Bereid u voor op de nieuwe veiligheidsnormen van de tweede Europese betaalrichtlijn (Second EU Payment Services Directive of PSD2)

Handelaars, acquirers, kaartuitgevers en klanten staan voor een nieuwe uitdaging: in het kader van de PSD2 worden de technische reguleringsnormen (Regulatory Technical Standards of RTS) omtrent sterke klantverificatie (Strong Customer Authentication of SCA) in de komende weken aangepast. Handelaars moeten hierop voorbereid zijn.

De nieuwe regelgeving draait vooral rond sterke klantverificatie bij betalingen (ook bekend als tweestapsverificatie). Die wil een goede betaalbeleving voor de klant verzekeren door een vlot betaalproces en vrijstellingen van een sterke klantverificatie. De richtlijn geldt zowel voor betalingen in een fysiek verkooppunt als bij online betalingen. Het effect op toonbankbetalingen is vrij beperkt omdat de kaarthouder nu al zijn pincode invoert om verrichtingen te voltooien (dit is een sterke verificatie van de kaarthouder). Toch kunnen sommige sectoren, zoals parkings en tolwegen, genieten van vrijstellingen. De regelgeving heeft vooral gevolgen voor online betalingen via webshops.

De invoering van het laatste deel van de PSD2, de beveiliging via sterke klantverificatie, heeft vertraging opgelopen. Dat komt omdat de Europese Bankautoriteit (EBA) had aangekondigd dat de nationale bevoegde autoriteiten (National Competent Authorities of NCA's) de termijn om te voldoen aan de nieuwe richtlijnen mochten uitstellen tot 31 december 2020. Dat geldt alleen voor online verkoop. Toonbankbetalingen moeten namelijk al vanaf 14 september 2019 aan de nieuwe voorschriften voldoen.

Om te beantwoorden aan de vereisten van sterke klantverificatie, hebben de kaartverstrekkers samen met de technische instantie EMVCo de nieuwe versie van het 3-D Secure-betaalprotocol verder ontwikkeld: 3-D Secure 2 is in overeenstemming met de technische reguleringsnormen van de PSD2 en is zowel in de EU als in Zwitserland van kracht. Visa en Mastercard lanceerden de nieuwe norm in april 2019, en handelaars zullen zich daaraan moeten houden.

3-D Secure 1 is ook conform de RTS, maar biedt niet alle voordelen van vrijstelling en een vlot betaalproces.

 



Wat is een sterke klantverificatie precies?

Bij een sterke klantverificatie moeten alle betalingsverrichtingen, op bepaalde vrijstellingen na, 'sterk' beveiligd zijn.
Dat betekent dat uw klant zich moet identificeren via twee van de drie volgende elementen:
 

Kennis:

‘iets dat u weet’

  • Pincode
  • Wachtwoord
  • Geheime vraag
  • Cijfercombinatie
     

Bezit:

‘iets dat u hebt’

  • Mobiele telefoon (simkaart)
  • Draagbaar toestel
  • Token
  • Betaalkaart

Inherentie:

‘iets dat u eigen is’

  • Vingerafdruk
  • Irisherkenning
  • Stemherkenning
  • Gezichtsherkenning
     

 

Dankzij de investeringen in nieuwe technologieën beleven alle klanten een optimale winkelervaring en kunnen ze tegelijkertijd veilig betalen.

 

 

Verrichtingen onderworpen aan sterke klantverificatie

Algemeen geldt dat alle elektronische transacties die een betaler initieert, onderworpen zijn aan de regelgeving van sterke klantverificatie. PSD2 voorziet echter een aantal gevallen waarin die regelgeving voor de kaarthouder niet van toepassing is:

  • anonieme prepaidkaarten
  • post- en telefoonorders (Mail Order Telephone Order of MOTO-transacties)
  • interregionale/‘one leg’-transacties (waarbij slechts één van de partijen in de EU gevestigd is)
  • verrichtingen geïnitieerd door de begunstigde (Merchant Initiated Transactions of MIT)

 



Vrijstellingen van sterke klantverificatie

PSD2 laat ruimte voor enkele vrijstellingen waarbij de kaarthouder zich niet via klantverificatie moet identificeren. Die zijn bedoeld om verrichtingen vlot te laten verlopen en de gebruiksvriendelijkheid voor de kaarthouder te verhogen.

