Er is al veel over geschreven, de PSD2, ondertussen zijn de eerste regels succesvol doorgevoerd. De laatste fase, waarvoor 13 september de deadline is, zorgt echter voor veel rumoer in de Financiële wereld: Het invoeren van de SCA (Strong Customer Authentication) regels.
De één noemt dé datum al jaren te optimistisch, de ander verwijt de banken dat er te lang is gewacht met implementatie. Er wordt gevreesd voor veel ‘frictie’ in het betaalproces met hoge aantallen onafgemaakte creditcardbetalingen, waardoor winkeliers (merchants) veel omzet gaan missen.
Dit is een longread voor ondernemers en FinTech fans, die graag van de hoed en de rand willen weten. Richt je jezelf liever op je business, dan zit je bij Pay. goed. Wij zullen jouw betalingsverkeer routeren en optimaliseren, via slimme techniek worden de regels juist geïmplementeerd, zodat de minst mogelijke frictie in het betaalproces ontstaat.
Termen voordat je start met lezen:
SCA | Strong Customer Authentication |
2FA | Two factor authentication, naast dat je iets weet, dien je ook iets in je bezit te hebben |
3D Secure | De wijze waarop creditcardbetalingen worden voorzien van 2FA om zo te voldoen aan de SCA |
OTP | One Time Password, een wachtwoord dat bij elk gebruik wijzigt, zodat het moeilijke te hacken is |
ISSUER | De financiële instelling (vaak een bank) welke de creditcard verstrekt aan de kaarthouder |
EXEMPTION | Uitzonderingsaanvraag op de SCA-verplichting, welke door de issuer kan worden gebruikt |
FRICTIELOOS | Het kunnen betalen, meer een SCA-exemption, dus zonder obstakels zoals een OTP |
TOKENISEREN/TOKENISATION | Het beveiligd opslaan van kaartgegevens, zodat met een token een herhaalbetaling kan worden uitgevoerd, ook wel CARD ON FILE genoemd |
LIABILITY SHIFT | De financiële aansprakelijkheid van fraude verleggen naar de issuer |
VERIFY-module | Een eigen platform van Pay. dat de betrouwbaarheid van de betaling bepaald. Voor, tijdens en na de betaling. |
TRA | Transaction Risk Analysis |
MOTO | Mail Or Telephone Order |
CIT | Cardholder initiated transaction |
MIT | Merchant Initiated transaction |
Wat is SCA?
Strong Customer Authentication wordt ook wel Two factor Authenticatie (2FA) genoemd en is bedacht om consumenten nog beter te beschermen tegen fraude. Eenvoudig te vergelijken met iDEAL. Vanuit je desktop voer je een betaling uit welke je met een ander apparaat valideert. Dit kan bijvoorbeeld een random reader zijn van de Rabobank, een TAN-code of een ander soort “Identifier” (app). Tegenwoordig zie je met de opkomst van de iDEAL QR, dat ook steeds vaker de mobiele APP wordt gebruikt als tweede validator.
Wat is het probleem?
Met de SCA-verplichting voor creditcardbetalingen, wordt het allemaal wat strakker en daardoor veiliger. Het is mogelijk om door middel van slimme techniek, met bewezen succes (lage fraude) gebruik te maken van uitzonderingen (exemptions), waardoor een kaarthouder toch zo soepel mogelijk kan betalen. Om van deze opties gebruik te kunnen maken, moeten banken hun beveiligingsmethoden en techniek aanpassen. Hiervoor is 3D Secure 2.X geïntroduceerd, en hier ligt ook grotendeels het probleem.
Ongeveer een maand voor de invoering van de SCA-regel voor 3D Secure zijn veel banken nog niet in staat om de kenmerken en exemptions die bij betalingen worden meegegeven goed te interpreteren. Met andere woorden: ‘ze zijn niet klaar voor 3Dsecure 2.X’. Ondernemers verwachten dat zonder deze mogelijkheden, alle kaarthouders telkens een volledige autorisatie moeten uitvoeren. De markt is lichtelijk in paniek, doordat sommige kaartuitgevende banken (issuers) nog geen 3D Secure ondersteunen. Daarnaast zijn nog niet alle kaarthouders aan 3D Secure gewend, met een lagere conversie voor de ondernemer tot gevolg en een mogelijke stortvloed van vragen aan de klant services van de issuers.
