PSD2 is gearriveerd – wat betekent dit voor retailers?

De Payment Services Directive 2 is sinds januari van kracht in Nederland. Onderdeel van deze regeling is Strong Customer Authentication (SCA), die vanaf 14 september 2019 moet worden toegepast. Is dit de conversiekiller die retailers vrezen?

PSD2 is een Europese richtlijn die voor meer concurrentie en innovatie in de financiële sector moet zorgen en online fraude tegen moet gaan. De Nederlandsche Bank is net een campagne gestart om consumenten uit te leggen dat banken verplicht zijn hun data te delen met andere partijen als zij daarvoor toestemming geven. Dit is het onderdeel van de wet dat is gericht op innovatie.

De fraude wordt tegengegaan met Strong Customer Authentication (SCA). Dit houdt in dat online betalingen vanaf 14 september met een tweetrapsauthenticatie moeten worden beveiligd. Oftewel: er zijn twee van drie factoren nodig uit de categorieën: wat je hebt (bijvoorbeeld een smartphone of slim horloge), wat je weet (bijvoorbeeld de naam van je eerste huisdier of een wachtwoord) en wie je bent (bijvoorbeeld je vingerafdruk of een gezichtsscan). Een betaling die wordt geauthenticeerd met een duimafdruk op je smartphone, kan dus een vorm van SCA zijn.

Banken zijn verantwoordelijk voor de tweetrapsauthenticatie en bepalen welke factoren ze acceptabel vinden. Voor retailers betekent dit dat ze een technologische oplossing nodig hebben die de connectie met de bank kan maken. Deze oplossing wordt 3DSecure 2.0 genoemd.

Drie stappen

Hoe gaat dit in zijn werk? De eerste stap is om te configureren welke transacties met SCA moeten worden geauthenticeerd. Hiervoor pas je een risicoanalyse toe. Per transactie wordt vastgesteld of de data die al bekend zijn over de klant, in lijn zijn met de nieuwe betaling. Een Nederlandse shopper die ineens vanuit het buitenland een heel hoog bedrag wil afrekenen, wordt dan aangemerkt als hoog risico. Op deze betalingen wil je als retailer misschien juist SCA toepassen – dat is iets wat je per betaling kunt configureren.

Stap twee is om de bepalen of je compliant bent. Moet de transactie met SCA vanuit wetgevend oogpunt worden geauthenticeerd? Dit is een complexe vraag. Er zijn namelijk veel uitzonderingen op de regel. Als je hier goed gebruik van maakt, beperk je de impact op de conversie.

Zo vallen transacties onder de 30 euro buiten de regel. Afhankelijk van je fraudeniveau kan die grens zelfs 100, 250 of 500 euro zijn. Verder geldt SCA niet voor retailers of consumenten van buiten Europa of voor betalingen met kaarten die buiten Europa zijn uitgegeven. En ook bestellingen die zijn geplaatst via telefoon, mail en post vallen buiten de scope, evenals merchant-initiated transactions waarbij de shopper niet aanwezig is, zoals abonnementen. Bij de start van het abonnement moet overigens wel SCA worden toegepast. Nog een uitzondering op de regel is whitelisting, waarbij de consument zelf aangeeft een bepaalde retailer te vertrouwen, zodat SCA niet nodig is.

De derde stap is om de betaling aan te bieden aan de bank. Die zal zelf inschatten of er kans is op fraude en of er SCA moet worden toegepast. Het kan zo zijn dat je een merchant-initiated transactie aanbiedt van onder de 30 euro die wordt afgerekend met een niet-Europese kaart. Je kunt echter maar één uitzonderingsfactor toepassen en doorgeven aan de bank. Ervan uitgaande dat de retailer SCA wil vermijden, is het heel belangrijk welke factor je kiest. Per bank wordt namelijk andere logica gehanteerd. Bij de één kan de niet-Europese kaart een rode vlag zijn, bij de ander het feit dat de shopper niet aanwezig is. Je 3DS-tool moet op basis van data de juiste keuze kunnen maken.

Is SCA een conversiekiller?

Waar retailers zich met name zorgen over maken, is het gevolg van SCA voor de conversie. Het is immers een extra stap in het check-out proces. Daar staat tegenover dat het met 3DS 2.0 mogelijk is om een betere klantbeleving te bieden. Als je nu bij een webshop iets koopt, word je voor de betaling doorgeleid naar een aparte webpagina voor de betaling.

Met 3DS 2.0 hoeft dat niet, omdat het een mobile-first oplossing is. De betaling wordt volledig native in de app of op de webpagina afgehandeld, er is geen redirect meer nodig. Dat is positief voor de conversie. Daar komt bij dat de oplossing futureproof is. In 2020 is de verwachting dat betalingen vooral worden geauthenticeerd met behulp van je smartphone en je duimafdruk. Maar als er nieuwe manieren bijkomen, dan zijn die net zo gemakkelijk te integreren.

Ook een voordeel is dat je als retailer veel meer data over de transactie kunt delen met de bank. Het gaat om meer dan honderd datapunten, zoals hoe lang iemand al klant bij je is en welk device wordt gebruikt. Voor de bank wordt het daardoor gemakkelijker om in te schatten of SCA nodig is. Bovendien is de kans dat de betaling slaagt groter, omdat de bank het risico beter kan analyseren met behulp van de verstrekte informatie. En dat is allemaal positief voor de conversie.

Dus ja, er is in sommige gevallen een extra stap nodig in het check-out proces om PSD2-compliant te zijn. Maar als retailers nu al zorgen dat ze via hun betalingsbeheerder 3DS 2.0 aan kunnen bieden, is het mogelijk om een eventueel negatief effect op de conversie te balanceren, en zelfs een beter authenticatieproces en klantervaring te creëren.