PSD2 Strong Customer Authentication 
Inschrijven Nieuwsbrief
 

                

            

            
        

    
    



    
    




    

        



   

    




   

















    






    

        




    Inleiding
    
    


































Zorg dat u klaar bent voor de nieuwe veiligheidsnorm die vereist is op grond van PSD2, de tweede Europese richtlijn betreffende betalingsdiensten.


Organisaties, acquirers (transactieverwerkers), kaartuitgevende instanties en klanten gaan te maken krijgen met een nieuwe uitdaging op betalingsgebied. De Regulatory Technical Standards (RTS) oftewel het raamwerk voor de technische vereisten voor Strong Customer Authentication (SCA) op grond van de tweede EU-richtlijn betreffende betalingsdiensten (PSD2) is afgelopen weken aangepast. Ondernemers moeten hierop voorbereid zijn. 




Deze regelgeving eist vooral een Strong Customer Authentication (ook bekend als tweetraps-authenticatie bijv. middels een CVC-code en wachtwoord) voor betalingen. De nieuwe richtlijnen gelden zowel voor ‘fysieke’ betalingen in de winkel, als via e-commerce. Er wordt rekening gehouden met de ervaring van de klant (een frictieloos betaalproces) daarom zijn er vrijstellingen voor SCA.


De gevolgen van deze nieuwe richtlijnen voor ‘fysieke’ betalingen bijv. in de winkel zijn beperkt, omdat de kaarthouder al zijn pincode moet invoeren om de transactie te voltooien (dit is Strong Customer Authentication van de kaarthouder). Bepaalde sectoren kunnen echter gebruikmaken van SCA-vrijstellingen (bijv. parkeren en openbaar vervoer). De gevolgen van de regelgeving zullen meer impact hebben op e-commerce betalingen.


De invoering van het laatste deel van de PSD2, de beveiliging via Strong Customer Authentication, heeft vertraging opgelopen. Dat komt omdat de Europese Bankauriteit (EBA) had aangekondigd dat de nationale bevoegde autoriteiten (National Competent Authorities of NCA's) de periode om te voldoen aan de nieuwe richtinglijnen mochten uitstellen tot 31 december 2020. Dat geldt alleen voor online verkoop. De 'fysieke' betalingen in de winkel moeten namelijk al vanaf 14 september 2019 aan de nieuwe voorschriften voldoen.


Om te voldoen aan de PSD2 eis voor Strong Customer Authentication, hebben de betaalkaartmaatschappijen (Visa en MasterCard) - samen met de technische instantie EMVCo - de nieuwe versie van het 3-D Secure-proces verder ontwikkeld. 3-D Secure 2.0 voldoet aan de eisen van PSD2 RTS en geldt in de EU-landen en Zwitserland. De nieuwe norm is door Visa en MasterCard in april 2019 geïntroduceerd en de acceptant moet deze ondersteunen.


 


3-D Secure 1.0 bevat ook de garantie dat deze voldoet aan RTS, maar biedt niet alle mogelijkheden om te profiteren van vrijstellingen en een optimaal betaalproces.


 






    





    

    




    

        




    Belangrijkste voordelen 3-D Secure 2.0
    

    










    






    

        




    

        
    

    

        

            
            
            
        

        
Intelligente systemen om creditkaartfraude tegen te gaan 

    





    


    

        




    

        
    

    

        

            
            
            
        

        
Minder afgebroken betalingen dankzij op risico gebaseerde authenticatie. 

    





    


    

        




    

        
    

    

        

            
            
            
        

        
Volledige integratie in webshop en mobiele apps. 

    





    


    

        




    

        
    

    

        

            
            
            
        

        
Vlot betaalproces (frictieloze verwerking) 

    





    






    

















    

        



   

    




   


















    


        
    

    

        Eenvoudig veiliger betalen
        
        
        
In het jaar 2020 zal e-commerce in Europa voorgoed veranderen. Vanaf die dag zijn banken namelijk wettelijk verplicht om sterke klantauthenticatie (Strong Customer Authentication - SCA) te ondersteunen bij het verwerken van e-commerce-betalingen in heel Europa.

