Sterke cliëntauthenticatie

Wat internetbedrijven moeten weten over de nieuwe Europese regelgeving

  1. Inleiding
  2. Wat is SCA (sterke cliëntauthenticatie)?
    1. Wanneer is SCA (sterke cliëntauthenticatie) vereist?
    2. Hoe moet je een kaartbetaling authenticeren?
    3. Hoe aansprakelijkheid voor frauduleuze chargebacks werkt in de context van 3DS
    4. Vrijstellingen voor SCA
    5. Wat gebeurt er als een vrijstelling mislukt?
    6. Hoe Stripe je helpt om aan de SCA-vereisten te voldoen
    7. Aanstaande wijzigingen

In deze gids gaan we dieper in op deze nieuwe Europese vereisten voor SCA (sterke cliëntauthenticatie) die zijn geïntroduceerd door de Payments Services Directive 2 (PSD2) en de betalingen waarop ze van invloed zijn. We bespreken ook de beschikbare vrijstellingen die namens de ondernemingen kunnen worden aangevraagd om een gestroomlijnd afrekenproces te bieden.

We hebben ook een gids gepubliceerd om je te helpen bepalen wanneer je authenticatie moet toevoegen aan je klanttraject en een gids over hoe je je kunt voorbereiden op de komende Payment Services Directive 3 (PSD3). Bezoek onze website voor meer informatie over SCA-compliant producten van Stripe.

Wat is SCA (sterke cliëntauthenticatie)?

SCA (sterke cliëntauthenticatie) is een nieuwe Europese wettelijke vereiste om fraude tegen te gaan en online betalingen veiliger te maken. Als je betalingen wilt accepteren en aan de SCA-vereisten wilt voldoen, moet je een extra authenticatielaag toevoegen aan je afrekenproces. SCA vereist dat voor de authenticatie in elk geval twee van de volgende drie elementen worden gebruikt.

Een beschrijving van de originele SCA-vereisten kun je raadplegen in de technische reguleringsnormen of RTS. Banken moeten betalingen weigeren waarvoor SCA vereist is, maar die niet aan deze criteria voldoen.

Wanneer is SCA (sterke cliëntauthenticatie) vereist?

SCA is van toepassing op 'door de klant geïnitieerde' online betalingen en contactloze offline betalingen binnen het Verenigd Koninkrijk of Europa. Voor alle elektronische betalingen (kaartbetalingen en bankoverschrijvingen) is SCA vereist, tenzij een vrijstelling kan worden toegepast of de transactie wordt beschouwd als buiten het toepassingsgebied van SCA, bijvoorbeeld door de verkoper geïnitieerde transacties (bijvoorbeeld automatische incasso).

Deze vereisten gelden bij online kaartbetalingen voor transacties waarbij zowel de onderneming als de bank van de kaarthouder zich bevinden in de Europese Economische Ruimte (EER).

Hoe moet je een kaartbetaling authenticeren?

Online kaartbetalingen worden meestal geauthenticeerd op basis van 3D Secure. Dit is een authenticatiestandaard die wordt ondersteund door het merendeel van de Europese kaarten. Door 3D Secure toe te passen, voeg je een extra stap na het afrekenen toe, waarbij kaarthouders door hun bank worden gevraagd aanvullende informatie op te geven om de betaling te voltooien (bijvoorbeeld een eenmalige code die naar hun telefoon wordt verzonden of vingerafdrukauthenticatie via hun mobiele app voor internetbankieren).

3D Secure 2 is de belangrijkste methode om online kaartbetalingen te authenticeren en aan de SCA-vereisten te voldoen.

Voor offline kaarttransacties wordt meestal een pincode gevraagd als authenticatiemethode. Andere op kaarten gebaseerde betaalmethoden zoals Apple Pay of Google Pay bieden al ondersteuning voor betaalprocessen met een ingebouwde authenticatielaag (biometrische gegevens of wachtwoorden). Dit kan voor ondernemingen een goede manier zijn om een gestroomlijnd afrekenproces te bieden en tegelijk aan de nieuwe vereisten te voldoen.