Wie zijn verantwoordelijk en wat doen ze met deze signalen?
De lobbymachine in Europa draait ondertussen op volle toeren. Het doel is om uitstel te vragen op de SCA-richtlijnen binnen de PSD2 wetgeving. Zo kunnen financiële instellingen zich technisch beter voorbereiden. De Europese Bankenautoriteit (EBA) heeft als overkoepelende toezichthouder al aangegeven dat de nationale toezichthouders bij wijze van uitzondering en om onbedoelde negatieve gevolgen voor sommige gebruikers van betalingsdiensten na 14 september 2019 te voorkomen, kunnen besluiten om samen te werken met betalingsdienstaanbieders en belanghebbenden om beperkte extra tijd te voorzien.
Ondertussen hebben Denemarken en Frankrijk al uitstel verleend. Duitsland, Ierland en Verenigd Koninkrijk stellen de invoering van de SCA regel tot nader order uit en gaat zelfs al uit van een transitieperiode van 18 maanden. De Nederlandsche Bank (DNB) acht ook uitstel nodig, maar wacht op de EBA daar zij een duidelijk migratieplan wil op een Europees niveau met een gelijk speelveld. Of- en voor hoelang Nederland uitstel verleend is dus nog onbekend.
"Uitstel is geen afstel, er zal een moment komen dat de SCA-regels moeten worden geïmplementeerd, maar een periode van uitstel geeft de banken en consumenten meer tijd om te wennen, zodat de (tijdelijk) impact kleiner wordt." Aldus Olaf Kok
Wat verwacht Pay.
- Wij verwachten dat de invoering van de SCA-regels met minimaal 12 en maximaal 18 maanden zal worden uitgesteld.
- Bij geen uitstel zullen klanten wellicht een andere betaaloptie kiezen, of op zoek gaan naar de 3D Secure codes. Een klein aantal klanten, vooral uit landen waar 3D Secure nog geen gewoonte is, zal het orderproces verlaten.
- Voor ondernemers met een hoog risico op fraude zal flinke verbetering in de fraude ratio’s ontstaan. Doordat meer klanten met 3D Secure kunnen betalen én de introductie van het OTP.
- Transacties zullen veiliger in de EU worden afgewikkeld.
De techniek en oplossingen - 2FA, OTP, TRA, MOTO, CIT en MIT
Wat hebben 2FA, OTP, TRA, MOTO, CIT en MIT met elkaar gemeen? Het zijn allen afkortingen die gebruikt worden in het Strong Customer Authentication proces. Om te voldoen aan SCA zijn er diverse technische vraagstukken en oplossingen. Hieronder lichten we deze toe.
Two factor authentication
SCA vereist dat er bij online creditcardbetalingen een (extra) authenticatiestap moet plaatsvinden. Waar tot voor kort het creditcardnummer, vervaldatum en de CVC-code voldoende waren, moeten klanten nu minstens twee van de drie extra authenticatiemethoden gebruiken als ze online voor iets willen betalen, te weten; iets wat je hebt (smartphone), weet (wachtwoord/pincode) of wat je bent (vingerafdruk/gezichtsherkenning).
One Time Password (OTP)
Een ander voordeel van deze nieuwe wetgeving wat zeker het aantal fraudegevallen zal laten dalen, is de verplichte introductie van een OTP. In veel landen zijn de authenticatie opties langzaam uitgebreid, van bijvoorbeeld een creditcardnummer, aangevuld met vervaldatum en later ook de CVC of zelfs een Adres Verificatie Service (AVS)’ en later ook een password. Maar uiteindelijk zijn dit allemaal statische gegevens, welke door phishing alsnog kunnen worden ontvreemd.
"Pay. ziet het regelmatig voorkomen dat volledige lijsten met kaartnummers, inclusief CVC en geldige 3D Secure verificatie worden misbruikt. In de meeste gevallen komen deze frauduleuze pogingen onze VERIFY-module niet door." Aldus Herbert Koebrugge (Risk Officer bij Pay.)
