Tweestapsverificatie bij digitale transacties
Betaaldienstverleners, zoals banken, passen tweestapsverificatie toe bij digitale transacties, bijvoorbeeld bij een pinbetaling of een online girale overboeking. In vaktermen heet dit ‘sterke klantauthenticatie’ (Strong Customer Authentication of SCA). Het biedt een dubbele beveiliging bij digitale transacties.
Wat is SCA of tweestapsverificatie?
Betaaldienstverleners in de EU zijn op grond van de Revised Payment Services Directive (PSD2) verplicht om Strong Customer Authentication of SCA toe te passen bij de meeste betalingen, in de vorm van tweestapsverificatie.
Met SCA controleert een bank of betaalinstelling dat de rechtmatige rekening- of kaarthouder degene is die een digitale transactie uitvoert. Dit gebeurt met tweestapsverificatie, ook wel ’tweefactor-authenticatie’ genoemd (2FA). Met een combinatie van twee van in totaal drie verschillende persoonsgebonden factoren stelt de betaaldienstverlener vast dat de rechtmatige opdrachtgever een transactie goedkeurt:
- Iets wat alleen de gebruiker kenmerkt, zoals een vingerafdruk of gezichtsherkenning
(een ‘biometrisch’ kenmerk van de gebruiker); - Iets wat alleen de gebruiker weet, zoals een geheime pincode;
- Iets wat alleen de gebruiker bezit, zoals een bankpas, smartphone of smartwatch.

Wanneer wordt SCA uitgevoerd?
Betaaldienstverleners zijn verplicht om SCA uit te voeren op verschillende momenten:
- Wanneer een gebruiker online toegang wil tot een betaalrekening;
- Wanneer een gebruiker elektronisch betaalt;
- Wanneer een gebruiker een risicovolle online handeling uitvoert.
SCA in de praktijk
Herkenbare voorbeelden van SCA zijn:
- Inloggen in een mobiele bankapp, met vingerafdruk of gezichtsherkenning (persoonlijk kenmerk) op een unieke persoonlijke smartphone (persoonlijk bezit);
- €100 betalen aan de winkelkassa met een unieke betaalpas (persoonlijk bezit) en een geheime pincode (persoonlijke kennis);
- Het verhogen van een betaallimiet via internetbankieren, met een geheime cijfercode (persoonlijke kennis) op een uniek inlogapparaatje (persoonlijk bezit).
Bij het uitvoeren van een kaarttransactie met een wearable, zoals een smartwatch, berust SCA op het invoeren van een geheime cijfercode, een vingerafdruk of gezichtsherkenning bij het omdoen van de smartwatch. Zodra de gebruiker de smartwatch afdoet, kan die daarmee niet meer betalen, totdat die de smartwatch weer omdoet en opnieuw ontgrendelt met SCA.
Uitzonderingen (vrijstellingen)
In de praktijk hoeft een gebruiker niet bij elke betaaltransactie SCA uit te voeren. Bijvoorbeeld bij een contactloze kaartbetaling is een pincode vaak niet nodig. Dit komt doordat er uitzonderingen bestaan voor het uitvoeren van SCA, waaronder:
- Bij een laag bedrag: betalingen voor een bedrag tot €50 zijn meestal vrijgesteld van SCA, voor een beperkt aantal ononderbroken herhalingen.
- Voor terugkerende betalingen aan dezelfde ontvanger: alleen bij de eerste betaling is SCA verplicht.
- Voor betalingen aan een bekende: de gebruiker kan soms bepaalde begunstigden aanwijzen (mét SCA) die hij of zij vertrouwt en waarvoor daarna geen SCA nodig is.
- Bij een laag risico: een betaaldienstverlener mag SCA uitschakelen wanneer die het risico laag inschat; als het toch misgaat draait die ook op voor de schade.
De betaaldienstverlener van de betaler bepaalt of die SCA wel of niet toepast. Die dienstverlener blijft verantwoordelijk voor naleving van PSD2, niet de betaler of ontvanger. Bij transacties zonder SCA is de betaaldienstverlener in beginsel aansprakelijk voor eventuele schade na misbruik door een fraudeur, niet de rechtmatige rekening- of kaarthouder.
SCA en de EUDI Wallet
De tweede Europese eIDAS-verordening introduceert in de toekomst de EUDI Wallet (EU Digital Identity) waarmee ook veilige en betrouwbare tweefactor-authenticatie mogelijk is. De EUDI wallet zal daarom een rol gaan spelen bij sterke klantauthenticatie.
SCA en PSR/PSD3
Binnenkort wordt PSD2 opgevolgd door twee nieuwe EU-wetten, de PSR (Payment Services Regulation) en PSD3. We verwachten dat de regels voor sterke klantauthenticatie grotendeels hetzelfde blijven onder PSR/PSD3. In de nieuwe wetgeving staat wel een nieuwe richtlijn dat het uitvoeren van SCA niet mag afhangen van het hebben van een smartphone. Banken en betaalinstellingen moeten ook andere mogelijkheden aanbieden. Denk daarbij aan een speciaal inlogapparaatje of een USB-insteeksleutel om online transacties goed te keuren op een laptop of desktop.
De rol van Betaalvereniging Nederland
- We volgen alle Europese en binnenlandse ontwikkelingen rond PSD2, PSD3, PSR, eIDAS 2.0 en de EUDI Wallet en brengen de belangen van de Nederlandse betaalsector onder de aandacht in Brussel;
- We reageren namens onze leden op wetgevingsconsultaties en ondersteunen onze leden om te voldoen aan wet- en regelgeving voor betrouwbare identificatie en authenticatie.