SCA (sterke cliëntauthenticatie)

Wat internetbedrijven moeten weten over de nieuwe Europese regelgeving

Laatst bijgewerkt op 4 mei 2020

Inleiding

Op 14 september 2019 zijn in Europa nieuwe authenticatievereisten voor online betalingen ingevoerd als onderdeel van de tweede Payment Services Directive (PSD2). We verwachten dat deze vereisten worden gehandhaafd in de loop van 2020 en 2021.

In deze gids gaan we dieper in op deze nieuwe vereisten, die bekendstaan als SCA (sterke cliëntauthenticatie), en de soorten betalingen waarop ze van toepassing zijn. Ook besteden we aandacht aan vrijstellingen voor transacties met een laag risico, die kunnen worden gebruikt om klanten een frictieloze afrekenflow te bieden.

We hebben een aparte pagina gepubliceerd met de meest recente informatie over de tijdlijn voor SCA-handhaving. Ook hebben we een gids samengesteld die je kunt gebruiken om te bepalen wanneer je authenticatie moet toevoegen aan het traject dat de klant doorloopt. Op onze site vind je meer informatie over de producten van Stripe die geschikt zijn voor SCA.

Wat is SCA (sterke cliëntauthenticatie)?

SCA (sterke cliëntauthenticatie) is een nieuwe Europese wettelijke vereiste om fraude tegen te gaan en online betalingen veiliger te maken. Als je betalingen wilt accepteren en aan de SCA-vereisten wilt voldoen, moet je een extra authenticatielaag toevoegen aan je afrekenflow. SCA vereist dat voor de authenticatie ten minste twee van de volgende drie elementen worden gebruikt.

Iets wat de klant WEET (bijvoorbeeld wachtwoord of pincode)
Iets wat de klant HEEFT (bijvoorbeeld telefoon of hardwaretoken)
Iets wat de klant IS (bijvoorbeeld vingerafdruk of gezichtsherkenning)

(Een beschrijving van de originele SCA-vereisten kun je raadplegen in de technische reguleringsnormen of RTS.)

Banken moeten betalingen weigeren waarvoor SCA vereist is, maar die niet aan deze criteria voldoen. Hoewel de regelgeving van kracht is geworden op 14 september 2019, verwachten we dat deze vereisten pas in de loop van 2020 en 2021 volledig worden gehandhaafd door toezichthouders.

Wanneer is SCA vereist?

SCA is van toepassing op ‘door de klant geïnitieerde’ online betalingen binnen Europa. Dat betekent dus dat voor de meeste kaartbetalingen en voor alle bankoverschrijvingen SCA vereist is. Terugkerende automatische incasso’s worden daarentegen beschouwd als ‘door de handelaar geïnitieerd’ en vereisen geen SCA. Ook fysieke kaartbetalingen hoeven niet aan de nieuwe regelgeving te voldoen, met uitzondering van contactloze betalingen.

De nieuwe vereisten voor online kaartbetalingen zijn van toepassing op transacties waarbij zowel het bedrijf als de bank van de kaarthouder is gevestigd in de Europese Economische Ruimte (EER). (We verwachten dat de SCA-regelgeving ook in het VK van kracht wordt ongeacht de uitkomst van de Brexit.)

Hoe moet je een betaling authenticeren?

Momenteel worden online kaartbetalingen meestal geauthenticeerd op basis van 3D Secure. Dit is een authenticatiestandaard die wordt ondersteund door het merendeel van de Europese kaarten. Door 3D Secure toe te passen, voeg je een extra stap na het afrekenen toe, waarbij kaarthouders door hun bank worden gevraagd aanvullende informatie op te geven om de betaling te voltooien (bijvoorbeeld een eenmalige code die naar hun telefoon wordt verzonden of vingerafdrukauthenticatie via hun mobiele app voor internetbankieren).

3D Secure 2, de nieuwe versie van het 3D Secure-authenticatieprotocol die in 2019 is ingevoerd, zal de belangrijkste methode zijn voor de authenticatie van online kaartbetalingen en de naleving van de nieuwe SCA-vereisten. Deze nieuwe versie biedt een betere gebruikerservaring die het ongemak van authenticatie in de afrekenflow tot een minimum beperkt.

