1. Introductie

De Europese Commissie publiceerde in 2013 een voorstel voor de herziene versie van de eerste Richtlijn betalingsdiensten, met als doel het vereenvoudigen van het verwerken van betalingen en het scheppen van regels en voorschriften voor betalingsdiensten in de Europese Unie (EU). Hierdoor ontstond een behoefte aan een tweede Richtlijn betalingsdiensten, ook wel bekend als PSD2, en een nieuwe versie van 3-D Secure, versie 2.1 (3DSv2.1). PSD2 werd van kracht in januari 2018. Doel van de richtlijn is het garanderen van consumentenbescherming voor alle betalingstypen en het stimuleren van een nog opener, concurrerend betalingslandschap. Wij melden met trots dat wij, als betalingsdienstverlener, al sinds 29 mei 2018 officieel aan de vereisten van PSD2 voldoen.

De deadline voor het implementeren van PSD2 was voor alle landen in de EU 31 december 2020. De enige uitzondering geldt voor het Verenigd Koninkrijk (VK): dat land besloot de SCA per maart 2022 van kracht te laten worden.

We bieden je in deze handleiding stapsgewijze instructies hoe je het meeste voordeel kunt halen uit deze nieuwe norm en hoe je kunt zorgen dat je aan de norm voldoet.

2. Wat is sterke klantauthenticatie (SCA)?

Een deel van deze nieuwe regelgeving is het implementeren van sterke klantauthenticatie (SCA), die van toepassing is op Europese elektronische transacties. Dit betekent dat klanten zich met minimaal TWEE van de volgende drie methoden moeten authenticeren:
  • Iets wat ze weten (bijvoorbeeld een PIN of wachtwoord)
  • Iets wat ze bezitten (bijvoorbeeld een kaartlezer of mobiele telefoon)
  • Iets wat ze zijn (bijvoorbeeld stemherkenning of een vingerafdruk)

De grootste verandering en het grootste voordeel voor jou als handelaar is dat je niet verantwoordelijk zult zijn in het geval van een frauduleuze transactie. De beslissing over het authenticatieverzoek ligt in de handen van de bank van de klant (uitgever).

Electronic Transactions SCA - NL.pngIn der Grafik werden die elektronischen Transaktionen dargestellt, für die PSD2 infrage kommt.

3. Het voorkeursscenario voor SCA aangeven

Wanneer je klant (de kaarthouder) een transactie start in jouw webshop, kan een van de volgende twee dingen gebeuren:

  1. Controlestroom: de kaarthouder moet aanvullende gegevens verstrekken om zich te authenticeren.
  2. Wrijvingsloze stroom: de kaarthouder hoeft zich niet zelf te authenticeren omdat de authenticatie zonder hun input op de achtergrond plaatsvond. In dit geval heeft de uitgever vertrouwen in de informatie die je bij de transactie hebt geleverd; de aansprakelijkheid verschuift naar de uitgever. 

Aangezien de beslissing nu in handen van de uitgever ligt, zullen ze jou om meer gegevens vragen. Uitgevers willen graag zoveel mogelijk gegevenspunten, zodat ze de accuratesse van hun beslissing kunnen verbeteren; dit kan uiteindelijk leiden tot een wrijvingsloos scenario, zelfs als jij degene in de frontlinie bent die de gegevens vastlegt. 

Opmerking: voordat je parameters kunt verzenden, moet je ervoor zorgen dat 3DS actief is voor al je creditcard-betalingsmethoden. Als dit niet het geval is, moet je contact met ons opnemen om activering aan te vragen. 

Image of 3DS activation for all payment methods

4. SCA-uitsluitingen

Sommige transacties worden als "buiten het bereik liggend" beschouwd en zijn uitgezonderd van PSD2. Er is hiervoor dus geen SCA vereist.

