Sinds de Europese Unie de herziene Richtlijn inzake betalingsdiensten (de “PSD2”) heeft goedgekeurd, hoor je vaak over “sterke cliëntauthenticatie” of “SCA”. Wat is SCA? Welke invloed heeft het op onze online transacties? Welke uitdagingen - en voordelen - brengt het met zich meer voor online activiteiten?
In oktober 2015 keurde de Europese Unie een nieuwe richtlijn over betalingsdiensten goed, met als doel de consumenten beter te beschermen wanneer ze online transacties of grensoverschrijdende betalingen uitvoeren. Hoewel de oorspronkelijke deadline voor de invoering ervan werd verlengd, is SCA als snel uitgegroeid tot een vast onderdeel van onze dagelijkse online interacties met banken, webshops en dienstverleners.
Wat was het motief achter deze verschuiving naar sterke veiligheidsmaatregelen? Het antwoord ligt bij de verschillende factoren die hebben geleid tot de PSD2, onder andere een plotse stijging in de cyberaanvallen op consumenten en bedrijven.
Als puntje bij paaltje komt, is het belangrijk om rekening te houden met zowel de voordelen als de nadelen die SCA voor online handelaars en dienstverleners biedt. En wat kunnen de kaartuitgevers, banken en financiële instellingen doen om te voldoen aan de SCA-eisen en tegelijkertijd te zorgen voor een positieve klantervaring en blijvend engagement?
Wat is sterke cliëntauthenticatie eigenlijk?
Sterke cliëntauthenticatie is ontstaan als directe reactie op de duidelijke verandering in het online consumptiegedrag en de bankiergewoontes onder Europese burgers sinds het tweede decennium van de 21e eeuw. Hoewel het zorgt voor een hoger beveiligingsniveau, maakt het de zaken ook extra complex. Maar hoe werkt het precies?
SCA is een van de hoekstenen van PSD2. Het vereist dat de betalingsdienstaanbieders binnen de Europese Economische Ruimte meerstapse authenticatieprocedures invoeren. Dit verzekert dat die klanten die toegang hebben tot betalingsdiensten en hun vertrouwelijke gegevens via online bankingapps en vergelijkbare interfaces delen, inderdaad zijn wie ze beweren te zijn.
Bij een tweestapse authenticatie moeten gebruikers twee van de volgende gegevens invoeren om een transactie uit te kunnen voeren of vertrouwelijke gegevens te kunnen bereiken:
wachtwoord | telefoonnummer | vingerafdruk |
pincode | token | gezichtsherkenning |
geheim feit | smart card | stemherkenning |
Deze drie stappen kunnen worden onderverdeeld in drie categorieën:
- Kennis: dit omvat wachtwoorden, pincodes of gegevens die alleen de gebruiker of klant kent.
- Bezit: dit verwijst naar iets dat de gebruiker bij zich heeft, zoals een mobiele telefoon, een token of smart card, dat kan worden gebruikt om de gevraagde informatie te verstrekken.
- Erfelijkheid: dit verwijst naar de lichamelijke gesteldheid van de gebruiker, bijvoorbeeld het gezicht, de stem of de vingerafdruk.
Hoewel dit laatste slechts enkele jaren geleden nog science fiction leek, is het tegenwoordig uitgegroeid tot een alomtegenwoordige realiteit. Populaire vormen zijn bijvoorbeeld de Face ID van Apple of vingerafdruk-pads die door de fabrikanten van smartphones worden aangeboden om toegang te krijgen op een toestel, ter vervanging van de traditionele pincode.
Maar de vraag blijft: wat was, naast de snelle groei in online consumptiegedrag, nog de aanleiding voor deze versterkte authentificatiemethodes? En wat zijn de mogelijke gevolgen voor zoals de klanten als de bedrijven die online actief zijn?
Wist u dat? Volgens de cijfers van de Europese Bankauthoriteit, gebruikte in 2017 meer dan 50% van de Europese consumenten elektronisch bankieren, in vergelijking met amper 25% in 2007. |
Waarom is SCA ingevoerd?
Vóór de PSD2 werd de beveiliging van consumenten bij het online bankieren en shoppen als gebrekkig beschouwd, en terecht. Een van de redenen was de aanzienlijke stijging in het aantal en in de vernuftigheid van cyberaanvallen in de laatste 10 jaar, en recentere ontwikkelingen hebben deze tendens enkel versterkt. Hoewel SCA bedoeld is om cyberbedreiging te reduceren, kan het ook het traject van een gebruiker op een platform, app of website aanzienlijk bemoeilijken. Hoe?
