Naar inhoud

De aandachtspunten voor de definitieve invoering van de PSD2

Op 19 februari 2019 is in Nederland de Payment Services Directive 2, beter bekend als de PSD2, in werking getreden. Op 14 september 2019 is in het kader van deze nieuwe Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven een extra beveiliging vereist voor creditcardbetalingen in het online circuit – de Strong Customer Authentication (SCA). In uitzonderlijke gevallen kan echter uitstel worden verleend voor het voldoen aan dit onderdeel van deze betaalrichtlijn.

Kort geleden is een kleine zucht van verlichting door de Europese retailsector gegaan. Dat was op het moment dat de European Banking Authority (EBA) de mededeling deed dat deze PSD2-deadline van 14 september 2019 op uitzonderlijke basis mag worden verlengd door nationale toezichthouders. Daar wordt in meerdere landen gretig gebruik van gemaakt. Dat de aankondiging welkom was, blijkt wel uit het feit dat inmiddels na Denemarken en Frankrijk nu ook Groot-Brittannië en Ierland ervoor hebben gekozen de deadline uit te stellen.

Payment Services Directive 2

Handelsvereniging European Association of Payment Service Providers for Merchants (EPSM), een Europese organisatie die bestaat uit betaaldienstverleners voor winkeliers en webwinkeliers, pleit voor een uitstel van de deadline van 18 maanden. In Duitsland is gekozen voor een vertraging van de wet. Daar staan betalingsdienstaanbieders na 14 september 2019 voorlopig nog steeds creditcardbetalingen online toe zonder een SCA. Het uitstel is bedoeld om storingen in betaalprocessen in het online domein te voorkomen en om de overgang naar de nieuwe vereisten te versoepelen.

Strong Customer Authentication

De richtlijn is van toepassing in de gehele Europese Unie (EU), met inbegrip van de Europese Economische Ruimte (EER). In België en Nederland is tot op heden geen sprake van uitstel en veranderen de regels voor niet-contante betalingen vooralsnog op 14 september 2019. De Nederlandsche Bank (DNB) geeft echter aan in beperkte mate extra tijd toe te staan aan marktpartijen die de invoering van de SCA voor creditcardtransacties niet tijdig hebben kunnen voorbereiden.

Betere bescherming klantgegevens

De richtlijn biedt een betere bescherming van klantgegevens en maakt het online delen van data weer veiliger. Simpel gezegd komt het erop neer dat alleen betalingsdiensten die PSD2-conform zijn, kunnen worden gebruikt voor online aankopen met een creditcard. Hierbij is de tweestapsverificatie die nodig is voor SCA onontbeerlijk. Klanten kunnen bij een bedrag boven de 30 euro niet langer met een muisklik of slechts met een creditcardnummer betalen. Er horen vanaf zaterdag 14 september 2019 twee veiligheidsstappen te worden gezet. De twee stappen moeten een combinatie zijn van twee van de volgende drie opties:

  1. persoonlijke kennis, zoals een wachtwoord of een persoonlijk identificatienummer (pin);
  2. persoonlijk bezit, zoals een creditcard of een smartphone;
  3. persoonlijke eigenschap, zoals een vingerafdruk of een irisscan.

Een combinatie van een code en een wachtwoord volstaat dadelijk dus niet meer, aangezien het in beide gevallen om kennis gaat. Een vingerafdruk in combinatie met een wachtwoord kan dan weer wel.

Gevolgen van uitstelaanvraag

Dat er steeds meer landen om uitstel vragen zegt eigenlijk al genoeg. Terwijl banken en externe partijen zoals FinTech-bedrijven goed voorbereid zijn en de deadline halen, zijn sommige bedrijven die online betalingen aanbieden nog niet klaar voor een PSD2-conform betaalproces. Dit kan in het ergste geval leiden tot achtergelaten digitale winkelmandjes omdat de betaling niet kan worden afgerond – met inkomstenverlies en ontevreden klanten tot gevolg. Volgens een Europees onderzoek van betalingsplatform Stripe en onderzoeksbureau 451 Research dalen de inkomsten in het eerste jaar na de inwerkingtreding van de richtlijn met 57 miljard euro. Zulke negatieve gevolgen voor de detailhandel staan haaks op het doel van de nieuwe richtlijn: meer veiligheid en bescherming tegen fraude, meer innovatie en vooral een betere, soepelere en meer comfortabele klantervaring.

Drie stappen voor een soepele klantbeleving

Wat er ook gebeurt, uitstel of niet, het is tijd voor actie. Wat kan bij bedrijven nu het beste worden gedaan? In ieder geval moet elke retailer drie stappen nemen.

  1. Start of ga verder met 3DSv2 en stel een migratieplan op – Selecteer een dienstverlener voor betaalprocessen en let er in het bijzonder op in hoeverre deze een zo soepel mogelijke winkelervaring met sterke authenticatie mogelijk maakt. Als het bedrijf of de serviceprovider al vertrouwt op 3D-veiligheidstechnologie, is het raadzaam om hiermee te blijven werken, te vertrouwen op de komende versie – 3 dimensional secure version 2 (3DSv2) – en de migratie vanaf hier te op te zetten. Wanneer je nog steeds werkt met verificatiemethodes als one time passwords (OTP’s), bijvoorbeeld via een sms’je, is het slim om over te schakelen naar 3DSv2. Dit is de beste technologie om zowel een soepele klantervaring te garanderen en tegelijkertijd te voldoen aan de nieuwe richtlijn.
  2. Vergeet de uitzonderingen niet en verbeter de klantervaring – Bedragen onder de 30 euro hoeven niet te voldoen aan de tweestapsauthenticatie, zoals betalingen van abonnementen. Het is ook mogelijk om een winkelier als vertrouwd op een witte lijst te markeren bij de desbetreffende kredietverstrekker. Als winkelier moet je juist deze mogelijkheden optimaal benutten.
  3. Blijf op de hoogte over de mogelijkheden van PSD2 – De nieuwe richtlijn werkt uiteindelijk in ieders voordeel. Goed geïntegreerd moet het leiden tot meer zekerheid, lagere kosten, meer flexibiliteit en innovatie. Sta eens stil bij de mogelijkheden voor jouw winkel of bedrijf en bedenk hoe deze voordelen in jouw geval het beste kunnen worden benut. Nu kun je het nog meenemen in je migratieplan.

Verlenging van de deadline of niet, de tijd om alles in orde te maken is relatief kort. Gebruik de tijd die je nog hebt goed en laat PSD2 voor je werken.

Ramesh Ramani is head of banking & financial services Europe bij IT-dienstverlener Cognizant.

Bron: CustomerTalk
0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie