Opt-out nodig voor zakelijke betalingen in PSD3

Wereldwijd gaat er jaarlijks meer dan 120 biljoen dollar om in B2B-betalingen, zes keer zoveel als in consumententransacties. De omvang van deze B2B-markt maakt het van dringend belang dat de Europese Unie de regelgeving rond authenticatie van zakelijke betalingen vereenvoudigt, vindt Julia Kowalski, public policy expert bij de internationale betalingsdienstverlener Stripe:

De afgelopen tien jaar heeft de Europese Unie de veiligheid voor consumenten bij online betalingen aanzienlijk verbeterd door het instellen van de Tweede Richtlijn Betalingsdiensten (PSD2). Deze belangrijke wetgeving heeft fraude teruggedrongen en consumenten in staat gesteld om met meer vertrouwen online transacties te doen.

Maar de richtlijn heeft ook een aantal ‘blinde vlekken’ waarvan bedrijven met wie we werken
zeggen dat ze hun bedrijfsvoering bemoeilijken. Een daarvan is de manier waarop PSD2 onvoldoende onderscheid maakt tussen business-to-consumer (B2C)-transacties, waarvoor strengere beveiligingsmaatregelen van kracht zijn, en business-to-business (B2B)-transacties, waarvoor dat niet het geval is. Het gevolg is dat Europese bedrijven worden afgeremd door onnodige beveiligingsprotocollen zoals de twee-factorauthenticatie SCA die onderdeel is van het PSD2-protocol. Zo moeten zakelijke gebruikers van Stripe Dashboard al na vijf minuten van inactiviteit opnieuw authentiseren terwijl dat voor de veiligheid van het systeem helemaal niet nodig is.

Maar gelukkig heeft de EU nu de kans om dit te herstellen. Het Europees Parlement en de EU-lidstaten leggen op dit moment namelijk de laatste hand aan een vervolgwet, de Payment Services Directive 3 and Regulation, of PSD3/PSR.

Opt-out nodig voor bedrijven
We raden het Parlement en de lidstaten aan om deze gelegenheid aan te grijpen om een onderscheid te maken tussen B2C- en B2B-transacties – door belangrijke verificatieprotocollen te handhaven op consumenteninstellingen waar dat zinvol is en bedrijven de mogelijkheid te bieden voor een opt-out bij B2B-transacties waar dat niet zinvol is.
Daarom vinden we het van groot belang dat de Europese regelgevers PSD3 gebruiken om de SCA-vereisten te specificeren op een manier die rekening houdt met de omvang van het betreffende bedrijf. Grote organisaties moeten de flexibiliteit hebben om hun eigen risicoschattingen te maken om te bepalen of ze al dan niet onderdelen van SCA aan of uit willen zetten.

Bovendien zouden de authenticatievereisten in het kader van PSD3 moeten worden herzien om het niveau van authenticatie in overeenstemming te brengen met het risico van de betreffende activiteiten. Bedrijven moeten verschillende niveaus van authenticatie kunnen gebruiken, waarbij een betalingsgevoelige handeling een strengere authenticatie kan vereisen dan alleen maar een tijdje rondhangen in een betaalinterface.

We vinden het bemoedigend dat het Europees Parlement bij het ontwikkelen van de technische reguleringsnormen voor SCA naast de definitieve PSD3-regels een mandaat voorstelt voor de Europese Bankautoriteit (EBA) om rekening te kunnen houden met het type betaler, consument of bedrijf.
De EU-lidstaten, fintech-land Nederland voorop, zouden het Europees Parlement hierin moeten navolgen en PSD3 aangrijpen als een kans om de 27 miljoen bedrijven in Europa efficiënter te laten werken als het gaat om het authenticatieproces.