PSD2 is de nieuwe Europese wet (richtlijn) voor het betalingsverkeer van consumenten en bedrijven. PSD2 gaat ons allemaal aan. Wat verandert er en wat gaan we ervan merken?
Wat betekent de Strong Customer Authentication van de PSD2 voor jou?
De regelgeving voor betalingen is aan het veranderen. Een goed voorbeeld van de veranderende regels is de PSD2, dat staat voor het tweede Payments Service Directive. Het doel hiervan is betalingen in de Europese Economische Ruimte (EER) makkelijker en veiliger maken. Hiervoor moeten banken hun data vrijgeven, zodat derde partijen op basis hiervan financiële oplossingen kunnen creëren. Die oplossingen moeten het voor de consument makkelijker maken om voor dingen te betalen. Consumenten kunnen op die manier bijvoorbeeld een chatbot toegang geven om namens hen betalingen te doen of een webshop toestemming geven hun banktegoed op het kassascherm te tonen. Hierin staat natuurlijk centraal dat deze betalingen veilig zijn en dat eventuele fraude voorkomen wordt. De beveiligingsmaatregelen uit de PSD2, de zogenaamde Strong Customer Authentication (SCA) regelgeving, worden officieel van kracht op 14 september 2019.
Hoe werkt Strong Customer Authentication (SCA)?
Doe je op dit moment als consument een online aankoop, dan heb je vaak ‘iets’ nodig om de betaling te verifiëren, zoals een wachtwoord, vingerafdruk of apparaat (bijvoorbeeld een paslezer). Volgens de regels van de SCA is deze beveiligingsstap verplicht voor elke online betaling die een consument doet. Online betalingen zullen moeten worden geverifieerd aan de hand van ten minste twee van de volgende criteria:
-Iets wat een consument heeft. Bijvoorbeeld een telefoon.
-Iets wat een consument weet. Bijvoorbeeld een pincode.
-Iets wat een consument is. Bijvoorbeeld fysiek bewijs waarmee een consument kan aantonen dat hij is wie hij zegt te zijn, zoals een vingerafdruk of een scan van zijn gezicht (veel telefoons zijn
tegenwoordig uitgerust met vingerafdrukscanners en gezichtsscanners).
In hoeverre deze regels worden nageleefd, ligt in de handen van de issuer (meestal de bank van je consument). Het is aan hen om te beslissen of een betaling door de consument moet worden geverifieerd of niet. Om te voorkomen dat consumenten hun winkelwagentje verlaten vanwege de extra beveiligingsstap en de aankoop dus stopzetten, zijn er ook enkele uitzonderingen op de SCA-regels opgenomen in de PSD2. Dit betekent dat de consument dus niet gevraagd wordt om de betaling te verifiëren met een extra stap.
SCA is bijvoorbeeld niet vereist voor betalingen met een bedrag lager dan € 30,-. Hierbij geldt een maximum van 5 betalingen met dezelfde pas of een maximum totaalbedrag van € 100,- van de meerdere betalingen bij elkaar opgeteld. Ook voor bedragen die via automatische incasso worden afgeschreven, zoals bijvoorbeeld een abonnement op Netflix of de sportschool, is geen extra verificatie nodig.