De technische reguleringsnormen RTS bepalen:

voor verkooppunt, twee mogelijke vrijstellingen: 

  • contactloze verrichtingen van kleine bedragen
  • verrichtingen aan automaten (onbeheerde terminals) om te parkeren of op tolwegen

voor onlineverkoop (e-commerce), vijf mogelijke vrijstellingen:

  • vertrouwde begunstigden op een witte lijst (enkel de uitgever is vrijgesteld, niet de handelaar)
  • terugkerende verrichtingen
  • verrichtingen van kleine bedragen
  • risicoanalyse van de verrichting
  • beveiligde zakelijke betalingen (enkel de uitgever is vrijgesteld, niet de handelaar)

 

RAADPLEEG DE FAQ VOOR MEER INFORMATIE OVER DEZE VRIJSTELLINGEN
Vanaf maart 2020 zal Worldline de meeste van deze vrijstellingen ondersteunen.

 

 

 

De belangrijkste voordelen van 3-D Secure 2

frictionless

Vlot betaalproces
(frictieloze verwerking)

Intelligent fraud detection mechanisms to reduce credit card fraud

Intelligente systemen om kredietkaartfraude tegen te gaan

Fewer payment disruptions thanks to risk-based authentication

Minder betaalonderbrekingen dankzij op risico gebaseerde verificatie

Complete integration in web shop and app

Volledige integratie in webshops en mobiele apps





Worldline voldoet aan de SCA-eisen van PSD2 met betrekking tot sterke klantauthenticatie

Worldline was één van de eerste betaalproviders in Europa die 3-D Secure 2-transacties verwerkte.

In het vierde kwartaal van 2018 lanceerden we bij Worldline een samenwerkingsproject met banken, betaalschema’s en een selecte groep handelaars. In mei 2019 startte een testfase waarin reële verrichtingen geauthenticeerd werden met 3-D Secure 2.

Dankzij onze betaaloplossing om verrichtingen in de elektronische handel te beveiligen en te beheren, streven we ernaar de voorkeurspartner te zijn voor handelaars die vrijstellingen willen beheren, een naadloze verwerking zoeken en de online gebruikerservaring willen verbeteren.

Onze experts hebben de afgelopen jaren hun kennis en praktische ervaring op dit gebied gedeeld in een reeks workshops met handelaars, betaalproviders en banken. Daarin leggen ze uit hoe betaalplatformen effectief 3-D Secure 2 kunnen toepassen. We werken al samen met een groeiend aantal handelaars van allerlei omvang om aan de nieuwe voorschriften te voldoen.

Onze experts staan klaar om alle handelaars te helpen deze uitdagingen met succes aan te gaan, zodat ze kunnen profiteren van online betaalprocessen die veiliger, slimmer en gemakkelijker in gebruik zijn.

Met onze producten bent u voorbereid op de nieuwe vereisten van klantverificatie en profiteert u van alle toepasselijke vrijstellingen.

Vragen? Aarzel niet om contact op te nemen met uw vertrouwde contactpersoon bij Worldline.

 

FAQ

  • Wat is PSD2?

    De tweede richtlijn voor betaalverkeer (PSD2) werd vastgesteld door de Europese Bankautoriteit. Het wil nieuwe spelers reguleren en verrichtingen veiliger maken. De technische reguleringsnormen (RTS) leggen onder andere een sterke klantverificatie (SCA) op.

    Waar staan we nu?

    Naarmate de oorspronkelijke termijn van 14 september 2019 dichterbij kwam, werd het voor steeds meer lidstaten duidelijk dat veel van hun nationale e-commercebedrijven en banken niet klaar waren.

    Naar schatting zouden de Europese webhops gemiddeld een vijfde van hun inkomsten mislopen als ze niet tijdig konden voldoen. Hierop besloot de Europese Bankautoriteit (EBA), die verantwoordelijk is voor de technische regelgevingsnormen, uiteindelijk een tweede uitstel toe te staan.