Andere op kaarten gebaseerde betaalmethoden zoals Apple Pay of Google Pay bieden al ondersteuning voor betaalflows met een ingebouwde authenticatielaag (biometrische gegevens of wachtwoorden). Dit kan voor bedrijven een goede manier zijn om een frictieloze afrekenomgeving te bieden en tegelijk aan de nieuwe vereisten te voldoen.

We verwachten ook dat de meeste gangbare Europese betaalmethoden, zoals iDEAL, Bancontact en Multibanco, de nieuwe SCA-regelgeving gaan volgen zonder de gebruikerservaring al te veel te wijzigen.

Vrijstellingen voor SCA

Op grond van deze nieuwe regelgeving mogen bepaalde typen betalingen met een laag risico worden vrijgesteld van SCA. Betaaldienstverleners zoals Stripe kunnen deze vrijstellingen aanvragen tijdens het verwerken van de betaling. De bank van de kaarthouder ontvangt dit verzoek, beoordeelt het risiconiveau van de transactie en bepaalt uiteindelijk of de vrijstelling wordt toegekend of dat nog steeds authenticatie nodig is.

Door authenticatie te integreren in je afrekenflow introduceer je een extra stap die voor frictie kan zorgen, waardoor de kans groter wordt dat de klant afhaakt. Met behulp van vrijstellingen voor betalingen met een laag risico kun je het aantal keren dat een klant zich moet authenticeren beperken, zodat het ongemak kleiner wordt. We hebben onze nieuwe voor SCA geschikte betaalproducten zodanig ontworpen dat je waar mogelijk gebruik kunt maken van vrijstellingen om het effect op je conversiepercentage te minimaliseren.

Dit zijn de meest relevante vrijstellingen voor internetbedrijven:

Transacties met een laag risico

Een betaaldienstverlener (zoals Stripe) mag een realtime risicoanalyse uitvoeren om te bepalen of SCA moet worden toegepast op een transactie. Dit is vaak alleen mogelijk als het totale fraudepercentage voor kaartbetalingen van de betaaldienstverlener of de bank de volgende drempels niet overschrijdt:

  • 0,13% om transacties onder € 100 vrij te stellen
  • 0,06% om transacties onder € 250 vrij te stellen
  • 0,01% om transacties onder € 500 vrij te stellen

Deze drempels kunnen eventueel worden omgezet naar lokale equivalente bedragen.

Als het fraudepercentage van de betaaldienstverlener wel onder de drempel blijft, maar dat van de bank van de kaarthouder niet, zal de bank de vrijstelling waarschijnlijk weigeren en authenticatie vereisen.

Betalingen onder € 30

Dit is een andere vrijstelling die kan worden gebruikt voor betalingen van kleine bedragen. Transacties onder € 30 worden als van ‘geringe waarde’ beschouwd en kunnen worden vrijgesteld van SCA. Banken moeten echter authenticatie vereisen als de vrijstelling vijf keer is gebruikt sinds de laatste geslaagde authenticatie van de kaarthouder of als het totaalbedrag van eerdere vrijgestelde betalingen meer dan € 100 bedraagt. De bank van de kaarthouder houdt bij hoe vaak deze vrijstelling is gebruikt en bepaalt of authenticatie nodig is.

Abonnementen met vaste bedragen

Deze vrijstelling kan worden toegepast wanneer de klant een reeks terugkerende betalingen voor hetzelfde bedrag aan hetzelfde bedrijf overmaakt. SCA is vereist voor de eerste betaling van de klant, maar mogelijk niet voor daaropvolgende betalingen.

Door de handelaar geïnitieerde transacties (waaronder variabele abonnementen)

Betalingen die met opgeslagen kaarten worden gedaan, zijn betalingen waarbij de klant niet zelf de afrekenflow doorloopt (ook wel ‘buiten de sessie’ genoemd). Deze betalingen kunnen worden beschouwd als ‘door de handelaar geïnitieerde transacties’. Technisch gezien vallen deze betalingen buiten het bereik van SCA, maar in de praktijk staat het markeren van een betaling als een ‘door de handelaar geïnitieerde transactie’ gelijk aan het vragen om een vrijstelling. Net als bij elke andere vrijstelling is het de bank die bepaalt of er wel of geen authenticatie nodig is voor de transactie.

Als je door de handelaar geïnitieerde transacties wilt gebruiken, moet je de kaart van de klant authenticeren wanneer deze wordt opgeslagen of bij de eerste betaling. Tot slot moet je goedkeuring van de klant hebben (ook wel een "machtiging" genoemd) om op een later tijdstip bedragen van de kaart te kunnen afschrijven.

