GDPR ingewikkeld? Zet je dan maar schrap voor SCA

Net als eerder de AVG brengt de invoering van Strong Customer Authentication (SCA), op 14 september van dit jaar, belangrijke veranderingen met zich mee voor bedrijven die online transacties verwerken en voor de manier waarop we dagelijks online betalen. 

SCA vereist dat er bij online betalingen een extra authenticatiestap moet plaatsvinden. Waar tot nu toe een creditcardnummer en een adres voldoende waren, moeten klanten nu minstens twee van de volgende drie extra authenticatiemethoden gebruiken als ze online voor iets willen betalen. Die drie factoren zijn: 1) iets dat je weet (zoals een wachtwoord of je PIN-code), 2) iets dat je hebt (zoals een smartphone of een authenticatie-apparaat) en 3) iets dat je bent (zoals een vingerafdruk of gezichtsherkenning).

Waarom deze verandering?

Deze nieuwe regel is bedoeld om Europese consumenten te beschermen tegen online fraude, dat miljoenen euro’s aan schade oplevert. De verwachting is dat de Europese e-commercemarkt zal groeien tot bijna 900 miljard euro in 2022 . En daarmee zal ook de online fraude toenemen. De Europese Centrale Bank schat dat er op dit moment jaarlijks voor 1,3 miljard dollar aan online fraude wordt gepleegd met creditcards. We zien én voorkomen ieder jaar wereldwijd ongeveer voor 3,5 miljard euro aan fraudepogingen. Nieuwe maatregelen om de groeiende online fraude tegen te gaan, zijn dan ook meer dan welkom.

Maar SCA kan voor een flinke schadepost zorgen. Zonder een goede voorbereiding, zullen geweigerde transacties en andere fricties bij het online afrekenen een grote negatieve impact op de conversie hebben. Toen bijvoorbeeld in 2014 vergelijkbare regelgeving werd ingevoerd in India, zagen sommige ondernemingen van de ene op de andere dag een conversieverlies van ruim 25 procent. Als datzelfde nu zou gebeuren met de 600 miljard euro online economie van Europa, hebben we het over een potentiële schadepost van maar liefst 150 miljard euro.

Hoe kunnen online ondernemingen zich voorbereiden?

Het beste advies is: begin nu met de voorbereidingen. Op dit moment is slechts een kwart van de Europese ondernemingen zich bewust van de aankomende veranderingen. Dit betekent dat veel bedrijven – net zoals gebeurde bij de GDPR – waarschijnlijk pas op het laatste moment gehaaste stappen gaan nemen. En vergis je niet:  SCA is minstens zo complex als GDPR. De overkoepelende EU-regelgeving wordt op verschillende manieren geïnterpreteerd door de verschillende landen, terwijl creditcardnetwerken en banken hun eigen regels en beleid hebben. Ook zijn er uitzonderingsgevallen waarin SCA niet nodig is. Het kan allemaal behoorlijk verwarrend zijn, daarom zijn hier enkele belangrijke punten om aan te denken bij de voorbereidingen op SCA.

Om te beginnen is het aan te raden om de huidige afrekenprocedures goed onder de loep te nemen, om ervoor te zorgen dat klanten zo makkelijk mogelijk online kunnen betalen, met de beste betaalmethodes. Er zijn verschillende manieren waarop ondernemingen de authenticatie van klanten zo kunnen inrichten dat ze voldoen aan de SCA-richtlijnen. Dit loopt van biometrische beveiliging in mobiele wallets tot regionale betaalmethoden zonder creditcards (denk aan iDEAL), tot 3D Secure 2.0. Ook hebben consumenten hun eigen voorkeuren, afhankelijk van het land waarin zij wonen of hun relatie met het bedrijf waarmee ze zakendoen. Daarom is het verstandig om zo veel mogelijk opties te bieden bij het afrekenen, waarbij de beste betaalmethode dynamisch verschijnt, afhankelijk van de context.

Ten tweede: kijk waar SCA echt nodig is en waar niet. SCA gaat niet voor iedere online transactie gelden. Er zijn uitzonderingen, bijvoorbeeld voor aankopen onder de dertig dollar of voor periodieke betalingen. Denk dus goed na wanneer een klant wel of niet die extra authenticatiestap moet doorlopen. Ook kunnen klanten de bedrijven die ze vertrouwen toevoegen aan een whitelist bij hun bank, zodat ze bij toekomstige aankopen niet die extra authenticatiestap hoeven te doorlopen.

Maar dit soort uitzonderingen is uiteindelijk afhankelijk van de bank van de klant. Voor ondernemingen die actief zijn in meerdere Europese landen betekent dit dat ze rechtstreeks zouden moeten samenwerken met talloze lokale banken om precies te weten hoe ze dit soort uitzonderingen moeten detecteren. En er zijn in heel Europa ruim 6.000 banken… Bedrijven moeten beslissen of ze zelf SCA-expert willen worden of dat ze een strategisch partner zoeken die ze daarbij helpt.

Welke gevolgen kan dit hebben voor e-commerce in Europa?

Waar risico’s zijn, zijn vaak ook kansen. Makkelijk online afrekenen en intelligent beheer van uitzonderingen op SCA kunnen een concurrentievoordeel opleveren voor ondernemingen die erin slagen om dit goed in te richten. In zekere zin kan deze ontwikkeling zelfs een voordeel opleveren voor bedrijven die op technologisch gebied voorop lopen en die voortdurend bezig zijn met het optimaliseren van de klantervaring. Dit geldt ook voor mobile commerce, waar SCA ervoor kan zorgen dat de biometrische beveiliging van wallets zoals Apple Pay en Google Pay meer worden gebruikt. Verder kan SCA aanleiding zijn voor een nieuwe innovatiegolf in biometrische beveiligingstechnieken en mobiele betaaltechnologie in Europa, omdat ondernemers nieuwe kansen zien voor authenticatiemethoden die veiliger én gebruiksvriendelijker zijn.

Laten we dus optimistisch zijn. Het is niet de eerste keer dat Europa voorop loopt met nieuwe betalingsstandaarden die een betere beveiliging combineren met meer gemak. Kijk maar naar de uitrol van de EMV-standaard ruim tien jaar geleden, die ervoor heeft gezorgd dat chip- en PIN-betalingen nu vrijwel overal in Europa worden geaccepteerd. Hoe dan ook, als Europa voorop loopt in de manier waarop online betalingen worden gedaan, zal de rest van de wereld waarschijnlijk snel volgen.

Uiteindelijk is een beter beveiligde interneteconomie belangrijk voor de groei op de lange termijn. Naarmate het consumentenvertrouwen groeit, zullen ook de online uitgaven stijgen. Hoewel SCA op de korte termijn een flinke uitdaging is voor e-commerce, kan het uiteindelijk wel eens een belangrijke mijlpaal zijn op weg naar groeiende online handel in Europa, naar één digitale markt en naar het verhogen van het GDP van internet.