Ben jij klaar voor Strong Customer Authentication?

De tweede ‘Payment Services Directive’, beter bekend onder de afkorting PSD2, is eind dit jaar na diverse vertragingen definitief van kracht. De PSD2 heeft als doel betalingen in de Europese Economische Ruimte (EER) makkelijker én veiliger te maken. Consumentenbescherming tegen fraude is hierbij één van de kernonderwerpen. Om dat mogelijk te maken, moeten online betalingen aan de nieuwe Strong Consumer Authentication (SCA)-richtlijnen voldoen.

Tekst: Simon Marchand

Veiliger online betalen

Door PSD2 worden banken verplicht data vrij te geven aan derden, die op basis van deze data nieuwe financiële oplossingen kunnen creëren. Deze oplossingen moeten het op hun beurt voor de consument makkelijker maken om online betalingen te verrichten. Zo kunnen consumenten bijvoorbeeld afrekenen via een chatbot, of een webwinkel toestaan hun banksaldo te tonen op het betalingsscherm. Dit vergrote gebruiksgemak moet natuurlijk wel hand in hand gaan met verhoogde veiligheid en nieuwe maatregelen tegen fraude.

Dat die verhoogde veiligheid nodig is, blijkt wel uit de cijfers: de afgelopen maanden waarschuwde de politie meermaals voor een enorme toename in het aantal internetoplichtingen. Het Landelijke Meldpunt Internetoplichting haalde talloze malafide webshops offline en er werden diverse mailcampagnes ontdekt waarin oplichters bankgegevens probeerden buit te maken. De Europese Centrale Bank schatte in zijn Vijfde Rapport Kaartfraude in dat online fraude jaarlijks ‘goed’ is voor zo’n 1,8 miljard euro aan schade wereldwijd. Van deze fraude-incidenten had 73 procent te maken met ‘Card-Not-Present’-betalingen: betalingen via internet, post of telefoon. De nieuwe SCA-regels beveiligen consumenten juist bij dit soort online betalingen waarbij geen bankkaart nodig is.

Iets wat je hebt, weet of bent

Het beveiligen van online transacties volgens de nieuwe SCA-regels houdt in dat transacties minimaal twee van de drie veiligheidsstappen moeten doorlopen om een betaling te verifiëren. Die drie stappen zijn binnen de SCA als volgt gedefinieerd:

- Iets wat een consument heeft (bijvoorbeeld een telefoon of card reader)

- Iets wat een consument weet (bijvoorbeeld een wachtwoord, pincode of geheime vraag)

- Iets wat de consument is (bijvoorbeeld gezichtsherkenning of een vingerafdruk)

Vanaf 2021 zullen online betalingen dus aan minimaal twee van deze drie beveiligingsstappen moeten voldoen. Betalingen die niet aan deze kernvoorwaarden van de SCA voldoen, kunnen door de bank worden geweigerd.

Voor- en nadelen op een rijtje

Het achtergelaten boodschappenkarretje is één van de grootste hoofdbrekens van webwinkeliers. Het afrekenproces moet dus te allen tijde zo makkelijk en flexibel mogelijk zijn: je wilt niet het risico lopen dat klanten er bij een te ingewikkeld betalingsproces de brui aan geven. Dat ideaalbeeld van een frictieloos betaalproces kan echter ten koste gaan van de veiligheid van de transactie. Want wat zien we als makkelijk?

De maatregel rondom kennis lijkt een inkopper. Juist deze maatregelen heeft op financieel dienstverleners waarschijnlijk een grote aantrekkingskracht: wachtwoorden en pincodes worden breed beschouwd als relatief ‘eenvoudige’ veiligheidsmaatregelen. Toch worden er jaarlijks aan alle kanten onderzoeken uitgevoerd waaruit blijkt dat we wachtwoorden graag hergebruiken. De percentages lopen flink uiteen, maar feit blijft dat wachtwoorden, hoe graag we die ook als beveiliging gebruiken, bij verkeerd gebruik ontzettend onveilig kunnen zijn. Dat geldt ook voor de andere methoden binnen de categorie ‘wat een consument weet’; feitelijke, (makkelijk) repliceerbare informatie is ook door anderen te bemachtigen en gebruiken.

De maatregel die zicht richt op iets wat de consument bezit lijkt in dat opzicht een stuk veiliger - om tweestapsverificatie met een sms’je naar je mobiele telefoon succesvol af te kunnen ronden, heb je immers het fysieke apparaat nodig. Helaas kent ook de inventiviteit van fraudeurs geen grenzen en lijkt ook daar iets op gevonden: sim-swapping. Bij deze tactiek bellen fraudeurs met de telefoonprovider met de mededeling dat ‘hun’ telefoonnummer moet worden overgezet naar een andere simkaart, waarna de fraudeur, naast het slachtoffer, inzicht krijgt in de sms’jes en berichtjes op dat nummer en dus met de verstuurde code kan inloggen.

De moeilijkst vervangbare veiligheidsregel lijkt die wat de consument is. Een mens van vlees en bloed is immers lastig te repliceren. Waar gezichtsscanners in het verleden nog gefopt konden worden met een foto van iemands gezicht, is de technologie rondom biometrie immers zo ver gevorderd dat deze haast niet te vervalsen is. De Europese Bankautoriteit (EBA) raadt bedrijven dan ook aan van de drie maatregelen minimaal de biometrische in te schakelen. Een nadeel daar lijkt het nog kleinschalig gebruik van biometrie in het bedrijfsleven. Toch maken we er in ons dagelijks leven veelvuldig gebruik van: je gezicht voor de camera of je duim op de scanner om je telefoon te ontgrendelen is inmiddels eerder standaard dan uitzondering.

Organisaties moeten zoeken naar de juiste balans tussen de optimale klantbeleving van het frictieloze betaalproces en de veiligste betaalomgeving. Op die manier kan betalingsfraude worden teruggedrongen en zal het aantal legitieme betalingen toenemen, waardoor operationele kosten omlaaggaan terwijl het gebruiksgemak van de consument nergens afneemt. Wie zich goed inleest en voorbereidt op de veranderingen van de PSD2/SCA, maakt het de fraudeur zo moeilijk mogelijk, zonder dat de consument van frustratie zijn nog niet afgerekende winkelwagentje achterlaat.

Simon Marchand is Chief Fraud Prevention Officer bij Nuance Communications.