenning).
Wel blijft de eis bestaan dat het mechanisme dynamische authenticatiecodes genereert, waardoor twee kennisfactoren (zoals wachtwoorden) waarschijnlijk niet zijn toegestaan.
Nieuwe toegankelijkheidseisen voor SCA-mechanismen: Aanbieders van betaaldiensten (PSP’s) moeten verschillende vormen van SCA ondersteunen, zodat alle gebruikers, inclusief personen met een beperking, ouderen, mensen met beperkte digitale vaardigheden en personen zonder toegang tot digitale kanalen of smartphones, SCA kunnen uitvoeren.
Als iemand bijvoorbeeld geen telefoon heeft om een eenmalige code te ontvangen, moet de PSP een alternatief zoals een hardware-token aanbieden.
Nieuwe vereisten voor ondersteuning van verschillende authenticatiemethoden: PSP’s moeten diverse authenticatiemethoden zoals hardware-tokens en smartcards ondersteunen en SCA-mogelijkheden gratis aanbieden.
Momenteel hanteren veel PSP’s een uitsluitend mobiele aanpak of rekenen kosten voor authenticatie, maar deze wijziging moet ervoor zorgen dat alle klanten adequaat worden bediend.
Authorised push payment (APP) fraud prevention
In de digitale wereld is het voor kwaadwillenden eenvoudig geworden zich voor te doen als betrouwbare instanties zoals banken of overheidsorganisaties. Deze fraudeurs maken gebruik van het vertrouwen van hun slachtoffers om hen te manipuleren tot het uitvoeren van een betaling naar een frauduleuze rekening, wat bekend staat als APP-fraude.
De afgelopen jaren is het aantal gevallen van APP-fraude met ongeveer 10% per jaar toegenomen, waardoor dit één van de zorgwekkendste vormen van digitale betalingsfraude is.
Om PSP’s te helpen bij het bestrijden van APP-fraude, biedt de PSR een reeks tegenmaatregelen.
IBAN/naam-controleservice: Bij een overschrijving kan de PSP van de betaler aan de PSP van de ontvanger vragen of de naam en het IBAN overeenkomen, om fraude via social engineering tegen te gaan. Een vergelijkbare dienst, ‘confirmation of payee’, bestaat al in landen zoals Nederland en het Verenigd Koninkrijk.
Aansprakelijkheid bij fraude: Wie aansprakelijk is bij fraude hangt af van de omstandigheden. In sommige gevallen is de PSP aansprakelijk, in andere mag die aansprakelijkheid worden doorgeschoven naar aanbieders van elektronische communicatie of digitale diensten. Daarom zijn alle betrokken partijen verplicht om organisatorische en technische maatregelen te nemen ter voorkoming van fraude.
Transactiemonitoring: Volgens PSD2 moeten PSP’s mechanismen hebben om transacties te monitoren en om SCA en uitzonderingen daarop te ondersteunen. Met PSD3 krijgen PSP’s ook expliciet het recht om een betaling tegen te houden als zij sterk bewijs hebben dat het om een frauduleuze transactie gaat.
Delen van fraudedata: Binnen de kaders van de GDPR mogen PSP’s fraude-informatie delen met andere PSP’s over personen die frauduleuze betalingen hebben ontvangen. Dit kan onder meer gaan om persoonlijke identificatiegegevens, fraudepatronen en transactiegegevens. Zo kunnen PSP’s elkaar waarschuwen en sneller maatregelen nemen.
Gebruikersvoorlichting: PSP’s zijn verplicht hun klanten en personeel beter bewust te maken van betalingsfraude. Dit omvat informatie over het herkennen van fraude, hoe men zich ertegen kan beschermen, en waar fraude gemeld kan worden.
Een grondig beoordelingsproces
Het Europees Parlement heeft op 23 april 2024 ingestemd met deze versie van de PSR-verordening. Vervolgens zal de Raad van de Europese Unie de verordening herzien, waarna trilogen zullen plaatsvinden – informele driepartijenbesprekingen tussen vertegenwoordigers van de Europese Commissie (DG FISMA), het Parlement en de Raad. De verwachting is dat dit proces in de eerste helft van 2025 wordt afgerond.
De PSD2-wetgeving heeft Europese financiële instellingen geholpen om account takeover (ATO) fraude aan te pakken door de verplichte invoering van SCA. De komende PSD3/PSR-regelgeving is gericht op het bestrijden van APP-fraude, dat nu een grotere dreiging vormt dan ATO. In de komende jaren zal blijken of de voorgestelde maatregelen in PSD3 voldoende effectief zijn.
