Dit moet u weten over de nieuwe veiligheidsregels voor online creditcardbetalingen

Bij veel betalingen is een dubbele beveiliging al een tijd lang de standaard. Denk betalen met een pinpas of creditcard aan de kassa, waarbij je voor bedragen boven € 50,- naast een persoonlijke betaalkaart ook altijd een pincode gebruikt. Bij online gebruik van creditcards was dit nog niet het geval. Door een wijziging in de Europese richtlijn voor betaaldiensten (Payment Services Directive 2, oftewel PSD2) is het sinds 2021 niet meer voldoende als uw klant de online betaling accordeert door het invullen van het kaartnummer, de vervaldatum en het korte controlenummer achterop de kaart.

Vrijwel alle online creditcardbetalingen moeten sinds dit jaar voldoen aan de regels voor SCA. Dat staat voor ‘strong customer authentication’ of sterke klantverificatie. De meeste betalingen moeten nu veilig goedgekeurd worden met een combinatie van iets dat de kaarthouder bezit of weet. Denk aan een smartphone, geheime pincode of biometrische vingerafdruk. 

Wat betekent dat voor u?

Online creditcardbetalingen zonder dubbele beveiliging worden sinds dit jaar vrijwel altijd afgekeurd, tenzij de betaling in aanmerking komt voor een vrijstelling. Het is belangrijk dat u zorgt dat uw website of betaaldienstverlener kaartbetalingen met SCA ondersteunt. Zo weet u zeker dat de transactie goed verloopt. 

Voor de meeste creditcards, waaronder American Express, Mastercard en Visa, moet uw bedrijf de EMV 3-D Secure standaard (3DS) voor kaartbetalingen ondersteunen om aan de regels van SCA te voldoen. Met 3DS versie 1.0 voldoet u al aan de regels. De nieuwste versie (v2.2) geeft uw klant de best mogelijke ervaring. Alle Nederlandse kaartuitgevers ondersteunen in ieder geval v1.0 t/m v2.1 en in sommige gevallen ook al v2.2. 

Niet alleen creditcardverstrekkers, maar ook uw bedrijf moet de standaard EMV 3DS ondersteunen, zodat uw klant zich betrouwbaar bij online kaartbetalingen kan authenticeren en dus kan aantonen dat hij of zij de rechtmatige kaarthouder is. Uw betaaldienstverlener of acquirer (bank of betaalinstelling) kan u helpen bij het doorvoeren van de dubbele beveiliging.

Vrijstelling

Er zijn een aantal situaties waarin er vrijstelling is voor de dubbele verificatie. De klant hoeft dan minder handelingen te verrichten bij de betaling. In de volgende situaties is dubbele verificatie niet mogelijk of niet nodig:  

• Wanneer u merchant initiated transactions (MIT) gebruikt. U start dan de transactie zonder tussenkomst van de kaarthouder. De kaarthouder moet daar wel eenmalig vooraf goedkeuring voor geven (met sterke klantverificatie), als een soort machtiging aan uw bedrijf. 
• Schriftelijke of telefonische bestellingen mogen ook zonder tweestapsverificatie worden gedaan. Dit zijn de zogenoemde MOTO-betalingen (Mail Order & Telephone Order). Deze betaling wordt niet elektronisch opgestart, maar er worden kaartgegevens handmatig ingevoerd die uw klant via de mail, SMS of de telefoon doorgeeft. Dit soort betalingen moeten wel worden gemarkeerd als MOTO, zodat de kaartuitgever de betaling zonder SCA kan autoriseren. Hoe u een MOTO-betaling moet aanbieden, kan uw betaaldienstverlener uitleggen. 
• Bij een bedrag lager dan € 30,- (low value payment, oftewel LVP) kan de kaartuitgever vrijstelling geven. Of als uw betaaldienstverlener of de kaartuitgever het transactierisico laag inschat (transaction risk analysis of TRA). Dit kan tot bedragen van € 500,-. Ook is vrijstelling mogelijk voor zakelijke creditcards in combinatie met veilige procedures ter voorkoming van misbruik van de zakelijke creditcard of bij vertrouwde begunstigden (trusted beneficiaries). In dat laatste geval dient de kaarthouder de begunstigde als vertrouwd aan te merken bij de kaartuitgever. 

Neem voor vragen of advies contact op met uw betaaldienstverlener of acquirer.

Bekijk de uitleg van Betaalvereniging Nederland in het volgende filmpje:

Marnix Blom - Strong Customer Authentication from Betaalvereniging Nederland on Vimeo.