Op grond van de tweede richtlijn inzake betalingsdiensten (PSD21) moeten banken nu meer informatie van consumenten verzamelen dan uitsluitend hun naam, kaartnummer en kaartvalidatie code (CVC, CVV).


        Download Position Paper
        
    






    






    

        



   

    



   

    




   

















    Wat betekent ‘Strong Customer Authentication‘ precies?
    

    

































Met Strong Customer Authentication moet bij alle betalingstransacties (behalve voor gedefinieerde vrijstellingen) een Strong Customer Authentication plaatsvinden. Dit betekent dat ten minste twee van de drie volgende factoren moeten worden toegepast voor het goedkeuren van een betaling:






    

        





























Kennis:


“iets wat u weet”





























 


Betaalautomaat


Wachtwoord


Betaalautomaat


Pincode




Betaalautomaat


Geheime vraag




Betaalautomaat


Numerieke reeks








    


    

        





























Bezit:


“iets wat u heeft”





























 


Betaalautomaat


Een mobiele telefoon (SIM-kaart)


Betaalautomaat


Draagbare apparaten




Betaalautomaat


Een token




Betaalautomaat


Kaart








    


    

        





























Inherentie


“iets wat u bent”





























 


Betaalautomaat


Vingerafdruk


Betaalautomaat


Stemherkenning


Betaalautomaat


Irisherkenning


Betaalautomaat


Gezichtskenmerken






    






   

















    Waar gaan de vrijstellingen voor Strong Customer Authentication over?
    

    

































PSD2 staat enkele gevallen toe waarin de kaarthouder geen SCA hoeft uit te voeren. Dit is gericht op verhoging van de gebruikersvriendelijkheid voor de kaarthouder en soepele gebruikerservaring.






    






    

        



























De RTS wijst 2 opties voor vrijstellingen aan voor fysiek betalingen in de winkel


    

  • Contactloze transacties met een lage waarde (met bepaalde beperkingen t.a.v. aantal transacties en totaal bedrag).
    • 

  • Transacties via onbemande terminals voor parkeren of vervoer.
    • 







    


    

        



























En 5 opties voor vrijstellingen voor betalingen op afstand

(e-commerce)


    

  • Wederkerende transacties voor identiek bedrag bij dezelfde acceptant.
    • 

  • Transacties met een lage waarde.
    • 

  • Risicoanalyse transactie.
    • 

  • Veilige bedrijfsbetalingen (vrijstelling uitsluitend voor kaartuitgevende instantie, niet beschikbaar voor de acceptant).
    • 

  • Vertrouwde begunstigden of 'White List' (vrijstelling uitsluitend voor kaartuitgevende instantie, niet beschikbaar voor de acceptant).
    • 






   

    




   

















    





    

    




    

        




    Geldt Strong Customer Authentication voor alle soorten transacties?
    

    
































De algemene regel is dat bij alle betalingsacties die door de betaler elektronisch geïnitieerd zijn SCA moet worden toegepast. In PSD2 zijn gevallen gedefinieerd waarin de Strong Customer Authentication van de kaarthouder niet geldt:


Betaalautomaat


Anonieme vooraf betaalde kaarten


Betaalautomaat


Orders per brief en telefoon  (MOTO-transacties)


Betaalautomaat


Interregionale / 'one leg'-transacties (waarbij slechts één van de partijen in de EU gevestigd is)


Betaalautomaat


Vervolgtransacties geïnitieerd door de acceptant (= MIT = Merchant Initiated Transactions) waarbij de kaarthouder niet aanwezig is, maar waarbij die vooraf expliciet toestemming heeft verleend (het mandaat) en dit met SCA door de kaarthouder is bekrachtigd






    






    

















    

        



   

    




   

















    Wat moet u doen als klant van Worldline?
    

    
































Ongeacht of 3-D Secure 1.0 wordt toegepast op al uw transacties, op een deel daarvan of op geen daarvan, raden wij u aan contact op te nemen met uw betaaldienstleverancier en daarna met Worldline om over te schakelen op 3-D Secure 2.0. Zorg dat uw klanten in toekomst nog steeds kunnen profiteren van een optimale en veilige winkelervaring ook bij het afrekenen. 





