Countdown to PSD2: 3 tips om te overleven
Er ging kort geleden een kleine zucht van verlichting door retailland in Europa. Onlangs verkondigde the European Banking Authority (EBA) namelijk dat de PSD2 deadline van 14 september 'op uitzonderlijke basis' mag worden verlengd door nationale toezichthouders. Daar wordt in meerdere landen gretig gebruik van gemaakt.
Dat de aankondiging welkom was, blijkt wel uit het feit dat inmiddels na Denemarken en Frankrijk nu ook Groot-Brittanië en Ierland ervoor hebben gekozen de deadline uit te stellen. Handelsvereniging EPSM, een Europese organisatie die bestaat uit betaaldienstverleners voor (web)winkeliers, pleit voor een uitstel van de deadline van 18 maanden. In Duitsland is gekozen voor een vertraging van de wet. Daar zullen betalingsdienstaanbieders na 14 september 2019 voorlopig nog steeds creditcardbetalingen online toestaan zonder een Strong Customer Authentication (SCA). Het uitstel is bedoeld om storingen in online betaalprocessen te voorkomen en om de overgang naar de nieuwe vereisten te versoepelen.
Later Strong Customer Authentication?
De richtlijn is van toepassing in de gehele EU, met inbegrip van de EER. In België en Nederland is tot op heden geen sprake van uitstel en zullen de regels voor niet-contante betalingen vooralsnog op 14 september veranderen. De Nederlandsche Bank (DNB) geeft echter aan in beperkte mate extra tijd toe te staan aan marktpartijen die de invoering van SCA voor creditcardtransacties niet tijdig hebben kunnen voorbereiden.
De richtlijn biedt een betere bescherming van klantgegevens en maakt het online delen van data weer veiliger. Simpel gezegd komt het erop neer dat alleen betalingsdiensten die PSD2-conform zijn, kunnen worden gebruikt voor online aankopen met creditcard. Hierbij is de tweestapsverificatie die nodig is voor SCA onontbeerlijk. Klanten kunnen bij een bedrag boven de dertig euro niet langer met een muisklik betalen, of slechts met een creditcardnummer.
Er horen vanaf de 14e twee veiligheidsstappen te worden gezet. De twee stappen moeten een combinatie zijn van twee van de volgende drie opties:
- Kennis, zoals een wachtwoord of een pincode
- Bezit, zoals een creditcard of smartphone
- En iets persoonlijks, zoals een vingerafdruk of irisscan
Een combinatie van een pincode en wachtwoord volstaat dadelijk dus niet meer, aangezien het in beide gevallen om kennis gaat. Een vingerafdruk in combinatie met een wachtwoord kan dan weer wel.
Wie is er klaar voor?
Dat er steeds meer landen om uitstel vragen zegt eigenlijk al genoeg. Terwijl banken en externe partijen zoals Fintechs goed voorbereid zijn en de deadline halen, zijn sommige bedrijven die online betalingen aanbieden nog niet klaar voor een PSD2-conform betaalproces. Dit kan in het ergste geval leiden tot achtergelaten digitale winkelmandjes omdat de betaling niet kan worden afgerond – met inkomstenverlies en ontevreden klanten tot gevolg. Volgens een Europabreed onderzoek van het betalingsplatform Stripe en 451 Research dalen de inkomsten in het eerste jaar na de inwerkingtreding van de richtlijn met 57 miljard euro. Zulke negatieve gevolgen voor de detailhandel staan haaks op het doel van de nieuwe richtlijn: meer veiligheid en bescherming tegen fraude, meer innovatie en vooral een betere, soepelere en meer comfortabele klantervaring.
Drie stappen voor een soepele klantervaring na 14 september
Wat er ook gebeurt, uitstel of niet, het is tijd voor actie. Wat kunnen bedrijven nu het beste doen? Volgens Ramesh Ramani, Head of Banking & Financial Services Europe bij Cognizant, zijn er drie stappen die elke winkelier moet nemen:
1- Stel een migratieplan op
Selecteer een dienstverlener voor betaalprocessen en let er in het bijzonder op in hoeverre deze een zo soepel mogelijke winkelervaring met sterke authenticatie mogelijk maakt.
2- Vergeet niet de uitzonderingen
Bedragen onder de dertig euro hoeven niet te voldoen aan de tweestapsauthenticatie, zoals betalingen van abonnementen. Het is ook mogelijk om een winkelier als “vertrouwd” (witte lijst) te markeren bij de desbetreffende kredietverstrekker. Als winkelier moet je juist deze mogelijkheden optimaal benutten.
3- Blijf op de hoogte
De nieuwe richtlijn werkt uiteindelijk in ieders voordeel. Goed geïntegreerd moet het leiden tot meer zekerheid, lagere kosten, meer flexibiliteit en innovatie. Sta eens stil bij de mogelijkheden voor jouw winkel of bedrijf en bedenk hoe deze voordelen in jouw geval het beste kunnen worden benut. Nu kun je het nog meenemen in je migratieplan.
Verlenging van de deadline of niet, de tijd om alles in orde te maken is relatief kort. Gebruik de tijd die je nog hebt goed en laat PSD2 voor je werken.
Lees ook: Klaar voor sterke klantauthenticatie?
(bron: Cognizant)