Alles over Strong Customer Authentication (SCA)

In voorgaande blogs keken we uitgebreid naar de belangrijkste veranderingen die je kunt verwachten vanPSD2, de nieuwe Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. We lieten zien welke impact deze herziene versie kan hebben op verschillende bedrijven. In deze blog bespreken we Strong Customer Authentication (SCA), een onderdeel van de wetgeving die noodzakelijk is voor e-commerce betalingen.

Maar wat is SCA precies, hoe kun jij je hierop voorbereiden en welke vrijstellingen zijn er mogelijk?

Strong Customer Authentication (SCA) is een nieuwe regel die bedoeld is omonline betalingenveiliger te maken. Wanneer een Europese consument een betaling doet, is er op het moment van de transactie uitgebreidere authenticatie vereist.

SCA is vooral bedoeld om Europese consumenten te beschermen tegen online fraude. Deze nieuwe standaard zorgt er ook voor dat de algemene veiligheid van online betalingen versterkt wordt. Voorheen was het voldoende als een klant zijn creditcardnummer en CVC code (verificatiecode) invoerde. Maar met de nieuwe voorschriften is vanaf nu meer informatie nodig. Er zijn echter uitzonderingen, die we later in deze blog bespreken.

Eerder werd een authenticatiemethode - genaamd 3D Secure 1.0 - gebruikt door card schemes (creditcardmerken) om e-commerce creditcardbetalingen te verifiëren. Consumenten werden dan doorgestuurd naar een nieuwe pagina waar ze een code konden invoeren. 3D Secure 1.0 keek dan of de klant werkelijk was wie hij zei dat hij was. Maar nu is er3DSecure 2, dat het veel gemakkelijker maakt om SCA-informatie te verzamelen tijdens de betaling.

Vóór Strong Customer Authentication vroegen uitgevende banken hun gebruikers om één wachtwoord te onthouden. En dat ene wachtwoord werd gemakkelijk vergeten. Nu worden er meer dynamische gegevens gebruikt om de identiteit van gebruikers te bevestigen. We vertrouwen niet meer alleen op het traditionele ‘iets dat je weet (een wachtwoord)’, maar breiden dat uit met ‘iets wat je bezit (een smartphone)’ en ‘iets wat je bent (een vingerafdruk)’. Deze benadering wordt ook wel two factor authentication (tweestapsverificatie) genoemd.

We gaan hier dieper op in:

Het aantal stappen dat iemand moet doorlopen, neemt dus toe. Maar wanneer de klant zelf zou mogen kiezen voor welke authenticatievorm hij gaat, zou dat leiden tot betere authenticatie-ervaringen en minder drop-offs.

In principe is SCA verplicht voor online creditcardtransacties, maar er zijn een aantal uitzonderingen. Voor elke transactie bekijkt jouw acquirer of er van een uitzondering gebruik gemaakt mag worden.

Deze uitzonderingen zorgen ervoor dat consumenten kunnen blijven genieten van prettige winkelervaringen, terwijl hun grotere en minder frequente betalingen extra beveiligd worden.

Dit zijn een aantal belangrijke vrijstellingen:

Transacties onder de dertig euro zijn vrijgesteld van Strong Customer Authentication. De issuer (kaartuitgevende bank) houdt echter wel de bedragen van meerdere betalingen in de gaten. Mocht het totale transactiebedrag -zonder SCA- hoger zijn dan honderd euro, is SCA alsnog verplicht. SCA is om de vijf transacties ook verplicht.

Transacties met een laag risico zijn ook vrijgesteld van Strong Customer Authentication. Bij de beoordeling van een transactie met een mogelijk laag risico, wordt er gekeken naar het gemiddelde fraude niveau van de kaartuitgever en de acquirer die de transactie verwerkt.

Abonnement- en terugkerende transactiesmet een vast bedrag worden de eerste keer gevalideerd. Alleen bij de eerste transactie is Strong Customer Authentication vereist. Maar als het bedrag verandert, is 3D Secure verplicht voor elk nieuw bedrag.

Dit vormt een uitdaging voor sommige terugkerende businessmodellen met een 'variabel bedrag' waarin de waarde in de loop van de tijd verandert. Sommige producten hebben bijvoorbeeld variabele kosten die verschillen per periode. Gelukkig worden deze transacties bestempeld als 'door de verkoper geïnitieerde transacties'. Dat betekent dat ze zijn vrijgesteld van de vereisten van SCA.

Voor de meeste abonnementsbetalingen is geen SCA nodig, omdat ze meestal geïnitieerd worden door de merchant en niet door de kaarthouder.

Klanten kunnen bedrijven opnemen in een zogenaamde whitelist van ‘Trusted Beneficiaries’. Deze lijst wordt beheerd door de bank van de consument. Verkopers op de witte lijst zijn vrijgesteld van 3D Secure. Zo hebben klanten die vaak winkelen bij een bepaald bedrijf SCA niet meer nodig.

Verwerking van bestellingen per mail of telefoon (MOTO-transacties) zijn in alle gevallen vrijgesteld van Strong Customer Authentication. Deze transacties worden niet gezien als elektronische betalingen, dus de verordening is hier niet toepasbaar.

Betalingen waarbij deissuerofacquirervan de kaart niet in Europa is gevestigd, worden ook vrijgesteld. Europese bedrijven kunnen dus zonder problemen betalingen van shoppers buiten Europa accepteren.

Betalingen tussen twee bedrijven zijn vrij van SCA, op voorwaarde dat ze een betaalmethode gebruiken dat speciaal bedoeld is om dergelijk B2B-betalingen te doen.

De lijst met uitzonderingen en out-of-score scenario’s is echter groot en sterk afhankelijk van de interpretatie op het gebied van regelgeving.

Handig: Ben jij klant van Adyen? Dan voldoe je automatisch aanPSD2en SCA. Alles wordt voor je geregeld en je hoeft zelf geen stappen te ondernemen.

Strong Customer Authentication zal de nodige uitdagingen creëren voor bedrijven, maar onze3D Secure 2-oplossing helpt de klap te verzachten. We hopen dat je vertrouwen hebt in de aangepaste regelgeving, nu je weet wat SCA inhoudt.

Weet dat wij je graag willen helpen met welke vraag dan ook.Laat het ons weten.