Sterke cliëntauthenticatie

Wat internetbedrijven moeten weten over de nieuwe Europese regelgeving

  1. Inleiding
  2. Wat is SCA (sterke cliëntauthenticatie)?
    1. Wanneer is SCA (sterke cliëntauthenticatie) vereist?
    2. Hoe moet je een betaling authenticeren?
    3. Vrijstellingen voor SCA
    4. Wat gebeurt er als een vrijstelling mislukt?
    5. Hoe Stripe je helpt om aan de SCA-vereisten te voldoen

In deze whitepaper nemen we deze nieuwe vereisten voor SCA (sterke cliëntauthenticatie) en de betalingen waarop ze van invloed zijn onder de loep. We kijken daarnaast ook naar de vrijstellingen om het afrekenproces vlot te laten verlopen voor transacties met een laag risico.

We hebben een whitepaper samengesteld waarmee je kunt bepalen op welk moment in het klanttraject je authenticatie moet toevoegen. Bezoek onze website voor meer informatie over SCA-compliant producten van Stripe.

Wat is SCA (sterke cliëntauthenticatie)?

SCA (sterke cliëntauthenticatie) is een nieuwe Europese wettelijke vereiste om fraude tegen te gaan en online betalingen veiliger te maken. Als je betalingen wilt accepteren en aan de SCA-vereisten wilt voldoen, moet je een extra authenticatielaag toevoegen aan je afrekenproces. SCA vereist dat voor de authenticatie in elk geval twee van de volgende drie elementen worden gebruikt.

Een beschrijving van de originele SCA-vereisten kun je raadplegen in de technische reguleringsnormen of RTS. Banken moeten betalingen weigeren waarvoor SCA vereist is, maar die niet aan deze criteria voldoen.

Wanneer is SCA (sterke cliëntauthenticatie) vereist?

SCA is van toepassing op 'door de klant geïnitieerde' online betalingen binnen Europa. Dat betekent dus dat SCA vereist is voor de meeste online en contactloze offline kaartbetalingen en voor alle bankoverschrijvingen. Terugkerende automatische incasso's worden daarentegen beschouwd als 'door de verkoper geïnitieerd' en vereisen geen SCA.

Deze vereisten gelden bij online kaartbetalingen voor transacties waarbij zowel het bedrijf als de bank van de kaarthouder zich bevinden in de Europese Economische Ruimte (EER).

Hoe moet je een betaling authenticeren?

Online kaartbetalingen worden meestal geauthenticeerd op basis van 3D Secure. Dit is een authenticatiestandaard die wordt ondersteund door het merendeel van de Europese kaarten. Door 3D Secure toe te passen, voeg je een extra stap na het afrekenen toe, waarbij kaarthouders door hun bank worden gevraagd aanvullende informatie op te geven om de betaling te voltooien (bijvoorbeeld een eenmalige code die naar hun telefoon wordt verzonden of vingerafdrukauthenticatie via hun mobiele app voor internetbankieren).

3D Secure 2 is de belangrijkste methode om online kaartbetalingen te authenticeren en aan de SCA-vereisten te voldoen. Deze versie biedt een betere gebruikerservaring die het ongemak van authenticatie in het afrekenproces tot een minimum beperkt.

Voor offline kaarttransacties wordt meestal een pincode gevraagd als authenticatiemethode.

Andere op kaarten gebaseerde betaalmethoden zoals Apple Pay of Google Pay bieden al ondersteuning voor betaalflows met een ingebouwde authenticatielaag (biometrische gegevens of wachtwoorden). Dit kan voor bedrijven een goede manier zijn om een frictieloze afrekenomgeving te bieden en tegelijk aan de nieuwe vereisten te voldoen.

We verwachten ook dat de meeste gangbare Europese betaalmethoden, zoals iDEAL, Bancontact en Multibanco, de nieuwe SCA-regelgeving gaan volgen zonder de gebruikerservaring al te veel te wijzigen.

Vrijstellingen voor SCA

Op grond van deze regelgeving mogen bepaalde typen betalingen met een laag risico worden vrijgesteld van SCA. Betaaldienstverleners zoals Stripe kunnen deze vrijstellingen aanvragen tijdens het verwerken van de betaling. De bank van de kaarthouder ontvangt dit verzoek, beoordeelt het risiconiveau van de transactie en bepaalt uiteindelijk of de vrijstelling wordt toegekend of dat nog steeds authenticatie nodig is.

Door authenticatie te integreren in je afrekenproces introduceer je een extra stap die voor frictie kan zorgen, waardoor de kans groter wordt dat de klant afhaakt. Met behulp van vrijstellingen voor betalingen met een laag risico kun je het aantal keren dat een klant zich moet authenticeren beperken, zodat het ongemak kleiner wordt. We hebben onze SCA-compliant betaalproducten zodanig ontworpen dat je waar mogelijk gebruik kunt maken van vrijstellingen om het effect op je conversiepercentage te minimaliseren.