    De nieuwe en definitieve termijn die de EBA in haar advies heeft aangekondigd, is 31 december 2020. De nationale bevoegde instanties (National Competent Authorities of NCA's) hebben in hun respectievelijke landen de nieuwe termijn meegedeeld aan hun relevante spelers, d.w.z. banken, betaalproviders en webshop.

    Om te voorkomen dat sommige partijen opnieuw geen actie zouden ondernemen totdat de nieuwe termijn gevaarlijk dichtbij komt, heeft de EBA de praktische invoering van sterke klantverificatie (SCA) als voorwaarde geëist.

    Tot slot is het belangrijk te benadrukken dat handelaars en hun betaalproviders (Payment Service Providers of PSP's) uiterlijk tegen de tweede helft van 2020 technisch klaar moeten zijn. Zo hebben ze voldoende tijd om de volledige betaalketen met hun acquirers, kaartverstrekkers en -uitgevers te testen. De interpretatie van de nieuwe voorschriften zal waarschijnlijk uiteenlopen. Daarom zal de verdere afstemming tijd vergen. Desondanks moet alles vóór de winterperiode met alle speciale acties zoals Black Friday, Single Day en de kerstpromoties voltooid zijn.

    Wat gebeurt er na 31 december 2020?

    Vanaf 1 januari 2021 zal Worldline geen verrichtingen meer verwerken die niet in overeenstemming zijn met PSD2.

    Geldt dit voor alle verrichtingen?

    Nee, sommige transacties zijn niet onderworpen aan dit RTS-SCA-voorschrift (= 'one-leg'-transacties):

    • MOTO-transacties op afstand
    • betalingen geïnitieerd door de handelaar en niet gerelateerd aan de klant (MIT)
    • verrichtingen tussen kaarthouders of acquirers van handelaars die buiten de Europese Economische Ruimte zijn gevestigd (zoals in Zwitserland en omgekeerd)
    • Postorder- en telefoonverkoop (verkoop op afstand), betalingen die door de begunstigde van de betaling worden geïnitieerd en onafhankelijk van de klant zijn, evenals transacties tussen kaarthouders of kopers buiten de Europese Economische Ruimte (bijv. Zwitserland, en vice versa) zijn niet onderworpen aan de NTR-regel van de vrijhandelsovereenkomst.

    Wat gebeurt er met mijn verrichtingen via Bancontact?

    Transacties via Bancontact verlopen 100% via het principe van sterke klantverificatie en moeten dus voldoen aan de nieuwe regelgeving.

    Waarom moet u nu in actie komen?

    Sterke klantverificatie via 3-D Secure 2 is bedoeld om fraude bij betalingen op afstand te verminderen en tegelijkertijd de gebruiksvriendelijkheid voor de kaarthouder aanzienlijk te vergroten. Hoe? Door onder andere de uitgever (de bank van de kaarthouder) meer informatie te geven over de context van de verrichting. Zo kan die laatste beslissen of de kaarthouder al dan niet een sterke klantverificatie moet verlenen.

    Wat zijn de voordelen van 3-D Secure 2?

    1. Als u al 3-D Secure 1 gebruikt voor al uw verrichtingen, dan zullen sommige van uw transacties dankzij 3-D Secure 2 vlot verlopen. Daardoor stijgt uw websconversie én bent u beschermd tegen fraude.
    2. Gebruikt u op dit moment 3-D Secure 1 helemaal niet (uitsluitend SSL-transacties) of slechts gedeeltelijk (dynamische 3-D Secure)? Dan bent u sowieso verplicht om 3-D Secure 1 of 3-D Secure 2 in te voeren om te voldoen aan de nieuwe regelgeving. Zoniet zullen heel wat transacties zonder 3-D Secure geweigerd worden door de uitgevers. Bovendien biedt 3-D Secure 2 u een betere webconversie dan 3-D Secure 1.

    Wat is nieuw in 3-D Secure 2?

