PSD2 beoogt onder meer om de beveiliging van betaaldiensten te bevorderen. Eén met PSD2 geïntroduceerde maatregel die hierop ziet is dat online transacties met betaalkaarten voortaan moeten worden geauthentiseerd met gebruik van sterke cliëntauthenticatie (strong customer authentication, “SCA”). iDEAL is een betaalmethode die in feite neerkomt op een online transactie met een betaalkaart.
Coauteur: Van der Beek, Annemieke
Bij SCA wordt ten minste gebruik gemaakt van twee verschillende factoren, die kunnen bestaan uit kennis (zoals een wachtwoord of pincode), bezit (zoals een bankpas of een aan een bankrekening gekoppelde mobiele telefoon) of een inherente eigenschap (zoals de biometrische kenmerken van een vingerafdruk of de stem). Neem weer het voorbeeld van iDEAL: bij deze betaalmethode vindt al jarenlang authenticatie plaats volgens de SCA-regels, dus voor veel Nederlanders brengt PSD2 in dat opzicht geen verandering. In Europa bestaan er echter ook betaalmethoden waarbij nog geen authenticatie volgens de SCA-regels plaatsvindt.
Formeel gezien zijn de verscherpte regels voor authenticatie sinds 14 september 2019 in werking getreden, maar in de aanloop naar deze datum bleken de verscherpte regels te vroeg te komen voor sommige banken, betaalinstellingen, maar ook webwinkels. De nieuwe regels zijn bijvoorbeeld van invloed op de wijze waarop webwinkels online kaartbetalingen accepteren. Check out-systemen van webwinkels moeten technisch zo zijn uitgerust dat zij SCA kunnen ondersteunen. Dit bleek nog onvoldoende het geval te zijn.
Na aanhoudende zorgen hierover vanuit de sector, heeft de Europese Bankautoriteit (EBA) op 16 oktober 2019 een opinion gepubliceerd, waarin zij bekend heeft gemaakt handhaving van de SCA-regels uit te zullen stellen tot 31 december 2020. In een eerdere opinie van de EBA van 21 juni 2019 had de Europese toezichthouder nog aangekondigd dat nationale toezichthouders bij hun toezicht op de SCA-regels flexibiliteit toekwam, maar dit leidde door verschillende interpretaties binnen Europa alleen maar tot meer onduidelijkheid binnen de sector. Aan die onduidelijkheid heeft de EBA nu een eind gemaakt, door 31 december 2020 als deadline te stellen. Extra tijd dus voor marktpartijen om alles in het werk te stellen alsnog op tijd klaar te zijn voor SCA.
Meer artikelen van Kennedy Van der Laan
Dit artikel is ook te vinden in het dossier PSD2
