Direct naar inhoud

Tweefactorauthenticatie (2FA)

Tweefactorauthenticatie (2FA) voegt een extra beveiligingslaag toe bij digitale transacties. Het gebruik ervan is in de EU wettelijk verplicht bij digitale betalingen boven €50. Het speelt ook een belangrijke rol in eIDAS, voor de toekomstige Europese Digitale Identiteitsportemonnee (EUDI Wallet).

Wat is tweefactorauthenticatie?

2FA heet ook wel ’tweestapsbeveiliging’ en gebruikt twee verschillende en persoonsgebonden factoren om digitaal veilig iets goed te keuren. Het wordt gebruikt bij onder meer inloggen en digitaal goedkeuren van transacties, zoals betalingen. In de EU is het gebruik van 2FA wettelijk verplicht bij veel digitale betalingen, op grond van de Revised Payment Services Directive (PSD2). 2FA beschermt digitale betalingen tegen fraude.

Tweestapsbeveiliging is een vorm van Strong Customer Authentication (SCA of sterke klantauthenticatie). Een gebruiker moet daarbij twee van drie verschillende soorten factoren digitaal verstrekken om ergens in te loggen of om digitaal iets goed te keuren, zoals een betaling:

  1. Iets wat alleen deze gebruiker kenmerkt – een vingerafdruk of gezichtsherkenning;
  2. Iets wat alleen deze gebruiker weet – zoals een geheime cijfer- of lettercode;
  3. Iets wat alleen deze gebruiker bezit – zoals een bankpas, smartphone of smartwatch;

Waarom is 2FA belangrijk?

2FA biedt een extra laag bescherming tegen sommige soorten fraude. Voor banken, betaaldiensten en overheden is deze sterke klantauthenticatie essentieel om klanten veilig en betrouwbaar digitaal te herkennen.

Niet alleen bij PSD2 maar ook bij de eIDAS-verordening voor digitale identificatiediensten, is 2FA een wettelijke verplichting, bijvoorbeeld voor de toekomstige EUDI Wallet (EU Digital Identity). Sterke klantauthenticatie met 2FA is dan vereist bij het verstrekken van persoonsgegevens of van een digitale handtekening met een EUDI Wallet.

2FA in de praktijk

Herkenbare voorbeelden van tweestapsbeveiliging zijn:

  • €100 betalen met een betaalpas (persoonlijk bezit) en een geheime pincode (persoonlijke cijfercode);
  • Inloggen in een mobiele bankapp, met vingerafdruk of gezichtsherkenning (persoonlijk kenmerk) op een unieke persoonlijke smartphone (persoonlijk bezit);
  • Inloggen bij de Belastingdienst, met vijf geheime cijfers (persoonlijke cijfercode) in de DigiD-app op een persoonlijke smartphone (persoonlijk bezit);

Uitzonderingen (exemptions)

SCA (met 2FA) is niet altijd verplicht bij betalingen. PSD2 noemt enkele uitzonderingen:

  • Bij een laag bedrag: betalingen voor een bedrag tot €50 zijn meestal vrijgesteld van SCA, voor een beperkt aantal herhalingen.
  • Voor terugkerende betalingen: alleen bij de eerste betaling is SCA verplicht.
  • Voor betalingen aan een bekende: de gebruiker kan soms bepaalde begunstigden aanwijzen die hij of zij vertrouwt en waarvoor geen SCA nodig is.
  • Bij een laag risico: een betaaldienstverlener mag SCA uitschakelen wanneer die het risico laag inschat; als het toch misgaat draait die ook voor de schade op.

De betaaldienstverlener bepaalt of die SCA wel of niet toepast. Die dienstverlener blijft verantwoordelijk voor naleving van PSD2, niet de betaler of ontvanger.

De rol van Betaalvereniging Nederland

  • We volgen de ontwikkelingen rond PSD2, PSD3, PSR, eIDAS 2.0 en de EUDI Wallet en brengen de belangen van de Nederlandse betaalsector onder de aandacht in Brussel;
  • We reageren namens onze leden op wetgevingsconsultaties en ondersteunen onze leden om te voldoen aan wet- en regelgeving voor identificatie- en authenticatie.