   

    




   

















    





    

    




    
















   

    



   

    




    

        




    Worldline voldoet aan de SCA-eisen van PSD2 met betrekking tot sterke klantauthenticatie
    
    

































Worldline was één van de eerste betaalproviders in Europa die 3-D Secure 2-transacties verwerkte.


In het vierde kwartaal van 2018 lanceerden we bij Worldline een samenwerkingsproject met banken, betaalschema's en een selecte groep bedrijven. In mei 2019 startte een testfase waarin reële verrichtingen geauthenticeerd werden met 3-D Secure 2.


Dankzij onze betaaloplossing kunnen we elektronisch transacties beveiligen en beheren en streven we ernaar de voorkeurspartners te zijn voor bedrijven die vrijstellingen willen beheren, een vlotte verwerking zoeken en de online gebruikerservaring willen verbeteren.


Onze experts hebben de afgelopen jaren hun kennis en praktische ervaring op dit gebied gedeeld in een reeks workshops met bedrijven, betaalproviders en banken. Daarin leggen ze uit hoe betaalplatformen effectief 3-D secure 2 kunnen toepassen. We werken al samen met een groeiend aantal bedrijven van allerlei omvang om aan de nieuwe voorschriften te voldoen.


Onze experts staan klaar om alle bedrijven te helpen deze uitdagingen met succes aan te gaan, zodat ze kunnen profiteren van online betaalprocessen die veiliger, slimmer en gemakkelijker in gebruik zijn.


Met onze producten bent u voorbereid op de nieuwe vereisten van klantauthentificatie en profiteert u van alle toepasselijke vrijstellingen.






 






    






    

        




    Veel gestelde vragen
    
    









    
    
  • 
        
    
            Wat is PSD2?
            
    De herziene richtlijn voor betalingsdiensten (PSD2) is vastgesteld door de Europese Bankautoriteit en is gericht op het reguleren van nieuwe belanghebbenden en verbetering van de veiligheid van de uitwisselingen. Onderdeel van deze regels is de RTS-SCA-regel. Regulatory Technical Standard - Strong Customer Authentication) die vanaf 14 september 2019 Strong Customer Authenticatie verplicht stelt.
    
        
    
        
    
        
        
    
            Waar staan we nu?
            
    Naarmate de oorspronkelijke termijn van 14 september 2019 dichterbij kwam, werd het voor steeds meer lidstaten duidelijk dat veel van hun nationale e-commercebedrijven en banken niet klaar waren.

Naar schatting zouden de Europese webhops gemiddeld een vijfde van hun inkomsten mislopen als ze niet tijdig konden voldoen. Hierop besloot de Europese Bankautoriteit (EBA), die verantwoordelijk is voor de technische regelgevingsnormen, uiteindelijk een tweede uitstel toe te staan. 
De nieuwe en definitieve termijn die de EBA in haar advies heeft aangekondigd, is 31 december 2020. De nationale bevoegde instanties (National Competent Authorities of NCA's) hebben in hun respectievelijke landen de nieuwe termijn meegedeeld aan hun relevante spelers, d.w.z. banken, betaalproviders en webshop. 
Om te voorkomen dat sommige partijen opnieuw geen actie zouden ondernemen totdat de nieuwe termijn gevaarlijk dichtbij komt, heeft de EBA de praktische invoering van sterke klantverificatie (SCA) als voorwaarde geëist. 
Tot slot is het belangrijk te benadrukken dat ondernemers en hun betaalproviders (Payment Service Providers of PSP's) uiterlijk tegen de tweede helft van 2020 technisch klaar moeten zijn. Zo hebben ze voldoende tijd om de volledige betaalketen met hun acquirers, kaartverstrekkers en -uitgevers te testen. De interpretatie van de nieuwe voorschriften zal waarschijnlijk uiteenlopen. Daarom zal de verdere afstemming tijd vergen. Desondanks moet alles vóór de winterperiode met alle speciale acties zoals Black Friday, Single Day en de kerstpromoties voltooid zijn.

    
        
    
    
        
        
    
            Geldt dit voor alle transacties?
            