Terwijl de coronacrisis ons in 2020 blijft teisteren, zijn het aantal gevallen van phishing-fraude, malware, ransomware en andere pogingen tot fraude exponentieel gegroeid, nu talloze professionals in de service-industrie van het ene moment op het andere zijn overgestapt van dagelijks forensen naar thuiswerken. Zelfs voor de pandemie was cybercriminaliteit in het laatste decennium gestaag in opmars. Het onderzoek van Accenture met de titel “Ninth Annual Cost of Cybercrime Study”, waarbij meerdere duizenden senior managers van 355 bedrijven in 11 landen werden ondervraagd, toont voor de periode van 2013 tot 2018 een stijging van 67% in veiligheidsinbreuken in bedrijven. Het zijn echter niet alleen bedrijven en werknemers die ten prooi vallen van cybercriminelen - ook privépersonen vormen het doelwit. PSD2 probeert dit probleem aan te pakken.
De inherente gevoelige punten van eenstapse authenticatie, zoals het herhaaldelijk gebruik van snel vergeetbare wachtwoorden, stellen consumenten bloot aan allerlei soorten cyberbedreigingen. Daarom is het aan de kaartuitgevers, banken en betalingsdienstaanbieders om een SCA-mechanisme in te voeren dat betere bescherming tegen kwaadwillige indringers biedt.
Over het algemeen biedt SCA zowel voor- als nadelen voor consumenten en bedrijven online:
VOORDELEN | NADELEN |
Voor consumenten betekent de verhoogde beveiliging een lager risico op fraude en cyberaanvallen. | Het kan de toegang tot online services en goederen vertragen als het niet goed is ingevoerd. |
Consumenten die vroeger twijfelachtig stonden tegenover online transacties, worden door SCA gerustgesteld. | Het kan ertoe leiden dat consumenten niet doorgaan met een aankoop omdat ze het proces te log vinden. |
SCA schept een gelijk speelveld voor online bedrijven, want alle bedrijven moeten SCA-compliant zijn. | De meer geavanceerde authenticatiemethodes (zoals gezichtsherkenning) zijn nog niet erg verspreid. |
Ja, op het vlak van gebruikerservaring, zorgt meerstapse authenticatie voor mogelijk wrijvingen, want veel bedrijven zorgen baart. Dat brengt ons bij de vraag: hoe kunnen kaartuitgevers, banken en betalingsdienstaanbieders de beveiliging van consumenten garanderen en toch voor een vlotte gebruikerservaring zorgen?
Wist u dit? Volgens de gegevens die in 2018 door Salecycle, een Britse gedragsmarketingkantoor, zijn verzameld, is de financiële sector, na de luchtvaart- en reissector, die sector waar online consumenten het vaakst hun winkelmand achterlaten voordat ze tot aan de kassa raken. |
Beveiliging versus gebruikerservaring: een onmogelijk balans?
Uber, Deliveroo, Just Eat… en de lijst gaat verder. Talloze app-gebaseerde services zijn de laatste jaar uit de grond geschoten, zodat snelle service, directe betaling en een naadloze gebruikerservaring nu een vast deel van ons dagelijkse leven vormen. SCA heeft veel ophef veroorzaakt onder die bedrijven die hun klantenbestand dezelfde vlotte, naadloze service willen aanbieden Hoe kunnen ze dat doen?
Volgens de PSD2 hebben online retailers geen controle over hoe SCA worden geïmplementeerd, want de verantwoordelijkheid daarvoor ligt bij de kaartuitgevers en banken van hun klanten. Dit leidt tot frustratie, zelfs als beide partijen streven naar hetzelfde doel, namelijk het bevorderen van naadloze online transacties. Toen traditionele banken oorspronkelijk begonnen met het ontwikkelen van app-gebaseerde online bankservices, kozen ze meestal voor een vereenvoudigde versie van hun vertrouwde desktop-interface, zodat klanten met enkele muisklikken overschrijvingen konden verrichten en hun saldo konden raadplegen. De ontwrichting die SCA in dit kalme elektronische bankenlandschap teweegbracht en de potentiële interferentie in de gebruikerservaring, is niet onopgemerkt gebleven.
Bedrijven en betalingsdienstaanbieders die de verwachtingen van hun gebruikers negeren, doen dat op eigen gevaar. Volgens een recente peiling naar online retailing door het onafhankelijke UX-onderzoeksinstituut Baymard, een “lang of ingewikkeld betalingsproces” was de derde belangrijkste reden voor het afbreken van een online transactie - meer dan een vijfde van de respondenten vinkte deze reden aan. Het percentage van die consumenten die hun winkelmandje onbetaald achterlaten omdat de website hen vroeg om een “account aan te maken”, bedroeg bijna 30%.