    De belangrijkste toevoegingen van 3-D Secure 2 zijn:

    • beheer van vrijstellingen en probleemloze betalingen
    • nieuwe verificatiemethodes voor de bank van de kaarthouder
    • een vlottere en beter geïntegreerde betaalervaring, vooral voor mobiele applicaties

    Welke toonbankbetalingen zijn vrijgesteld van sterke klantverificatie (SCA)?

    De technische reguleringsnormen (RTS) vermelden twee mogelijke vrijstellingen voor toonbankbetalingen:

    • Contactloze verrichtingen van kleine bedragen

    Een contactloze transactie kan worden vrijgesteld:

    ➔ als het bedrag van de verrichting niet hoger is dan € 50
    ➔ als de kaarthouder na de laatste verrichting met sterke klantverificatie het maximale bedrag voor contactloze betalingen niet overschreden heeft (max. € 150 of 5 transacties, vastgelegd door de uitgever, die ook lagere grenzen kan hanteren). Dit werd bepaald door de RTS-SCA (snelheidscriteria) en is ongeacht de handelaar of het aantal contactloze transacties.

    • • Transacties aan onbemande betaalterminals voor parkings of vervoer

    Een vrijstelling van sterke klantverificatie wordt toegepast voor contact- en contactloze verrichtingen om een vervoerstarief of parkeergeld te betalen aan een onbemande betaalterminal. De vrijstelling kan worden toegepast:

    ➔ als de verrichting wordt uitgevoerd onder specifieke hypothecaire of consumentenkredieten
    ➔ als het bedrag van de verrichting niet hoger is dan het maximale transactiebedrag dat door de verstrekkers (Mastercard en Visa) is vastgesteld. Voor verrichtingen die het toegestane maximumbedrag overschrijden, is altijd een sterke klantverificatie van de kaarthouder nodig.

    Wat zijn de vrijstellingen van sterke klantverificatie (SCA) voor betalingen op afstand?

    De technische reguleringsnormen bepalen vijf mogelijke vrijstellingen voor betalingen op afstand (onlineverkoop):

    • Vertrouwde begunstigden op een witte lijst (niet van toepassing op de handelaar))

    Een witte lijst houdt in dat de kaarthouder de uitgever van zijn kaart, gewoonlijk zijn bank, een lijst geeft met alle handelaars die hij vertrouwt en voor wie hij geen sterke klantverificatie wenst te verlenen bij verrichtingen op afstand. Voorwaarde is wel dat ze voldoen aan de beveiligingscriteria van de bank.

    • Terugkerende verrichtingen

    Er geldt een vrijstelling van sterke klantverificatie voor herhaaldelijke transacties op afstand van hetzelfde bedrag naar één en dezelfde begunstigde. Sterke klantverificatie is wél vereist voor de eerste verrichting (het contract) of bij elke wijziging van de voorwaarden van deze terugkerende verrichtingen.

    • Verrichtingen van kleine bedragen

    De vrijstelling op sterke klantverificatie voor transacties op afstand met kleine bedragen kan worden toegepast:

    ➔ als het bedrag van de verrichting niet hoger is dan € 30
    ➔ als de kaarthouder na de laatste verrichting met sterke klantverificatie het maximale bedrag voor transacties op afstand van kleine bedragen overschrijdt (max. € 100 of 5 transacties, vastgelegd door de uitgever, die ook lagere grenzen kan hanteren). Dit werd bepaald door de RTS-SCA (snelheidscriteria) en is ongeacht de handelaar of het aantal contactloze transacties.

    • Beveiligde zakelijke betalingen (niet van toepassing op de handelaar)

    Vrijstellingen gelden ook voor betalingen van bedrijven die op de bedrijfsrekening worden gedebiteerd (zoals centrale betaalkaarten, gecentraliseerde rekeningen en virtuele kaarten). Bedrijfskaarten (die onder speciale voorwaarden worden gedebiteerd op de bankrekening van de werknemer) hebben dan weer veel weg van B2C-transacties en vallen niet onder deze speciale vrijstelling.