Dit zijn de meest relevante vrijstellingen voor internetbedrijven:

Transacties met een laag risico

Een betaaldienstverlener (zoals Stripe) mag een realtime risicoanalyse uitvoeren om te bepalen of SCA moet worden toegepast op een transactie. Dit is vaak alleen mogelijk als het totale fraudepercentage voor kaartbetalingen van de betaaldienstverlener of de bank de volgende drempels niet overschrijdt:

  • 0,13% om transacties onder € 100 vrij te stellen
  • 0,06% om transacties onder € 250 vrij te stellen
  • 0,01% om transacties onder € 500 vrij te stellen

Deze drempels kunnen eventueel worden omgezet naar lokale equivalente bedragen.

Als het fraudepercentage van de betaaldienstverlener wel onder de drempel blijft, maar dat van de bank van de kaarthouder niet, zal de bank de vrijstelling waarschijnlijk weigeren en authenticatie vereisen.

Dit is een van de nuttigste vrijstellingen voor bedrijven die ook door de meeste banken wordt ondersteund. Dankzij de uitgebreide realtime risicobeoordeling van Stripe Radar kunnen we onze gebruikers ondersteuning voor deze vrijstelling bieden.

Betalingen onder € 30

Dit is een andere vrijstelling die kan worden gebruikt voor betalingen van kleine bedragen. Transacties onder € 30 worden als van 'geringe waarde' beschouwd en kunnen worden vrijgesteld van SCA. Banken moeten echter authenticatie vereisen als de vrijstelling vijf keer is gebruikt sinds de laatste geslaagde authenticatie van de kaarthouder of als het totaalbedrag van eerdere vrijgestelde betalingen meer dan € 100 bedraagt. De bank van de kaarthouder houdt bij hoe vaak deze vrijstelling is gebruikt en bepaalt of authenticatie nodig is.

Deze vrijstelling heeft zulke strikte beperkingen, dat de vrijstelling voor transacties met een laag risico waarschijnlijk relevanter is voor de meeste betalingen. Maar uiteraard bieden we onze gebruikers ondersteuning voor deze vrijstelling.

Abonnementen met vaste bedragen

Deze vrijstelling kan worden toegepast wanneer de klant een reeks terugkerende betalingen voor hetzelfde bedrag aan hetzelfde bedrijf overmaakt. SCA is vereist voor de eerste betaling van de klant, maar mogelijk niet voor daaropvolgende betalingen.

Deze vrijstelling is waarschijnlijk zeer nuttig voor abonnementsbedrijven, die ook door de meeste Europese banken wordt ondersteund. We zorgen er voor dat deze vrijstelling beschikbaar is voor gebruikers van Stripe. Als je Stripe Billing gebruikt om abonnementen te maken, passen we deze vrijstelling automatisch toe wanneer dat relevant is. Daarnaast kunnen we je helpen authenticatieverzoeken te beheren als de vrijstelling door de bank van de klant wordt geweigerd.

Door de handelaar geïnitieerde transacties (waaronder variabele abonnementen)

Betalingen die met opgeslagen kaarten worden gedaan, zijn betalingen waarbij de klant niet zelf het afrekenproces doorloopt (ook wel 'buiten de sessie' genoemd). Deze betalingen kunnen worden beschouwd als 'door de handelaar geïnitieerde transacties'. Technisch gezien vallen deze betalingen buiten het bereik van SCA, maar in de praktijk staat het markeren van een betaling als een 'door de handelaar geïnitieerde transactie' gelijk aan het vragen om een vrijstelling. Net als bij elke andere vrijstelling is het de bank die bepaalt of er wel of geen authenticatie nodig is voor de transactie.

Als je door de handelaar geïnitieerde transacties wilt gebruiken, moet je de kaart van de klant authenticeren wanneer deze wordt opgeslagen of bij de eerste betaling. Tot slot moet je goedkeuring van de klant hebben (ook wel een 'machtiging' genoemd) om op een later tijdstip bedragen van de kaart te kunnen afschrijven.

Dit is een belangrijke toepassing voor businessmodellen die vertrouwen op uitgestelde betalingen, abonnementen met variabele bedragen in rekening brengen of bijkomende diensten factureren. Deze toepassing wordt door de meeste Europese banken ondersteund en geaccepteerd als de transactie door de bank als laag risico wordt beschouwd.

Met de Stripe-API kun je een kaart authenticeren wanneer die wordt opgeslagen voor later gebruik en daaropvolgende betalingen markeren als "door de handelaar geïnitieerde transacties".

Vertrouwde begunstigden

Bij het authenticeren van een betaling krijgen klanten soms de mogelijkheid om een bedrijf dat ze vertrouwen op de toelatingslijst te zetten, zodat ze toekomstige aankopen niet hoeven te authenticeren. Deze bedrijven komen dan op een lijst met 'vertrouwde begunstigden' die wordt bijgehouden door de bank of betaaldienstverlener van de klant.

