Waar gaat de wet over?

Op 14 september wordt Strong Customer Authentication (SCA) ingevoerd. Deze maatregel is onderdeel van de herziene Richtlijn Betaaldiensten, afgekort tot PSD2. SCA, in het Nederlands “sterke cliëntauthenticatie”, draait om de verificatie van klanten bij onlinetransacties. Alle bedrijven die onlinetransacties doen, moeten een tweede verificatiestap aan het afrekenproces toe te voegen.

Waarom deze verandering?

De e-commercemarkt zal in de komende drie jaar naar verwachting groeien tot 900 miljard euro. De Europese Centrale Bank berekende dat in 2016 wereldwijd voor zo’n 1,3 miljard euro werd gefraudeerd met creditcards via virtuele betalingen (online, telefonisch of via de post). Met de groei van onlineverkopen in het vooruitzicht zal dat bedrag alleen maar toenemen. Deze maatregel moet de fraude terugdringen.

Verifiëren in twee stappen, hoe werkt dat?

Iedereen die gebruikmaakt van een computer of een account heeft bij een website, moet bevestigen dat hij de persoon is die hij beweert te zijn. Het bekendste voorbeeld van verificatie is dat van accounts die bestaan uit een e-mailadres en een wachtwoord. Daarbij is sprake van één stap –het invoeren van het wachtwoord– waardoor het systeem niet heel veilig is. Iedereen die de combinatie van e-mailadres en wachtwoord gebruikt, kan immers zomaar acties uitvoeren via het account. Bij onlinetransacties hoeven vaak alleen een creditcardnummer en een adres te worden ingevoerd om een bestelling te plaatsen; dat is ook één stap.

Bij verificatie in twee stappen moeten gebruikers via een extra actie bevestigen dat zij écht zijn wie ze beweren te zijn. SCA verplicht klanten om te kiezen uit twee van de volgende drie methoden: iets dat je weet (bijvoorbeeld een wachtwoord of pincode), iets dat je hebt (bijvoorbeeld een smartphone of ander apparaat) of iets dat je bent (bijvoorbeeld een vingerafdruk of gezichtsherkenning).

Wat merkt de consument van SCA?

Klanten moeten bij het afrekenen op twee manieren bevestigen dat zij zichzelf zijn. SCA geldt niet voor contactloze betalingen van minder dan 50 euro bij kassa’s en voor onlinebetalingen van minder dan 30 euro. Ook herhaalde betalingen van hetzelfde bedrag aan dezelfde partij, betalingen in opdracht van een winkelier en onlinebetalingen aan een vertrouwde partij zijn vrijgesteld. Aanbieders van betaaldiensten kunnen bovendien bepaalde partijen ontheffen als blijkt dat zij een laag frauderisico vormen.

Voordeel voor Nederlandse consumenten is dat iDEAL al gebruikmaakt van verificatie in twee stappen. Bij reguliere betalingen via iDEAL zal dus weinig veranderen. Consumenten die veel kopen bij partijen zonder iDEAL –vooral buitenlandse websites– zullen wel een stap extra moeten zetten.

Zijn webwinkels er klaar voor?

Nog niet helemaal. De wet wordt dan wel onverkort van kracht, veel webwinkels lijken nog niet klaar te zijn met hun voorbereidingen. Een rapport in opdracht van betaaldienstverlener Stripe leert dat een op de vijf bedrijven met minder dan honderd werknemers de details nog niet kent; slechts 8 procent van alle partijen zou goed zijn voorbereid.

Volgens hetzelfde rapport is ook 73 procent van de consumenten nog niet op de hoogte.

Wat betekent dat voor de webwinkels?

De extra stap kan betekenen dat klanten het bestelproces afbreken, waardoor bedrijven omzet mislopen. Onlogisch is dat niet: vergelijkbare regelgeving in India leidde van de ene op de andere dag tot 25 procent minder conversies (de stap van het winkelmandje naar daadwerkelijk betalen).