    • Risicoanalyse van de verrichting

    De vrijstelling van sterke klantverificatie voor een transactie op afstand ten behoeve van risicoanalyse, kan worden toegepast door de acquirer (in naam van de handelaar) en door de uitgever, op voorwaarde dat de volgende voorwaarden vervuld zijn:

    ➔ de verrichting is veilig (bijvoorbeeld de computer van de gebruiker is niet geïnfecteerd met Malware, de betaler voert geen abnormale betalingen uit, locatie van de betaler, transactiegeschiedenis …)
    ➔ het fraudepercentage (voor verrichtingen op afstand) van de betaalinstantie (de bank als acquirer en de bank als uitgever, maar niet de handelaar of zijn betaalprovider) overschrijdt de vooraf bepaalde grenzen niet:

    ➩ 0,13 % als het bedrag van de verrichting < € 100 bedraagt
    ➩ 0,06% als het bedrag van de verrichting < € 250 bedraagt
    ➩ 0,01% als het bedrag van de verrichting < € 500 bedraagt
    ➩ De vrijstelling is niet van toepassing op transacties > dan € 500.

    Wat gebeurt er als er geen vrijstelling wordt toegekend?

    Vrijstellingen worden niet automatisch toegekend. Zelfs als de voorwaarden voor een vrijstelling vervuld zijn, hangt de uiteindelijke beslissing nog steeds af van de uitgever (de bank van de kaarthouder), die de vrijstelling wel of niet kan goedkeuren. De uitgever zal de betaling in eerste instantie blokkeren, waarna het betaalverzoek opnieuw wordt ingediend en de kaarthouder sterke klantverificatie moet verlenen.

    Wanneer wordt 3-D Secure 2 ingevoerd?

    3-D Secure 2 brengt wijzigingen in de hele elektronische betaalketen met zich mee. Het principe zal geleidelijk aan worden ingevoerd, afhankelijk van de verschillende spelers in het betaalverkeer (betalingsmodule, handelsbanken, netwerken, uitgevende banken). We raden u aan om de leverancier van uw betaalpagina zo snel mogelijk te vragen of hij u al kan helpen bij de invoering van 3-D Secure 2.

    Wanneer verdwijnt 3-D Secure 1?

    Bij Visa en Mastercard verdwijnt 3-D Secure 1 in december 2020.

    Wat gebeurt er met latere terugkerende verrichtingen als de eerste nog zonder SCA is uitgevoerd vóór 31 december?

    Als acquirer zal Worldline geen latere transacties blokkeren als de eerste vóór 31 december is uitgevoerd. Bovendien zal Worldline de latere transacties blijven aanvaarden. Voor terugkerende betalingen na 31 december, raden wij aan om klantverificatie te verlenen voor de eerste verrichting. Bij volgende transacties is het aangewezen om steeds naar de eerste verrichting te verwijzen om zo de goedkeuring ervan te verzekeren.

    De nationale toezichthouder in mijn land heeft een overgangsfase voor SCA goedgekeurd. Wat betekent dat voor mijn zaak?

    Nationale toezichthouders bewaken de activiteiten van lokale acquirers en uitgevers. Het belangrijkste voor u is echter de locatie van uw acquirer: hij zal bepalen of er een overgangsfase kan worden toegepast. Bovendien moeten handelaars die internationaal actief zijn de regelgeving van de landen waarin ze zakendoen, raadplegen. Sommige uitgevers in Europa zullen verplicht zijn om sterke klantverificatie al vanaf 14 september te ondersteunen. Dat betekent dat die uitgevers waarschijnlijk kaartverrichtingen zullen weigeren wanneer die zonder 3-D Secure worden verwerkt.

    Wat moet u doen als u voor de Worldline Sips betaalpagina heeft gekozen?

    U heeft voor de beveiligde betaalpagina Sips van Worldline gekozen die nu al de strengere klantherkenning toepast met het 3-D Secure 1.0 betaalprotocol. Hoewel 3-D Secure 1.0 momenteel voldoet aan de nieuwe richtlijnen, zal uw betaalpagina voor de zomer van 2020 overgaan naar 3-D Secure 2.X. Daarvoor hoeft u zelf niets te doen.