    MOTO transacties (orders per brief of telefoon), Merchant Initiated Transactions (zie hierboven), evenals transacties tussen kaarthouders of acceptanten buiten de Europese Economische Ruimte vallen niet onder deze RTS-SCA-regel.
    
        
    
    
        
        
    
            Wat gebeurt er op 14 september als mijn transacties niet geauthenticeerd zijn?
            
    U loopt het risico dat autorisatie van niet-geauthenticeerde transacties wordt geweigerd. Wanneer een in de RTS-SCA gedefinieerde vrijstelling kan worden toegepast, is de Strong Customer Authentication van de kaarthouder niet van kracht. Vergeet ook niet dat zelfs wanneer voldaan is aan de voorwaarden voor een vrijstelling, de eindbeslissing ligt bij de kaartuitgevende instantie die deze op grond van haar eigen criteria mogelijk niet verleent (technische capaciteit om dit te beheren, frauderisico, met de kaarthouder afgesproken regelingen, enz.).

    
        
    
    
        
        
    
            Waarom moet u nu in actie komen?
            
    Het doel van Strong Customer Authentication door middel van 3-D Secure 2.0 is het terugdringen van fraude met betalingen op afstand en tegelijkertijd de gebruiksvriendelijkheid voor de kaarthouder verbeteren. Dit gebeurt door aan de kaartuitgevende instantie (de bank van de kaarthouder) meer informatie te geven over de context van de transactie, zodat de kaartuitgevende instantie kan beslissen of de Strong Customer Authentication van de kaarthouder moet worden doorgezet.
    
        
    
    
        
        
    
            Wat zijn de voordelen van 3-D Secure 2.0?
            
    1.	Als u al 3-D Secure 1.0 gebruikt voor al uw transacties zorgt de overstap naar 3-D Secure 2.0 ervoor dat een aantal van uw transacties voortaan frictieloos verloopt. Dit zorgt voor verhoging van uw conversiepercentage terwijl de fraudebeveiliging op peil blijft.

    

    
2.	Als u helemaal geen 3-D Secure 1.0 gebruikt (alleen 'SSL'-transacties) of alleen maar gedeeltelijk (dynamisch 3-D Secure) is invoering van 3-D Secure 1.0 of 3-D Secure 2.0 in ieder geval verplicht om te voldoen aan het beginsel van SCA. Doet u dit niet, dan kunt u verwachten dat veel niet-3-D Secure-transacties worden geweigerd door de kaartuitgevende instanties. 3-D Secure 2.0 levert u een beter conversiepercentage op dan 3-D Secure 1.0.

    
        
    
    
        
        
    
            Wat gebeurt er na 31 december 2020?
            
    Vanaf 1 januari 2021 zal Worldline geen transacties meer verwerken die niet in overeenstemming zijn met PSD2.
    
        
    
    
        
        
    
            Wat gebeurt er met mijn verrichtingen via Ideal?
            
    Transacties via Ideal verlopen 100% via het principe van sterke klantverificatie en moeten dus voldoen  aan de nieuwe regelgeving.
    
        
    
    
    • 




    






    

        



    
    
  • 
        
    
            Wat is er nieuw in het 3-D Secure 2.0-programma?
            
    De belangrijkste uitbreidingen van 3-D Secure 2.0 zijn:

    

    
•	Soepelere en een meer geïntegreerde klantervaring, vooral voor mobiele applicaties.

    
•	Nieuwe authenticatiemethoden aan de kant van de bank van de kaarthouder.

    
•	Beheer van vrijstellingen en frictieloos betaalproces.

    
        
    
        
    
        
        
    
            Wat is frictieloos?
            
    Afhankelijk van de bij het betaalverzoek gegeven context en informatie voert de kaartuitgevende instantie een risicoanalyse uit. Deze kan besluiten de transactie niet te autoriseren. Als het initiatief voor frictieloos afkomstig is van de kaartuitgevende instantie, profiteert de acceptant van de verschuiving van de aansprakelijkheid; de zogenaamde liability-shift. Omgekeerd geldt dat als de acceptant zelf een risicoanalyse heeft gemaakt en bij de kaartuitgevende instantie om een frictieloos betaalproces verzoekt, de acceptant niet profiteert van de verschuiving van de aansprakelijkheid.
    