Hoe aansprakelijkheid voor frauduleuze chargebacks werkt in de context van 3DS

Een van de voordelen van het toepassen van SCA waarbij multifactorauthenticatie succesvol is, is dat ondernemingen aansprakelijkheidsbescherming kunnen krijgen tegen frauduleuze chargebacks.

Vrijstellingen voor SCA

Niet alle betalingen vallen binnen het toepassingsgebied van multifactorauthenticatie onder SCA. Sommige kunnen in aanmerking komen voor een vrijstelling waarin de regelgeving voorziet of ze vallen niet onder de SCA-handhaving. In de gevallen waarin een vrijstelling wordt aangevraagd en geaccepteerd door de bank van de kaarthouder, blijft de aansprakelijkheid voor frauduleuze chargebacks bij de onderneming.

Betaaldienstverleners zoals Stripe kunnen vrijstellingen aanvragen tijdens het verwerken van de betaling. De bank van de kaarthouder ontvangt dit verzoek, beoordeelt het risiconiveau van de transactie en bepaalt uiteindelijk of de vrijstelling wordt toegekend of dat nog steeds authenticatie nodig is. Met behulp van vrijstellingen voor betalingen met een laag risico kun je het aantal keren dat een klant zich moet authenticeren beperken, zodat het ongemak kleiner wordt en er minder klanten afhaken.

Stripe gebruikt machine-learning om in elk geval de optimale vrijstelling te bepalen, zodat je je klanten een naadloos afrekenproces kunt bieden. We hebben onze nieuwe SCA-compliant betaalproducten zodanig ontworpen dat je waar mogelijk gebruik kunt maken van vrijstellingen om het effect op je conversiepercentage te minimaliseren.

De meest relevante vrijstellingen voor ondernemingen die online betalingen ontvangen zijn:

Transacties met een laag risico

Een betaaldienstverlener (zoals Stripe) mag een realtime risicoanalyse, ook wel Transaction Risk Analysis (TRA) genoemd, uitvoeren om te bepalen of SCA moet worden toegepast op een transactie. Deze vrijstelling kan mogelijk alleen worden toegepast als het totale fraudepercentage voor kaartbetalingen van de betaaldienstverlener de volgende drempels niet overschrijdt:

  • 0,13% om transacties onder € 100/£ 85 vrij te stellen
  • 0,06% om transacties onder € 250/£ 220 vrij te stellen
  • 0,01% om transacties onder € 500/£ 440 vrij te stellen

Deze drempels kunnen eventueel worden omgezet naar lokale equivalente bedragen.

Dit is een van de nuttigste vrijstellingen voor bedrijven die ook door de meeste banken wordt ondersteund. Dankzij de uitgebreide realtime risicobeoordeling van Stripe Radar kunnen we onze gebruikers ondersteuning voor deze vrijstelling bieden.

Betalingen onder € 30/£ 25

Betalingen met lage bedragen kunnen mogelijk ook worden vrijgesteld. Transacties onder € 30 of £ 25 worden als 'van geringe waarde' beschouwd en kunnen worden vrijgesteld van SCA. Banken moeten echter authenticatie vereisen als de vrijstelling vijf keer is gebruikt sinds de laatste geslaagde authenticatie van de kaarthouder of als het totaalbedrag van eerdere vrijgestelde betalingen meer dan € 100/£ 85 bedraagt. De bank van de kaarthouder houdt bij hoe vaak deze vrijstelling is gebruikt en bepaalt of authenticatie nodig is.

Vanwege de strikte beperkingen van deze vrijstelling is deze mogelijk niet relevant voor veel betalingen. Maar uiteraard bieden we onze gebruikers ondersteuning voor deze vrijstelling.