In een tijd dat het gemakkelijker dan ooit is om van de enige online shop naar de andere over te schakelen, is het delicate evenwicht tussen beveiliging en een naadloos gebruikerstraject van cruciaal belang voor bedrijven, banken en financiële instellingen. De geboden authenticatie-opties zouden zo breed mogelijk moeten zijn en rekening moeten houden met de verschillende gebruikers- of consumentenprofielen. Dit kan het verschil uitmaken tussen het behouden van de klantentrouw - ondanks SCA - of een dalende klantentrouw als gevolg van lastig of omslachtig.
Om de wrijvingen tijdens het gebruikerstraject te reduceren en om alle gebruikers en klanten te kunnen bedienen, moeten kaartuitgevers, banken en betalingsdienstaanbieders rekening houden met het volgende:
Niet alle mobiele besturingssystemen zijn up-to-date
- Retailers of gebruikers voeren niet altijd automatisch een update van hun besturingssysteem uit.
- SCA op platforms of apps moeten werken zelfs wanneer het besturingssysteem niet in de recentste versie is.
Niet iedereen heeft een smartphone
- Oudere personen zonder smartphones vertegenwoordigen een aanzienlijk deel van het klantenbestand van een bedrijf. De SCA-methoden moeten dit weerspiegelen.
- Wanneer push-meldingen niet mogelijk zijn, moeten eenmalige wachtwoorden via automatische terugbelfuncties of sms-berichten worden verstrekt.
SCA is niet nodig voor wederkerende transacties
- Automatische incasso’s voor betalingen of voor abonnementen moeten slechts eenmaal aan de SCA-eisen voldoen.
- Doorlopende opdrachten die door de begunstigde zijn opgericht, zijn vrijgesteld van SCA.
Biometrische oplossingen zijn beschikbaar
- Nauwkeurige gezichts- en vingerafdrukherkenning zijn de veiligste vormen van authenticatie.
- Ze zijn ook het meest compatibel met een vlot gebruikerstraject.
- Externe aanbieders van digitale identificatiemiddelen bieden oplossingen aan die direct in bestaande app-interfaces of platform-infrastructuren kunnen worden ingebouwd.
Begeleiding is gemoedsrust
- Klanten informatie bieden over wanneer en waar SCA vereist is, is van cruciaal belang.
- Door het doel ervan uit te leggen, namelijk het reduceren van cyberbedreigingen en fraude, wordt het belang duidelijk.
- Door klanten te adviseren om regelmatig hun mobiele toestellen, besturingssystemen en persoonsgegevens bij te werken, verloopt de SCA-ervaring vlotter.
Online bedrijven en retailers kunnen helpen voorkomen dat SCA niet als een hindernis wordt beschouwd. Door hun klanten in te lichten over de veiligheidsvoordelen van SCA kunnen ook zij hun klanten geruststellen en hun eerste bezwaren overkomen. Want SCA is hier om te blijven. Hoewel er tijdelijke enige wrijving kan ontstaan, zal SCA in de loop van de tijd intuïtiever worden, want alle klanten en bedrijven binnen de Europese Economische Ruimte zullen zich moeten aanpassen aan het nieuwe online transactielandschap dat PSD2 heeft getekend.
Wist u dit? In een peiling onder 1000 Britse kaarthouders in 2020 door het internationale betalingsbedrijf Visa gaf 66% van de respondenten aan dat ze biometrische authenticatiemethodes eenvoudiger dan wachtwoorden vinden. |
Zelden heeft een wet zulke impact op het online transactielandschap gehad als PSD1 en PSD2. Deze laatste richtlijn zet niet alleen het kaderwerk voor betalingsdiensten, het voert ook sterke cliëntauthenticatie in om online consumenten meer bescherming te bieden tegen cyberaanvallen. De uitdagingen die deze SCA-maatregelen met zich meebrengen op het vlak van gebruikerservaring, zijn echter aanzienlijk.
Het is de taak van de kaartuitgevers, banken en betalingsdienstaanbieders om naadloze gebruikerstrajecten en transacties te garanderen, zonder te worden gehinderd door verhoogde veiligheidsmaatregelen. Dit is niet alleen in hun eigen belang maar ook in dat van financiële instellingen, consumenten en online bedrijven. Dit doel kan worden bereikt door uiteenlopende, flexibele authenticatieopties te bieden en consumenten in te lichten over de voordelen van SCA.
In de loop van de tijd zullen SCA-methodes sneller, intuïtiever en populairder worden, en zullen de eerste ongemakken verdwijnen. De veiligheidsrisico’s blijven echter bestaan en alle online spelers moeten dan ook waakzaam blijven. Gezien het strikte wettelijke kader waarin ze werken, hebben betalingsdienstaanbieders echte expertise in het beheren van beveiligingskwesties en het bestrijden van mogelijke gevaren opgebouwd. Daarom spelen ze een belangrijke rol in het vestigen van de aandacht op deze kwesties, zodat bedrijven zich beter kunnen beschermen.
Topics