        
    
    
        
        
    
            Welke vrijstellingen voor Strong Customer Authentication (SCA) gelden er?
            
    De RTS biedt 2 mogelijkheden voor vrijstellingen voor fysieke betalingen:

    

    
•	Contactloze transacties met een lage waarde
Een beroep op de vrijstelling voor een contactloze transactie is mogelijk

    

    
o	Als het transactiebedrag niet hoger is dan € 50.

    

    
o	Als sinds de laatste transactie met Strong Customer Authentication door de kaarthouder, ongeacht de acceptant, het in de RTS-SCA vastgestelde maximumbedrag voor contactloze transacties of het maximumaantal transacties (snelheidscriteria) niet is overschreden (maximaal € 150 of 5 transacties, te bepalen door de kaartuitgevende instantie die de maxima ook kan verlagen).

    

    
•	Transacties via een onbemande terminal voor parkeren of vervoer

    
        
    
    
        
        
    
            Welke vrijstellingen voor Strong Customer Authentication (SCA) gelden er voor betalingen op afstand?
            
    De RTS biedt 5 mogelijkheden voor vrijstellingen voor betalingen op afstand (e-commerce):

    

    
1. Wederkerende transacties 
    
Een vrijstelling voor Strong Customer Authentication geldt voor een reeks transacties op afstand voor hetzelfde bedrag aan dezelfde begunstigde. Strong Customer Authentication is echter wel vereist voor de eerste transactie (de overeenkomst) of voor elke wijziging van de reeks voorwaarden.

    

    
2. Transacties met een lage waarde
Op vrijstelling van Strong Customer Authentication voor een betaling op afstand met een lage waarde kan een beroep worden gedaan:

    

    

    ➔ Als het transactiebedrag niet hoger is dan € 30.
    

    
➔ Als sinds de laatste transactie met Strong Customer Authentication door de kaarthouder, ongeacht de acceptant, het in de RTS-SCA vastgestelde maximumbedrag voor transacties op afstand met een lage waarde, nl € 100,- niet is overschreden en er niet meer dan 5 transacties zijn verwerkt, te bepalen door de kaartuitgevende instantie die de maxima ook kan verlagen). 

    

    

3. Risicoanalyse transacties
Op de vrijstelling voor Strong Customer Authentication voor een transactie op afstand, waarbij een gedegen risicoanalyse is gedaan volgens specifieke criteria kan een beroep worden gedaan door de Acquirer ten behoeve van de acceptant en door de kaartuitgevende instantie als aan de volgende twee voorwaarden is voldaan: 

    

    
➔ Op basis van een gedegen Risicoanalyse (op basis van tenminste de vaststelling dat er geen besmetting is van het werkstation van de gebruiker met malware, dat er geen abnormale uitgaven door de betaler zijn gedaan, analyse van de locatie van de betaler, en de transactiehistorie) is vastgesteld dat de transactie een laag risico vertegenwoordigd. 

    
➔ Het fraudepercentage (voor transacties op afstand) van de Acquirer (én de kaartuitgevende instantie (Issuer), is lager dan vooraf bepaalde maxima: 

    

    
➩ 0,13% als het transactiebedrag lager is dan € 100. 
    
➩ 0,06% als het transactiebedrag lager is dan € 250. 
    
➩ 0,01% als het transactiebedrag lager is dan € 500. 
    
➩ De vrijstelling is niet van toepassing voor transacties boven € 500. Deze vrijstelling kan niet worden ingezet door de acceptant of bijvoorbeeld de PSP (internet kassa leverancier).

    

    
4. Vertrouwde begunstigden of opname op White List (niet geldig voor de acceptant)
Opname op een White List is een optie voor een kaarthouder om aan de kaartuitgevende instantie, meestal zijn bank, een acceptant aan te wijzen die hij vertrouwt en waarvoor hij geen Strong Customer Authentication wil gebruiken bij het uitvoeren van een transactie op afstand, mits deze laatste voldoet aan de door de bank gestelde veiligheidscriteria.