Terugkerende transacties

Deze vrijstelling kan worden toegepast wanneer de klant een reeks terugkerende betalingen voor hetzelfde bedrag aan hetzelfde bedrijf overmaakt. SCA is vereist voor de eerste betaling van de klant, maar mogelijk niet voor daaropvolgende betalingen.

Deze vrijstelling is waarschijnlijk zeer nuttig voor abonnementsondernemingen en wordt door de meeste Europese banken ondersteund. Als je Stripe Billing gebruikt om abonnementen te maken, passen we deze vrijstelling automatisch toe wanneer dat relevant is. Daarnaast kunnen we je helpen authenticatieaanvragen te beheren als de vrijstelling door de bank van de klant wordt geweigerd.

Door verkoper geïnitieerde transacties (waaronder variabele abonnementen)

Betalingen die met opgeslagen kaarten worden gedaan, zijn betalingen waarbij de klant niet zelf het afrekenproces doorloopt (ook wel 'buiten de sessie' genoemd). Deze betalingen kunnen worden beschouwd als 'door de verkoper geïnitieerde transacties'. Technisch gezien vallen deze betalingen buiten het bereik van SCA, maar in de praktijk staat het markeren van een betaling als een 'door de handelaar geïnitieerde transactie' gelijk aan het vragen om een vrijstelling. Net als bij elke andere vrijstelling is het de bank die bepaalt of er wel of geen authenticatie nodig is voor de transactie.

Als je door de verkoper geïnitieerde transacties wilt gebruiken, moet je de kaart van de klant authenticeren wanneer deze de eerste keer wordt opgeslagen of bij de eerste betaling. Tot slot moet je goedkeuring van de klant hebben (ook wel een 'machtiging' genoemd) om op een later tijdstip bedragen van de kaart te kunnen afschrijven.

Dit is een belangrijke toepassing voor businessmodellen die met uitgestelde betalingen werken, abonnementen met variabele bedragen in rekening brengen of bijkomende diensten factureren. Deze toepassing wordt naar verwachting ondersteund door de meeste Europese banken en geaccepteerd als de transactie als laag risico wordt beschouwd door de bank.

Met de API van Stripe kun je een kaart authenticeren wanneer deze wordt opgeslagen voor later gebruik en daaropvolgende betalingen als 'door verkoper geïnitieerde transacties' markeren. Het is belangrijk dat ondernemingen de nieuwste API's van Stripe gebruiken om er zeker van te zijn dat ze SCA-compliant zijn.

Telefonische verkoop (MOTO)

Kaartgegevens die worden verzameld via de telefoon, vallen buiten het bereik van SCA en vereisen geen authenticatie. Dit type betaling wordt ook wel 'Bestelling per post/bestelling per telefoon' (MOTO, mail order/telephone order) genoemd. Net als betalingen waarvoor een vrijstelling geldt, moeten MOTO-transacties als zodanig worden gemarkeerd, waarbij de bank van de kaarthouder uiteindelijk beslist of de transactie wordt geaccepteerd of afgewezen.

Dit is een belangrijke toepassing voor elke onderneming die betalingen via de telefoon accepteert en wordt breed ondersteund door banken. Betalingen via het Stripe-dashboard, kunnen voor deze toepassing automatisch worden gemarkeerd als MOTO-betalingen.

Als je onderneming voldoet aan de PCI-standaard en je je eigen systeem hebt ontwikkeld om telefonische bestellingen te accepteren, kun je met onze nieuwe betalingen-API's een betaling als MOTO markeren. Neem contact met ons op om deze functie in te schakelen in je Stripe-account en toegang te krijgen tot technische documentatie.

Zakelijke betalingen

Onder deze vrijstelling vallen betalingen die worden gedaan met 'ondergebrachte' kaarten (zoals een zakelijke betaalkaart voor reiskosten van personeel die in handen is van een online reisbureau), plus zakelijke betalingen die worden gedaan met virtuele kaartnummers (die ook worden gebruikt in de reissector).

