Hier moet je opletten met het oog op de naderende PSD2-deadline

15-09-2019 | door: Redactie

Hier moet je opletten met het oog op de naderende PSD2-deadline

Er ging kort geleden een kleine zucht van verlichting door retailland in Europa. The European Banking Authority (EBA) kondigde onlangs aan dat de PSD2 deadline van 14 september 'op uitzonderlijke basis' mag worden verlengd door nationale toezichthouders. Daar wordt in meerdere landen gretig gebruik van gemaakt.

Dat de aankondiging welkom was, blijkt wel uit het feit dat inmiddels na Denemarken en Frankrijk nu ook Groot-Brittanië en Ierland ervoor hebben gekozen de deadline uit te stellen. Handelsvereniging EPSM, een Europese organisatie die bestaat uit betaaldienstverleners voor (web)winkeliers, pleit voor een uitstel van de deadline van 18 maanden. In Duitsland is gekozen voor een vertraging van de wet. Daar zullen betalingsdienstaanbieders na 14 september 2019 voorlopig nog steeds creditcardbetalingen online toestaan zonder een Strong Customer Authentication (SCA). Het uitstel is bedoeld om storingen in online betaalprocessen te voorkomen en om de overgang naar de nieuwe vereisten te versoepelen.

Strong Customer Authentication

De richtlijn is van toepassing in de gehele EU, met inbegrip van de EER. In België en Nederland is tot op heden geen sprake van uitstel en zullen de regels voor niet-contante betalingen vooralsnog op 14 september veranderen. De Nederlandsche Bank (DNB) geeft echter aan in beperkte mate extra tijd toe te staan aan marktpartijen die de invoering van SCA voor creditcardtransacties niet tijdig hebben kunnen voorbereiden.

De richtlijn biedt een betere bescherming van klantgegevens en maakt het online delen van data veiliger. Simpel gezegd komt het erop neer dat alleen betalingsdiensten die PSD2-conform zijn kunnen worden gebruikt voor online aankopen met creditcard. Hierbij is de tweestapsverificatie die nodig is voor SCA onontbeerlijk. Klanten kunnen bij een bedrag boven de dertig euro niet langer met een muisklik betalen, of slechts met een creditcardnummer. Er horen vanaf de 14e twee veiligheidsstappen te worden gezet. De twee stappen moeten een combinatie zijn van twee van de volgende drie opties:

  • Kennis, zoals een wachtwoord of een pincode
  • Bezit, zoals een creditcard of smartphone
  • En iets persoonlijks, zoals een vingerafdruk of irisscan

Een combinatie van een pincode en wachtwoord volstaat dadelijk dus niet meer, aangezien het in beide gevallen om kennis gaat. Een vingerafdruk in combinatie met een wachtwoord kan dan weer wel.

Wie is er klaar?

Dat er steeds meer landen om uitstel vragen zegt eigenlijk al genoeg. Terwijl banken en externe partijen zoals Fintechs goed voorbereid zijn en de deadline halen, zijn sommige bedrijven die online betalingen aanbieden nog niet klaar voor een PSD2-conform betaalproces. Dit kan in het ergste geval leiden tot achtergelaten digitale winkelmandjes omdat de betaling niet kan worden afgerond – met inkomstenverlies en ontevreden klanten tot gevolg. Volgens een Europabreed onderzoek van het betalingsplatform Stripe en 451 Research dalen de inkomsten in het eerste jaar na de inwerkingtreding van de richtlijn met 57 miljard euro. Zulke negatieve gevolgen voor de detailhandel staan volgens Cognizant haaks op het doel van de nieuwe richtlijn: meer veiligheid en bescherming tegen fraude, meer innovatie en vooral een betere, soepelere en meer comfortabele klantervaring.

Drie stappen voor een soepele klantervaring

Wat kunnen bedrijven nu het beste doen? Volgens Ramesh Ramani, Head of Banking & Financial Services Europe bij Cognizant, zijn er drie stappen die elke winkelier moet nemen:

  • Start (of ga verder) met 3DSv2 en stel een migratieplan op: selecteer een dienstverlener voor betaalprocessen en let er in het bijzonder op in hoeverre deze een zo soepel mogelijke winkelervaring met sterke authenticatie mogelijk maakt. Als het bedrijf en/of de serviceprovider al vertrouwt op 3DS-technologie, dan is het raadzaam om hiermee te blijven werken, te vertrouwen op de komende versie (3DSv2) en de migratie vanaf hier te op te zetten. Wanneer je nog steeds werkt met verificatiemethodes als OTP’s (one time passwords, bijvoorbeeld via sms) is het slim om over te schakelen naar 3DSv2. Dit is de beste technologie om zowel een soepele klantervaring te garanderen en tegelijkertijd te voldoen aan de nieuwe richtlijn.
  • Vergeet de uitzonderingen niet en verbeter de klantervaring: bedragen onder de dertig euro hoeven niet te voldoen aan de tweestapsauthenticatie, zoals betalingen van abonnementen. Het is ook mogelijk om een winkelier als "vertrouwd" (witte lijst) te markeren bij de desbetreffende kredietverstrekker. Als winkelier moet je juist deze mogelijkheden optimaal benutten.
  • Blijf op de hoogte over de mogelijkheden van PSD2: de nieuwe richtlijn werkt uiteindelijk in ieders voordeel. Goed geïntegreerd moet het leiden tot meer zekerheid, lagere kosten, meer flexibiliteit en innovatie. Sta eens stil bij de mogelijkheden voor jouw winkel of bedrijf en bedenk hoe deze voordelen in jouw geval het beste kunnen worden benut. Nu kun je het nog meenemen in je migratieplan.
Terug naar nieuws overzicht
Security