Klaar voor sterke klantauthenticatie?

Door Bouko de Groot

Om online betaalfraude en misbruik van rekening- en betaalgegevens tegen te gaan en het consumentenvertrouwen in de Europese betaalsystemen te borgen, is sterke klantauthenticatie in de Europese betaalwetgeving verankerd. De nieuwe regels gaan 14 september in. Is uw bedrijf goed voobereid?

Veel bedrijven lijken niet op tijd klaar te zijn met hun voorbereidingen op sterke klantauthenticatie. Een recent rapport van 451 Research stelt dat 1 op de 5 bedrijven met minder dan 100 werknemers nog niet bekend is met de details en dat slechts 8 procent goed is voorbereid. Van de consument is zelfs 73 procent niet op de hoogte van de nieuwe regels. Pieter van Stempvoort, senior consultant bij Enigma Consulting, gidst u hieronder door het bos.

Sterke klantauthenticatie

Het begrip sterke klantauthenticatie (strong customer authentication) werd geïntroduceerd in de herziene Richtlijn Betaaldiensten (Payment Services Directive, afgekort PSD2). De richtlijn schrijft voor dat bij online betalingen en mobiele en kaartbetalingen aan de kassa de betaler zich onder voorwaarden moet authentiseren middels twee of meer van de volgende factoren:

• Kennis: iets dat alleen de betaler weet, zoals een wachtwoord of pincode.
• Bezit: iets dat alleen de betaler heeft, zoals een smartphone of e-identifier.
• Inherente eigenschap: iets dat de betaler is, zoals een vingerafdruk of gezichtsherkenning.

Deze zogenaamde 2-factorauthenticatie is ook verplicht bij het verkrijgen van online toegang tot een betaalrekening en bij het gebruik van de door PSD2 mogelijk gemaakte betalingsinitiatie- en rekeninginformatiediensten.

De introductie van sterkte klantauthenticatie creëert een spanningsveld tussen betaalgemak en fraudepreventie. Met name webwinkeliers vrezen dat de toepassing ervan voor conversieverlies gaat zorgen, doordat klanten afhaken in het afrekenproces. Het negatieve effect valt in Nederland wellicht wel mee: bijna zes op de toen Nederlandse online aankopen wordt gedaan met iDEAL, dat al gebruik maakt van 2-factorauthenticatie. De Nederlandse consument is dus al aan sterke klantauthenticatie gewend.

Nieuwe standaard

De Europese Bankautoriteit (EBA) heeft het verder uitgewerkt in Regulatory Technical Standards (RTS). Deze Europese regulering wordt per 14 september onverkort van kracht. Om onduidelijkheden in de RTS weg te nemen publiceerde de EBA afgelopen juni een uitgebreide toelichting, waaruit onder meer duidelijk wordt hoe de verschillende factoren kunnen worden geïmplementeerd en welke implementaties niet aan de PSD2 en RTS voldoen.
De RTS beschrijven verschillende uitzonderingen die het mogelijk maken om de stap van sterke klantauthenticatie over te slaan. Een juiste en volledige implementatie van deze uitzonderingen kan dus voor zorgen voor minder frictie in het afrekenproces.

Sommige van deze uitzonderingen, zoals een bedraggrens bij online betalingen en contactloze betalingen aan de kassa, zijn relatief simpel in te voeren. Andere uitzonderingen zijn echter meer complex om te implementeren. Eén van de meest ingewikkelde uitzonderingen is de mogelijkheid om sterke klantauthenticatie over te slaan bij online betalingen met een laag frauderisico.
Die uitzondering vereist een voortdurende toetsing van het frauderisico van betalingen aan de normen uit de RTS, op basis van een uitgebreide analyse van het transactierisico van de betaling en het betaalgedrag van de betaler. De beslissing of sterke klantauthenticatie in voorkomende gevallen terecht niet is toegepast ligt uiteindelijk bij de bank van de betaler. En dat bemoeilijkt de implementatie van uitzonderingen bij bijvoorbeeld webwinkeliers nog verder. 

Plan van aanpak

• Voor bedrijven die online betaalmogelijkheden bieden is er weinig aan de hand als zij gebruik maken van één van de grote PSP’s. Die zijn al op sterke klantauthenticatie voorbereid en regelen zelf actief de uitzonderingen op de toepassing van sterke klantauthenticatie. Ga dan wel na of de bij de PSP afgenomen betaalmethoden die aan klanten binnen de EU/EER aangeboden worden, voldoen aan de eisen uit de RTS (creditcards en betaalkaarten moeten gebruik maken van 3D Secure 2).
• Voor aanbieders van betalingsinitiatie- en rekeninginformatiediensten is het van belang om voor de interactie met de banken aan te sluiten op een breed gedragen interface standaard. Hoewel er inmiddels een veelheid aan zogenaamde API-standaards is ontstaan, valt de NextGenPSD2-standaard van de Berlin Group op door de brede ondersteuning door zo’n 2.500 banken in 24 landen.

In welke categorie u ook valt: vóór 14 september moet alles klaar zijn.

(bron: Enigma Consulting)