    

    
5. Veilige bedrijfsbetalingen (niet geldig voor de acceptant)
Vrijstellingen zijn ook geldig voor betalingen op initiatief van bedrijven met een debitering van de bedrijfsrekening (bijvoorbeeld centrale betaalkaarten, gecentraliseerde rekeningen en virtuele kaarten met afgeschermde toepassingsmogelijkheden). Zakelijke kaarten daarentegen (met een debitering van de bankrekening van de medewerker onder speciale voorwaarden) zijn vergelijkbaar met B2C-transacties en vallen niet onder deze bijzondere vrijstelling.

    
        
    
    
    • 




    






   

















    

        



    
    
  • 
        
    
            Wat gebeurt er als toepassing van een vrijstelling niet lukt?
            
    De vrijstellingen worden niet routinematig toegepast en zelfs wanneer voldaan is aan de voorwaarden voor vrijstelling, ligt de eindbeslissing om deze al dan niet toe te staan bij de kaartuitgevende instantie (de bank van de kaarthouder). De kaartuitgevende instantie stuurt een soft decline ('zachte weigering') voor de betaling die leidt tot het opnieuw indienen van de betaling met het verzoek om Strong Customer Authentication door de kaarthouder.
    
        
    
        
    
        
        
    
            Wanneer wordt 3-D Secure 2.0 ingevoerd?
            
    De invoering van 3-D Secure 2.0, die wijzigingen in de hele elektronische betalingsketen meebrengt, vindt vanaf september 2019 geleidelijk plaats, afhankelijk van de verschillende bij betalingen betrokken partijen (betalingsmodule, Acquirers, netwerken, Issuers). We raden u aan zo snel mogelijk contact op te nemen met uw PSP (internet kassa leverancier) om te achterhalen of deze al in staat is u te ondersteunen bij de invoering van 3-D Secure 2.0.
    
        
    
    
        
        
    
            Vanaf wanneer kan 3-D Secure 1.0 niet meer worden gebruikt?
            
    Het einde van 3-D Secure 1.0 is voor Visa en MasterCard aangekondigd voor december 2020.
    
        
    
    
        
        
    
            Wat gebeurt er met wederkerende transacties wanneer de eerste transactie zonder SCA heeft plaatsgevonden voor 14 september?
            
    Worldline zal als Acquirer geen vervolgtransacties blokkeren wanneer de eerste transactie voor 14 september heeft plaatsgevonden en zal de vervolgtransacties blijven accepteren. Indien echter de voorwaarden voor een bestaande overeenkomst (van voor 14 september) voor wederkerende transacties (zoals het vaste bedrag of de incassofrequentie) wijzigen zult u alsnog een SCA transactie moeten uitvoeren, waarna u in de vervolgtransacties moet refereren aan de SCA transactie.  Voor wederkerende overeenkomsten die na 14 september tot stand zijn gekomen dient u met de kaarthouder SCA uit te voeren bij de eerste transactie en hiernaar te verwijzen bij de een vervolgtransacties.
    
        
    
    
    • 




    






    

        



    
    
  • 
        
    
            Wat is een soft decline?
            
    Een soft decline is de reactie die een issuer kan geven op een autorisatieverzoek dat geen authenticatiegegevens bevat. Voor een succesvolle transactie moet de webwinkelier de transactie opnieuw indienen met SCA. Nederlandse issuers zullen in de loop van 2020 beginnen met het terugsturen van soft-declines op niet-geauthenticeerde transacties (waarvoor geen vrijstelling geldt), toewerkend naar volledig SCA-conform gedrag vanaf 2021.
    
        
    
        
    
        
        
    
            Wat is de planning ten aanzien van SCA voor online kaartbetalingen?
            
    In de loop van 2020 zullen kaartuitgevers (issuers), transactieverwerkers en betalingsdienstaanbieders SCA-handhaving geleidelijk invoeren zodat per 1 januari 2021 de migratie voltooid is. De betaalvereniging heeft een roadmap gemaakt.