Vertrouwde begunstigden

Bij het authenticeren van een betaling krijgen klanten soms de mogelijkheid om een bedrijf dat ze vertrouwen op de witte lijst te zetten, zodat ze toekomstige aankopen niet hoeven te authenticeren. Deze bedrijven komen dan op een lijst met ‘vertrouwde begunstigden’ die wordt bijgehouden door de bank of betaaldienstverlener van de klant.

Telefonische verkoop

Kaartgegevens die worden verzameld via de telefoon, vallen buiten het bereik van SCA en vereisen geen authenticatie. Dit type betaling wordt ook wel ‘Bestelling per post/bestelling per telefoon’ (MOTO, mail order/telephone order) genoemd. Net als betalingen waarvoor een vrijstelling geldt, moeten MOTO-transacties als zodanig worden gemarkeerd, waarbij de bank van de kaarthouder uiteindelijk beslist of de transactie wordt geaccepteerd of afgewezen.

Zakelijke betalingen

Onder deze vrijstelling vallen betalingen die worden gedaan met "ondergebrachte" kaarten (zoals een zakelijke betaalkaart voor reiskosten van personeel die in handen is van een online reisbureau), plus zakelijke betalingen die worden gedaan met virtuele kaartnummers (die ook worden gebruikt in de reissector).

Wat gebeurt er als een vrijstelling mislukt?

Hoewel vrijstellingen erg handig kunnen zijn, moet je er wel rekening mee houden dat de bank van de kaarthouder uiteindelijk bepaalt of een vrijstelling wel of niet wordt geaccepteerd. Banken kunnen nieuwe weigeringscodes retourneren voor betalingen die zijn mislukt vanwege ontbrekende authenticatie. Deze betalingen moeten dan opnieuw worden verstuurd naar de klant met een verzoek om SCA. De voor SCA geschikte producten van Stripe activeren deze extra authenticatie automatisch wanneer de bank dit vereist.

Als je bedrijf te maken krijgt met SCA, raden we je aan een vangnetprocedure voor te bereiden waarop je kunt terugvallen als een vrijstelling wordt geweigerd en je klant zich alsnog moet authenticeren. Dit is vooral belangrijk als je geld in rekening brengt bij klanten die niet zelf de afrekenflow doorlopen (‘buiten de sessie’ zijn) en bij een weigering dus moeten terugkeren naar je website of app om zich te authenticeren. Bekijk onze gids over het ontwerpen van betaalflows voor SCA voor meer informatie.

Hoe Stripe je helpt om aan de SCA-vereisten te voldoen

De wijzigingen naar aanleiding van de nieuwe regelgeving zullen zonder twijfel grote invloed hebben op de internethandel in Europa. En hoewel we verwachten dat deze nieuwe vereisten pas in de loop van 2020 en 2021 zullen worden gehandhaafd, zullen de conversiepercentages van bedrijven die zich er niet op voorbereiden mogelijk sterk dalen wanneer Europese banken serieus werk beginnen te maken van de SCA-vereisten.

Naast ondersteuning voor nieuwe authenticatiemethoden zoals 3D Secure 2 zien wij een goede afhandeling van vrijstellingen als een belangrijk onderdeel van een hoogwaardige betaalomgeving met zo min mogelijk frictie. Onze nieuwe betaalproducten spelen in op de uiteenlopende regels van toezichthouders, banken en kaartnetwerken, en kunnen relevante vrijstellingen toepassen op betalingen met een laag risico. Hierdoor wordt 3D Secure alleen geactiveerd wanneer het nodig is. En wanneer de regels veranderen, kunnen we de SCA-logica in realtime beheren en bijwerken, waarbij rekening wordt gehouden met de handhavingstijdlijn van elk land.

We hebben een nieuwe, essentiële betaal-API uitgebracht. Deze API gebruikt de SCA-logica van Stripe om de juiste vrijstelling toe te passen en wanneer nodig 3D Secure te activeren. De nieuwe versies van Checkout en Stripe Billing zijn beide gebaseerd op deze API en kunnen wanneer nodig 3D Secure dynamisch toepassen.

Raadpleeg hier meer informatie over de producten van Stripe die ondersteuning bieden voor SCA. Heb je vragen of opmerkingen, laat het ons dan weten.

Terug naar whitepapers
You’re viewing our website for Greece, but it looks like you’re in the United States.