Deze vrijstelling heeft buiten de reisbranche weinig nut, omdat de toepassing ervan zeer beperkt is. De vrijstelling zelf kan alleen worden aangevraagd door de bank van de kaarthouder, omdat noch de onderneming noch de betaaldienstverlener (zoals Stripe) kan detecteren of een kaart in deze categorieën valt.

Vertrouwde begunstigden

Bij het authenticeren van een betaling krijgen klanten soms de mogelijkheid om een onderneming die ze vertrouwen, op de toelatingslijst te zetten, zodat ze toekomstige aankopen niet hoeven te authenticeren. Deze bedrijven komen dan op een lijst met 'vertrouwde begunstigden' die wordt bijgehouden door de bank of betaaldienstverlener van de klant.

Toelatingslijsten kunnen handig zijn voor klanten die herhaalde aankopen doen of abonnementen afsluiten. Tot nu toe maken slechts weinig banken gebruik van deze functie.

Wat gebeurt er als een vrijstelling mislukt?

Hoewel vrijstellingen erg handig kunnen zijn, moet je er wel rekening mee houden dat de bank van de kaarthouder uiteindelijk bepaalt of een vrijstelling wel of niet wordt geaccepteerd. Banken kunnen specifieke weigeringscodes terugsturen voor betalingen die mislukten omdat de vrijstelling niet werd geaccepteerd, en de betaling daardoor authenticatie miste. Deze betalingen moeten dan opnieuw worden verzonden naar de klant met een verzoek voor sterke cliëntauthenticatie. SCA-compliant producten van Stripe activeren deze extra authenticatie automatisch wanneer dit wordt vereist door banken.

Als je onderneming te maken krijgt met SCA, raden we je aan een alternatieve procedure voor te bereiden waarop je kunt terugvallen als een vrijstelling wordt geweigerd en je klant zich alsnog moet authenticeren. Dit is vooral belangrijk als je geld in rekening brengt bij klanten die niet zelf het afrekenproces doorlopen ('buiten de sessie' zijn) en bij een weigering dus moeten terugkeren naar je website of app om zich te authenticeren. Bekijk onze whitepaper over het ontwerpen van betaalflows voor SCA voor meer informatie.

Hoe Stripe je helpt om aan de SCA-vereisten te voldoen

De wijzigingen naar aanleiding van de nieuwe regelgeving zullen grote invloed hebben op de internethandel in Europa. De conversiepercentages van ondernemingen die zich niet aan deze vereisten houden, zullen mogelijk sterk dalen wanneer de SCA-vereisten verder worden ontwikkeld door Europese banken.

Naast ondersteuning voor nieuwe authenticatiemethoden zoals 3D Secure 2 zien wij een goede afhandeling van vrijstellingen als een belangrijk onderdeel van een optimale betaalomgeving waarin fraude tot een minimum wordt beperkt en je klanten zo min mogelijk frictie ervaren. Onze nieuwe betaalproducten spelen in op de uiteenlopende regels van toezichthouders, banken en kaartnetwerken, en kunnen relevante vrijstellingen toepassen op betalingen met een laag risico. Hierdoor wordt 3D Secure alleen geactiveerd wanneer het nodig is. Onze geavanceerde machine-learningmodellen helpen je ook om je aan te passen aan wijzigingen in de SCA-regels.

Aanstaande wijzigingen

Regelgevers in de EU en het VK werken ook aan de herziening van de regels die de toekomst van SCA in beide regio's vorm zullen geven. De Europese Commissie heeft het huidige PSD2-kader herzien en voorstellen gedaan voor een Payment Services Directive 3 en Payment Services Regulation. Stripe heeft deze gids gepubliceerd, die ingaat op de details van wat ondernemingen kunnen verwachten met de nieuwe regels en we volgen de voortgang voor soortgelijke regels in de Britse markt op de voet.

Raadpleeg hier meer informatie over de SCA-compliant producten van Stripe. Heb je vragen of feedback? Laat het ons dan weten.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.