Oh jee, ik hoor je al denken: “Nóg een nieuwe richtlijn?”. Dat klopt inderdaad. In navolging van de PSD2 wetgeving van afgelopen februari 2019, gaat er op 14 september 2019 nóg een richtlijn in. Deze richtlijn, genaamd the Strong Customer Authentication (SCA) (in het Nederlands Sterke Klantauthenticatie), geldt over ruim een maand in de gehele Europese Unie. In dit bericht lees je hoe en wat dit voor jou als webwinkelier betekent!
Fraude met creditcards
Betalen met een creditcard gaat eigenlijk vrij simpel. Je voert je creditcardnummer en adres in – and you’re good to go! Deze snelle en simpele manier van afrekenen is hierdoor zeer fraudegevoelig. De cijfers liegen er dan ook niet om. De Europese Centrale Bank bracht namelijk naar buiten dat er voor 1,3 miljard dollar (!) aan online fraude is gepleegd met creditcards (dus bedrijven én consumenten). Gezien er is berekend dat de Europese e-commercemarkt zal groeien naar bijna 900 miljard in 2022 , schreeuwt dit eigenlijk om een nieuwe richtlijn. Zodoende de komst van SCA; een richtlijn waar we vanaf 14 september 2019 niet meer omheen kunnen.
Probleem voor webshops
Fraudegevoeligheid van creditcards bij het afrekenen is dus een enorm probleem. Als grote webshop kan je wellicht fraudegevallen nog enigszins ondervangen. Dit geldt echter minder voor de hardwerkende mkb-ondernemingen. Product heb je verstuurd en op het geld kun je lang gaan wachten in het geval van fraude met creditcards e.d. Je gelijk halen is vaak een lange en zeker ook een kostbare procedure. Gezien het gemiddelde bedrag wat een Nederlandse consument in een webwinkel uitgeeft (63 euro), is dit vaak niet eens de moeite waard. De Europese Commissie onderkent dit probleem, vandaar de komst van de nieuwe richtlijn.
Nieuwe richtlijn SCA
Een transactie onder de nieuwe richtlijnen bevat minstens 2 uit de 3 onderstaande categorieën.
 Iets dat je weet: |
 Iets dat je beheert: |
 Iets dat je bent: |
|---|---|---|
| – wachtwoord – zin – pincode – geheime feit |
– mobiele toestel – draagbaar apparaat – smart card – kenteken – onderscheidingsteken |
– vingerafdruk – gezichtskenmerken – stempatronen – irisafdruk – DNA |
Een praktijkvoorbeeld webshop:
Stel een klant wil bij een online transactie in jouw webshop betalen met een creditcard. Met de nieuwe richtlijn is de klant genoodzaakt meerdere verificaties af te leggen, voordat de betaling geaccepteerd mag worden. Naast het invullen van zijn wachtwoord (1e kolom hierboven) zal de klant bijvoorbeeld met een mobiele telefoon moeten verifiëren (2e kolom) of iets als een vingerafdruk (3e kolom).
Let op: niet bij elke online transactie wordt deze methode geëist. De twee belangrijkste uitzonderingen zijn:
- Transacties onder de €30 en transacties met een laag risico.
- Abonnementen en/of terugkerende transacties.
De hele lijst van uitzonderingen vind je hier.
Webshop SCA-proof maken
Kijk bij jouw software na hoe jouw webshop qua betaalmethoden kan voldoen aan deze richtlijnen. Breng ook je huidige systemen in kaart en kijk of er misschien betaalmethoden zijn die weinig worden gebruikt. In dit blogbericht kun je terugvinden wat het online betaalgedrag is van de Nederlandse consument. Dit is eigenlijk hét ideale moment om je betaalsystemen op te schonen! Veel payment providers zullen al zijn begonnen met het aanpassen van hun methoden, dus hen op de voet volgen wat betreft de wijzigingen in hun systemen is een goed idee. Zij zullen zelf ook informatie geven over de belangrijkste wijzigingen.
Er wordt gezegd dat deze materie minstens zo lastig is als de in 2018 ingevoerde GDPR-richtlijn. Bij de meeste Nederlandse webwinkels zal echter de payment service provider (PSP) zorgen voor het voldoen aan de richtlijnen. Toch kan het geen kwaad om dit goed in de gaten te houden. Met de GDPR zagen we namelijk dat heel veel webwinkeliers de effecten onderschatten en er iets te laat mee begonnen. Dan wordt het allemaal afraffelen op het laatste moment, wat je juist weer extra stress oplevert. Dat wil je natuurlijk voorkomen!