Door het verbod op een statische password zal de levensduur van via phishing verkregen gegevens aanzienlijk worden verkort. Met een lager fraude ratio tot gevolg. Minder fraude betekent minder kosten voor financiële instellingen, beter voor het consumentenvertrouwen en is uiteindelijk goed voor de ondernemer.
3D Secure 2.X - een uitgebreidere versie van 3D Secure
3D Secure 1.0 voldoet niet aan alle regels opgenomen in de PSD2. Sommige banken gebruiken nog statische wachtwoorden en zijn technisch niet voorbereid op een OTP. Binnen dit protocol is er geen mogelijkheid opgenomen voor ‘exemptions’. Banken missen hierdoor waardevolle informatie om het risicoprofiel te kunnen bepalen, met het gevolg dat er amper betalingen frictieloos kunnen worden afgehandeld. Dit moet 3D Secure 2.X gaan oplossen. Deze is gestart als 2.0 en ondertussen via de korte tussenversie 3D Secure 2.1 geëvalueerd naar 3D Secure 2.2. Hierbij ontvangt de Issuer meer informatie over de transactie en de Merchant bij het verificatieverzoek. Deze informatie kan worden gebruikt voor een betere riskanalyse. Een Issuer kan op deze wijze bepalen dat een OTP voor een bepaalde transactie niet nodig is. Dit gebeurt in beperkte gevallen ook bij 3D Secure 1.0. Bijvoorbeeld bij American Express in combinatie met SafeKey bij online betalingen van lage waarde, of vanaf devices (bijvoorbeeld tablets of mobiele telefoons) welke al eerder betalingen hebben uitgevoerd.
Ook zien wij binnen Nederlandse banken zoals ING 3D Secure betalingen zonder OTP welke toch volledig 3D Secure worden afgehandeld. Banken verwachten tot minimaal 14 september 2020 nodig te hebben. Op dat moment is ongeveer 70% 3D Secure 2.2 compatible. Een half jaar later zal dit percentage op 100% liggen.
Zodra banken over zijn op 3D Secure 2.2, wordt er verwacht dat ongeveer 95% van de betalingen zonder OTP afgehandeld kan worden.
“Of een bank nu 3D Secure 1.0 of 3D Secure 2.X gebruikt, maakt niet uit. Pay. ondersteunt beide werkwijzen." Aldus Olaf Kok.
Transaction Risk Analysis (TRA)
Indien een PSP een goede risicoanalyse kan maken, mag zij voor de Merchant een uitzondering op de SCA aanvragen of juist forceren dat er wel volledig wordt geverifieerd.
Uitzondering op SCA by low value payment en lage fraude Merchants:
< 30 euro met totaal van < 100 euro of 5x Exemption mag altijd <100 euro Fraude < 0,13% <250 euro Fraude < 0,06% <500 euro Fraude < 0,01%
Indien er een exemption is aangevraagd door de Merchant (via PAY) dan is zij verantwoordelijk voor eventuele fraude. Indien de Bank de exemption aanvraagt, dan is zij verantwoordelijk voor de fraude (liability shift).
Een issuer mag altijd alsnog 3D Secure vragen, ook als de Merchant een exemption aanvraagt. Bijvoorbeeld als de kaart al vijf keer gebruikt is met een exemption voor de bestelling bij andere Merchants.
"Onze VERIFY-module zorgt voor lage frauderatio, waardoor de issuer meer betalingen frictieloos zal verwerken” Aldus Olaf Kok.
Merchant whitelisting
De kaarthouder heeft de mogelijkheid om een bepaalde ondernemer te whitelisten. Deze optie is zonder goede automatisering nogal complex en arbeidsintensief voor de issuer. Het whitelisten gaat op basis van de ‘bedrijfs- of handelsnaam’. Pay. geeft deze mee bij elke betaling, maar na een belrondje langs enkele creditcardmaatschappijen is het ons niet volledig duidelijk hoe een consument de onderneming als betrouwbaar kan markeren (whitelisten). Het 3Dsecure 2.X systeem is wel voorbereid op een verzoek van de merchant aan de consument, om direct te whitelisten, maar praktijkvoorbeelden zijn nog niet gezien.