  • Transacties via postorders of telefonische orders (MOTO)
  • Transacties die plaatsvinden wanneer jouw verwerver of de bank van de kaarthouder zich buiten de EEA-zone bevindt.
  • Anonieme prepaid-kaarten tot een maximum van €150 (Artikel 63 van PSD2)
  • Terugkerende transacties, abonnementen of vertraagde / gesplitste verzendingen die voldoen aan de MIT-voorwaarden (Merchant-Initiated Transaction ofwel door de handelaar geïnitieerde transactie). Als de transacties niet aan deze voorwaarden voldoen, moet je aanvullende parameters naar ons platform versturen.Als je echter een eerste terugkerende betalingstransactie opzet met de klant, is sterke klantauthenticatie (SCA ofwel Strong Customer Authentication) verplicht en moet dit ook worden gemarkeerd met een gespecificeerde parameter Mpi.threeDSRequestorChallengeIndicator=04

5. SCA-vrijstellingen

Er zijn een paar transacties die zijn vrijgesteld van SCA om oponthoud bij het afrekenen te voorkomen. Je moet zelf om een vrijstelling vragen en de uitgever zal besluiten of de vrijstelling al dan niet wordt verleend. Je kunt vrijstellingen aanvragen door aanvullende parameters te versturen naar ons platform.

Transacties die kunnen worden vrijgesteld zijn: 

  • Handelaren in de whitelist: klanten kunnen een vrijstelling vragen bij hun uitgever om een handelaar in een whitelist te plaatsen. Deze handelaren worden beschouwd als "vertrouwde begunstigden".
  • Bedrijfstransacties: dit zijn transacties die zijn aangegaan tussen twee ondernemingen. 
  • TRA (transactierisicoanalyse) verwerver: je kunt een vrijstelling vragen voor transacties die je als een laag risico beschouwt. Aangezien de aansprakelijkheid bij de verwerver ligt, kijkt deze naar het algehele portfolio voor de transactie (transactiewaarde, fraudepercentage), waarna wordt besloten of al dan niet een vrijstelling kan worden verleend. Neem contact op met je verwerver voor meer informatie.
  • TRA (transactierisicoanalyse) uitgever: de uitgever kan een vrijstelling vragen als jij of de verwerver geen vrijstelling hebben verleend. De uitgever kijkt naar het algehele portfolio voor de transactie (transactiewaarde, fraudepercentage) en besluit dan of al dan niet een vrijstelling kan worden verleend. 
  • Transacties voor lage bedragen: er kan een vrijstelling worden toegepast voor aankopen met een waarde die lager is dan €30. Er zal echter SCA plaatsvinden als een klant vijf transacties achter elkaar verricht of als een waarde van meer dan €100 wordt bereikt.
  • Gedelegeerde autoriteit (gecertificeerde wallet): een uitgever kan een derde, zoals een gecertificeerde wallet-provider of een handelaar, machtigen om namens hen SCA uit te voeren.

Er zijn twee manieren waarop je een vrijstelling kunt aanvragen: binnen een authenticatie, met een verzoek om een wrijvingsloze stroom, of direct binnen autorisatie, met een uitwijkmogelijkheid om de transactie opnieuw te proberen indien de uitgever jouw vrijstellingsverzoek weigert

6. SCA overslaan met Soft Decline

Zoals beschreven in het vorige hoofdstuk, kun je vragen SCA helemaal over te slaan voor een aantal van jouw transacties. Er bestaat echter altijd een kans dat de bank van je klant 3-D Secure eist, met een afgewezen transactie als gevolg.

Ons Soft Decline-mechanisme geeft je een goede manier om deze afgewezen transacties te herstellen. Het stelt je ertoe in staat de transactie opnieuw naar ons platform te sturen na een eerdere weigering als gevolg van ontbrekende 3-D Secure. Door de authenticatiegegevens met het tweede verzoek mee te sturen, verhoog je de kans dat je transactie alsnog wordt geaccepteerd. Deze optie is beschikbaar voor Visa, American Express, MasterCard en Carte Bancaire. 

Lees onze DirectLink handleiding over dit onderwerp voor meer informatie over Soft Decline.