    

    

•	Vanaf april zullen legacy online kaartbetalingen (d.w.z. zonder SCA) die sowieso door een Nederlandse kaartuitgever vanwege risico’s zouden zijn afgewezen, de reactie soft-declined krijgen. Dit introduceert de mogelijkheid om de transactie met authenticatie succesvol opnieuw in te dienen.

    

    
•	Vanaf oktober zullen Nederlandse kaartuitgevers in toenemende mate online kaarttransacties zonder SCA soft-declinen, ook als deze eerder zouden zijn goedgekeurd. Na authenticatie kan de transactie succesvol worden afgerond.

    

    
•	Vanaf oktober kunnen webwinkeliers vrijstellingen aanvragen voor in aanmerking komende transacties. In sommige gevallen vereist dit dat de webwinkelier een EMV3DS-versie met vrijstellingen ondersteunt, meestal EMV3DS2.1+ (alleen voor Mastercard) of EMV3DS2.2. Wanneer deze door de issuer wordt verleend, wordt de betalingservaring voor de kaarthouder verbeterd, wat leidt tot een betere algehele klantervaring en conversie.

    

    
Uiterlijk op 1 januari 2021 zullen Nederlandse issuers volledig SCA-conform handelen. Vanaf dat moment kunnen alleen nog maar geauthenticeerde, vrijgestelde of out-of-scope transacties worden goedgekeurd. Voor bepaalde vrijstellingsverzoeken is het gebruik van een EMV® 3-D Secure v2-implementatie die vrijstellingen ondersteunt, vereist.
    
        
    
    
        
        
    
            Wat gebeurt er als een webwinkelier 3DS niet ondersteunt?
            
    Voor online kaarttransacties is ondersteuning van de 3DS vereist zodra SCA wordt afgedwongen door de issuers. Europese issuers zullen deze handhaving in de loop van 2020 opvoeren, wat uiteindelijk zal leiden tot volledige handhaving vanaf 1 januari 2021, zoals vereist door de wet en de regelgevende instanties. Hoewel voor individuele transacties onder bepaalde omstandigheden geen 3DS nodig is, zullen alle webwinkeliers die zaken doen met Europese kaarthouders de 3DS-transactiestromen moeten ondersteunen om de continuïteit van hun bedrijf te waarborgen.
    
        
    
    
        
        
    
            Welke vrijstellingen zijn er voor tweefactorauthenticatie?
            
    Vrijstellingen voor Strong Customer Authentication (SCA) staan vermeld in de SCA RTS van de European Banking Association (EBA). Voor online kaartbetalingen zijn de meest relevante vrijstellingen LVP (low value payments) en TRA (transactie risico-analyse). In tegenstelling tot de zogeheten out-of-scope transacties, is bij dit type vrijstelling niet honderd procent zeker dat de authenticatie kan worden overgeslagen.

    

    
De vrijstelling voor LVP kan van toepassing zijn op transacties voor bedragen tot 30 euro. Verder mag het cumulatieve bedrag van de vrijstellingen voor LVP niet hoger zijn dan 100 euro en/of het aantal opeenvolgende vrijgestelde LVP-transacties mag niet meer dan 5 bedragen. Indien aan bovenstaande voorwaarden is voldaan, kan de issuer een vrijstelling voor LVP verlenen.

    

    
De TRA-vrijstelling kan van toepassing zijn op transacties voor maximaal  500 euro, onder voorbehoud van bepaalde fraudeprestatievereisten van de zijde van de acquirer of de issuer die bij de transactie betrokken is. De EMV 3DS-authenticatie stelt de issuer in staat gegevens te verzamelen om de transactierisico’s te evalueren. De vrijstellingsaanvraag wordt per transactie door de issuer ingewilligd of geweigerd.
    
        
    
    
    • 




    






   
















   

    




    

        



   

    




   

















    Bezoek betaalvereniging
    

    
































Voor een goede werking van het betalingsverkeer zijn standaarden en technische afspraken van groot belang. Dit soort zaken is veelal op Europees of zelfs mondiaal niveau geregeld. De Betaalvereniging coördineert aansluiting van de sector bij die afspraken en behartigt de belangen van de Nederlandse gemeenschap.


Bezoek pagina over PSD2.