Toelatingslijsten kunnen handig zijn voor klanten die herhaalde aankopen doen of abonnementen afsluiten. Tot nu toe maken slechts weinig banken gebruik van deze functie. We bieden onze gebruikers ondersteuning voor deze vrijstelling als die beschikbaar is.

Telefonische verkoop

Kaartgegevens die worden verzameld via de telefoon, vallen buiten het bereik van SCA en vereisen geen authenticatie. Dit type betaling wordt ook wel 'Bestelling per post/bestelling per telefoon' (MOTO, mail order/telephone order) genoemd. Net als betalingen waarvoor een vrijstelling geldt, moeten MOTO-transacties als zodanig worden gemarkeerd, waarbij de bank van de kaarthouder uiteindelijk beslist of de transactie wordt geaccepteerd of afgewezen.

Deze toepassing is belangrijk voor elk bedrijf dat betalingen via de telefoon accepteert en wordt breed ondersteund door banken. Betalingen die worden gemaakt via het Stripe-dashboard, worden automatisch gemarkeerd als MOTO-betalingen.

Als je bedrijf voldoet aan de PCI-standaard en je je eigen systeem hebt ontwikkeld om telefonische bestellingen te accepteren, kun je met onze nieuwe betalingen-API's een betaling als MOTO markeren. Neem contact met ons op om deze functie in te schakelen in je Stripe-account en toegang te krijgen tot technische documentatie.

Zakelijke betalingen

Onder deze vrijstelling vallen betalingen die worden gedaan met 'ondergebrachte' kaarten (zoals een zakelijke betaalkaart voor reiskosten van personeel die in handen is van een online reisbureau), plus zakelijke betalingen die worden gedaan met virtuele kaartnummers (die ook worden gebruikt in de reissector).

Dit is een vrijstelling die buiten de reisbranche waarschijnlijk weinig nut heeft, omdat de toepassing ervan zeer beperkt is. De vrijstelling zelf kan alleen worden aangevraagd door de bank van de kaarthouder, omdat noch het bedrijf noch de betalingsfacilitator (zoals Stripe) kan detecteren of een kaart in deze categorieën valt.

Wat gebeurt er als een vrijstelling mislukt?

Hoewel vrijstellingen erg handig kunnen zijn, moet je er wel rekening mee houden dat de bank van de kaarthouder uiteindelijk bepaalt of een vrijstelling wel of niet wordt geaccepteerd. Banken kunnen nieuwe weigeringscodes retourneren voor betalingen die zijn mislukt vanwege ontbrekende authenticatie. Deze betalingen moeten dan opnieuw bij de klant worden ingediend met een verzoek om SCA. SCA-compliant producten van Stripe activeren deze extra authenticatie automatisch wanneer banken dit vereisen.

Als je bedrijf te maken krijgt met SCA, raden we je aan een alternatieve procedure voor te bereiden waarop je kunt terugvallen als een vrijstelling wordt geweigerd en je klant zich alsnog moet authenticeren. Dit is vooral belangrijk als je geld in rekening brengt bij klanten die niet zelf het afrekenproces doorlopen ('buiten de sessie' zijn) en bij een weigering dus moeten terugkeren naar je website of app om zich te authenticeren. Bekijk onze whitepaper over het ontwerpen van betaalflows voor SCA voor meer informatie.

Hoe Stripe je helpt om aan de SCA-vereisten te voldoen

De wijzigingen naar aanleiding van de nieuwe regelgeving zullen zonder twijfel grote invloed hebben op de internethandel in Europa. De conversiepercentages van bedrijven die zich er niet op voorbereiden, zullen mogelijk sterk dalen wanneer Europese banken serieus werk beginnen te maken van de SCA-vereisten.

Naast ondersteuning voor nieuwe authenticatiemethoden zoals 3D Secure 2 zien wij een goede afhandeling van vrijstellingen als een belangrijk onderdeel van een hoogwaardige betaalomgeving met zo min mogelijk frictie. Onze nieuwe betaalproducten spelen in op de uiteenlopende regels van toezichthouders, banken en kaartnetwerken, en kunnen relevante vrijstellingen toepassen op betalingen met een laag risico. Hierdoor wordt 3D Secure alleen geactiveerd wanneer het nodig is. En wanneer de regels veranderen, kunnen we de SCA-logica realtime beheren en bijwerken, waarbij rekening wordt gehouden met de handhavingstijdlijn van elk land.

We hebben een nieuwe, essentiële betalingen-API uitgebracht die gebruikmaakt van de SCA-logica van Stripe om de juiste vrijstelling toe te passen en wanneer nodig 3D Secure te activeren. Stripe Checkout en Stripe Billing zijn beide gebaseerd op deze API en kunnen wanneer nodig 3D Secure dynamisch toepassen.

Bekijk meer informatie over SCA-compliant producten van Stripe. Heb je vragen of opmerkingen? Laat het ons dan weten.

Direct aan de slag? Neem contact op of maak een account.

Maak direct een account om betalingen te kunnen ontvangen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een aangepast pakket voor je onderneming samen te stellen.