NON EU betalingen (One leg transactions)
Indien de acquirer of issuer zich buiten de EU bevinden, hoeft er niet te worden voldaan aan de SCA-regels. Pay. werkt enkel met acquierers binnen de EU. Dus voor jou als Merchant van Pay. is deze regel eenvoudiger uit te leggen: Bevindt de bank van de kaarthouder zich buiten de EU, dan is SCA niet verplicht.
“Ik ben blij dat al deze veranderingen door Pay. in de gaten worden gehouden. Voor mij verandert er dus weinig, ik kijk toe, en hoop dat mijn klanten soepel kunnen blijven betalen". Aldus één van onze merchants.
Pinbetalingen
Bij pinbetalingen via een Pay. terminal voldoe je reeds aan de regels. Alle consument betaalkaarten in de EU die betrokken zijn bij deze regelgeving zijn voorzien van een pincode (= iets wat alleen een kaarthouder weet). Indien er een exemption (low value payment) kan worden gemaakt, accepteert de betaalautomaat de transactie zonder pincode. Indien de consument meer dan het toegestane aantal betalingen heeft uitgevoerd zal de automaat vragen om de pincode.
Ook zakelijke betaalkaarten en de kaarten buiten de EU zijn meestal voorzien van een pincode (>99%). Indien er toch een handtekening nodig is, ontvang je vanuit het betaalscherm of onze API een ‘handtekening nodig’ melding. Gebruik je Pay. via een kassaleverancier dan is deze functionaliteit reeds geïmplementeerd.
MOTO en MIT (Merchant Initiated transaction)
Maak je gebruik van het MOTO (Mail Order Telephone Order) platform van PAY of van MIT-transacties, dan is er geen SCA-verplichting. In combinatie met tokenisatie heb je meestal voldoende aan de laatste 4 getallen van de creditcard of de naam van de kaarthouder om de MOTO transactie te starten. Een token koppel je eenvoudig aan het account van een gebruiker in je eigen systeem, om zo een betaling te verwerken.
Hoe gaat Pay. om met 3D Secure bij een E-commerce betaling
Wij bekijken jouw voorkeuren en de kaarttypes welke je wilt accepteren (zakelijk, consumenten, enkel met 3D Secure en/of liability shift). Er kan zelfs voor gekozen worden om alle kaarten te accepteren, inclusief verantwoordelijkheid voor fraude bij jou als ondernemer. Deze informatie combineren we met het frauderatio van je onderneming
Wij kijken of wij jouw klant kunnen vertrouwen op basis van de informatie welke je ons aanlevert en welke informatie wij zelf hebben van die klant en op basis daarvan berekenen wij de kans op fraude. Als wij de betaling onvoldoende vertrouwen, controleren wij bij de bank of deze kaart 3D Secure ondersteunt. Indien de bank teruggeeft dat er een liablity shift is (de bank is aansprakelijk voor fraude), verwerken wij de betaling direct, of plaatsen deze in de VERIFY-module).
Indien de bank enkel 3D Secure 1.0 ondersteunt, sturen de klant door naar het 3D Secure 1.0 autorisatie systeem van de bank, waar de betaling moet worden bevestigd
Indien de bank 3D Secure 2.X accepteert kunnen we kijken of er een exemption mag worden gebruikt. Bijvoorbeeld bij een onderneming met weinig tot geen fraude of bij low value payments. Indien nodig, sturen wij de klant wederom door naar het 3D Secure autorisatiesysteem van de bank.
Indien onze klant slechts beperkte transactiegegevens meestuurt bij de betaling, kan deze niet worden gebruikt bij een 3Dsecure 2.0 verificatie. Je kunt dit controleren in je eigen online transactieoverzicht, bij je e-commerce partner of je accountmanager.
Pay. ontzorgt je!
Als klant van Pay. hoef je zelf niets aan te passen om aan deze nieuwe regelgeving te voldoen. Pay. zal ervoor zorgen dat alle wijzigingen die nodig zijn om te voldoen aan SCA worden doorgevoerd in het check-out proces, zodat alle betalingen gestroomlijnd binnen kunnen komen. Nog geen klant bij Pay., maar wel op zoek naar een strategisch partner in betalen die er ook voor zorgt dat je zelf niets aan SCA hoeft te doen? Neem contact op met één van onze specialisten via sales@pay.nl of telefonisch via 088-88 666 66.