Bied je iDeal al aan als betalingsmogelijkheid binnen je webshop? Dan bespaar je jezelf wellicht veel tijd. Deze manier van betalen komt waarschijnlijk zonder al te veel wijzigingen door toets van SCA heen. Ook 3D Secure 2.0 is op SCA ingericht en bovendien makkelijk te gebruiken via een mobiel (anders dan de 1.0 versie). Het informeren van je klanten is uiteraard ook van belang. Die zullen niet gauw van SCA gehoord hebben en vragen zich misschien af waarom het afrekenen nu meer stappen vereist.
Succes met de voorbereidingen!
Reacties
Hallo Nelianne,
Dank voor de berichtgeving.
Het is me echter niet duidelijk wat nu precies de strekking is van deze richtlijn en ook dit artikel.
Samengevat begrijp ik veel van de berichtgeving en artikelen over nieuwe richtlijnen niet goed. Met veel bombarie wordt vermeld dat je op je hoede moet wezen en er belangrijke wijzigingen komen maar het ontbreekt aan een heldere uitleg. “Ons advies is om je van te voren goed te verdiepen in de nieuwe richtlijn”. Als bezoeker en lezer van dit artikel ben ik juist op zoek naar de samenvattende, duidelijk uitleg van een expert zodat ik niet zelf x aantal pagina’s ga doorgronden met het risico dat ik het verkeerd interpreteer.
Er is voor x miljoen aan fraude gepleegd, maar wat voor fraude dan en aan welke kant? Leverancier of klant?
“Dit geldt echter niet voor de hardwerkende mkb-ondernemingen. Product weg. Op het geld kun je lang gaan wachten”. Dan hebben we het weer over de verkoper dus. Maar we praten toch ook over vooruitbetaling? Wat is het risico dan?
Er zijn nieuwe richtlijnen waar de webshop zich aan moet houden maar die integreert in 99% van de webshops een betaalmodule van een Payment Provider waar je weinig invloed op hebt en prima werkt.
Ik kan vanuit de consument alsmede verkoper dieper ingaan op de plussen en minnen van 8-voudige verificatie maar het is in de kern onduidelijk waar we nu over praten…
Vriendelijke groet,
Peter B.
Bedankt voor je reactie op dit blog.
Ik begrijp dat e.e.a. nog niet helemaal duidelijk is, daarom heb ik het blog gedeeltelijk herschreven. Mocht je nog vragen hebben stel ze gerust!
Hoe ga je dan om met de nieuwe GEO discriminatie wet om, d.w.z. de buitenlandse koper? Deze is niet bekend met IDEAL, wél met kredietkaarten maar hij moet wél een mogelijkheid hebben om te bestellen op zijn eigen huisadres. En dit is wederom niet te controleren op juistheid? Kijk op onze website, hier is de GEO wet allang ter beschikking!
Beste John,
De nieuwe SCA-regels en de Geoblocking zitten elkaar niet in de weg. Geoblocking houdt namelijk in dat je klanten niet mag weigeren op basis van geografische gronden, maar het wil niet zeggen dat je alle betalingsopties voor elk land beschikbaar moet maken, m.a.w. je mag in het buitenland nog steeds iDeal aanbieden als betalingsmogelijkheid, maar als je buitenlandse klant vervolgens met iDeal betaalt mag je hem niet weigeren “omdat hij in het buitenland woont”. Ook belangrijk om te weten is dat SCA het gebruik van creditcards niet verbied, je mag dus ook in het buitenland creditcards als betaaloptie gebruiken, maar hier zijn dan wel meerdere checks aan gekoppeld (zoals verifiëren met een telefoon of een vingerafdruk).
Kreeg vandaag een bericht van Multisafepay dat zij als enige dit opgevangen hebben voor wat betreft SCA regels, zij hebben alle derden partijen uitgesloten, dus de transactie gaat niet meer van her naar der. Zij zijn hoofdelijk verantwoordelijk voor dit alleenrecht, en dat bevordert de snelheid van de transactie plus je krijgt een melding dat zij het geld ontvangen hebben, en Multisafepay dit tegoed op jou rekening stort.
Maar dan is PayPal en ApplePay toch ook fraude gevoelig.? Beide werken namelijk ook met Creditcard betalingen. Maar over hun bedrijfsvoering heb je als webshop eigenaar geen invloed.
Dus wat is mijn rol daarin dan? Zuiver de klant informeren?
Hoi Monique,
Het is aan PayPal en ApplePay om ervoor te zorgen dat zij voldoen aan de eisen van SCA.
PayPal is hier al mee bezig: https://www.paypal.com/uk/webapps/mpp/psd2
Apple Pay werkte al met een tweestapsverificatie en voldoet daarmee aan SCA.
Mijn advies zou zijn, loop alles na en check of de bedrijven bezig zijn met SCA, eigenlijk net zoals je hebt gedaan met je verwerkers toen de GDPR van kracht werd. Ook hier heb je de keuze om af te stappen van betaalmethoden die niet aan de richtlijn voldoen. En informeer je klanten dat de keuze voor creditcard extra stappen oplevert.