De afgelopen tien jaar heeft de Europese Unie de veiligheid voor consumenten bij online betalingen aanzienlijk verbeterd door het instellen van de Tweede Richtlijn Betalingsdiensten (PSD2). Deze belangrijke wetgeving heeft fraude teruggedrongen en consumenten in staat gesteld om met meer vertrouwen online transacties te doen.
Blinde vlekken
Maar de richtlijn heeft ook een aantal blinde vlekken waarvan bedrijven met wie we werken zeggen dat ze hun bedrijfsvoering bemoeilijken. Een daarvan is de manier waarop PSD2 onvoldoende onderscheid maakt tussen business-to-consumer (B2C)-transacties, waarvoor strengere beveiligingsmaatregelen van kracht zijn, en business-to-business (B2B)-transacties, waarvoor dat niet het geval is. Het gevolg is dat Europese bedrijven worden afgeremd door onnodige beveiligingsprotocollen. Ons European Tech Voices-rapport heeft aangetoond dat er nog steeds veel fricties zijn als het gaat om groei en schaalvergroting van de meer dan een miljoen innovatieve Europese bedrijven die wij ondersteunen.
Hoe groot is dit probleem nu eigenlijk?
Als mensen aan betaaltransacties denken, dan denken ze meestal aan consumententransacties, zoals betalen voor een etentje of het kopen van een bankstel – de gebieden waar PSD2 echt voor heeft geholpen. Maar verreweg de meeste betalingen vinden plaats tussen bedrijven. Wereldwijd gaat er jaarlijks meer dan 120 biljoen dollar om in B2B-betalingen, zes keer zoveel als in consumententransacties. De omvang van deze B2B-markt maakt het van dringend belang dat de Europese Unie de regelgeving rond authenticatie van zakelijke betalingen vereenvoudigt.
Opt-out voor bedrijven
Gelukkig heeft de EU nu de kans om dit te doen. Het Europees Parlement en de EU-lidstaten leggen op dit moment de laatste hand aan een vervolgwet, de Payment Services Directive 3 and Regulation, of PSD3/PSR. We raden het Parlement en de lidstaten aan om deze gelegenheid aan te grijpen om een onderscheid te maken tussen B2C- en B2B-transacties – door belangrijke verificatieprotocollen te handhaven op consumenteninstellingen waar dat zinvol is en bedrijven de mogelijkheid te bieden voor een opt-out bij B2B-transacties waar dat niet zinvol is.
Slecht op elkaar afgestemde beveiligingsprotocollen
Een van de meest ingrijpende elementen van PSD2 was de introductie van betere klantbeveiliging voor online transacties via Strong Customer Authentication (SCA). Consumenten ervaren dit als een tweestaps betaalauthenticatie, waarbij ze bijvoorbeeld gevraagd wordt zowel een pincode als een sms-code in te voeren om een online aankoop te voltooien. PSD2 en SCA hebben bijgedragen aan het creëren van een gemeenschappelijke Europese markt voor betalingen en hebben geholpen om een hausse in fintech-startups teweeg te brengen. Maar de SCA-bepalingen zijn zo breed opgesteld dat ze ook van toepassing zijn op bedrijven, en dat heeft voor een aantal problemen gezorgd. Vandaag de dag moeten Europese bedrijven bij het online beheren van betalingen exact dezelfde beveiligingsprotocollen volgen als hun werknemers bij het online thuisbankieren.
Dit is zowel meer beveiliging dan bedrijven nodig hebben – als niet genoeg. We hebben van veel bedrijven die gebruik maken van Stripe gehoord dat SCA inefficiëntie in de hand werkt door de toepassing van te ingewikkelde controles. Tegelijkertijd zijn bedrijven die alleen op SCA vertrouwen mogelijk minder beschermd dan wanneer ze bestaande, vertrouwde standaarden voor bedrijfsauthenticatie zouden kunnen volgen.
Bedrijven hebben verschillende beveiligingsbehoeften
De beveiligingsprotocollen die door grote bedrijven worden gevolgd, zijn al vele malen strenger dan die voor consumentenbetalingen. Al voordat PSD2 werd aangenomen, vertrouwden bedrijven in Europa op een verscheidenheid aan maatregelen voor bedrijfsidentiteitsbeheer en -beveiliging, waaronder gecentraliseerde eenmalige aanmeldcontroles, hardwaretokens of laptopcertificaten. En de effectiviteit van bedrijfsbeveiligingscontroles wordt regelmatig getest door middel van geplande audits.
SCA boven op deze maatregelen is als een hardloper vragen om extra rondjes te rennen nadat hij al een marathon heeft afgelegd. Daarom vinden we het van groot belang dat de Europese regelgevers PSD3 gebruiken om de SCA-vereisten te specificeren op een manier die rekening houdt met de omvang van het betreffende bedrijf. Grote organisaties moeten de flexibiliteit hebben om hun eigen risicoschattingen te maken om te bepalen of ze al dan niet onderdelen van SCA aan of uit willen zetten.
Bovendien zouden de authenticatie vereisten in het kader van PSD3 moeten worden herzien om het niveau van authenticatie in overeenstemming te brengen met het risico van de betreffende activiteiten. Bedrijven moeten verschillende niveaus van authenticatie kunnen gebruiken, waarbij een betalingsgevoelige handeling een strengere authenticatie kan vereisen dan alleen maar een tijdje rondhangen in een betaalinterface.
Een goed voorbeeld van waarom dit belangrijk is, is het opnieuw authenticeren in een betalingsdashboard na een periode van inactiviteit. Dit is iets waar bedrijven die met Stripe werken veel vanaf weten, omdat ze een groot deel van de dag in het Stripe Dashboard doorbrengen, bijvoorbeeld voor het versturen van facturen, het afhandelen van belastingverplichtingen, het beheren van factureringsrelaties, het terugdringen van onbedoelde churn en het bijhouden van statistische bedrijfsgegevens.
SCA-vereisten onder PSD2 dwingen bedrijven om na vijf minuten inactiviteit opnieuw in te loggen in het Stripe Dashboard. Dit soort regels is zinvol om consumenten te beschermen, maar sluit niet aan bij de manier waarop bedrijven werken.
Het is bijvoorbeeld niet ongebruikelijk voor bedrijven om op een dag met hoge transactievolumes elke 15-30 minuten hun betalingen te controleren. Of in een ander scenario kan een bedrijfsleider een live presentatie of demo geven aan investeerders of klanten waarbij de actieve tijd in een dashboard wordt afgewisseld met inactiviteit vanwege het voeren van live discussies.
In beide situaties vereist SCA dat de Dashboard gebruiker meerdere keren moet inloggen zonder dat daar een duidelijk veiligheidsvoordeel tegenover staat. Beide activiteiten vinden echter plaats in goed beveiligde omgevingen die ook veilig blijven als de activiteit tijdelijk wordt onderbroken. Het frauderisico is kleiner dan in vergelijkbare consumentenscenario’s en de nieuwe SCA eisen onder PSD3 zouden hier dan ook rekening mee moeten houden.
Een unieke kans om de regelgeving te verbeteren
De missie van Stripe is ‘het BBP van het internet te laten groeien’. Om dat op een effectieve manier te doen, moet de financiële infrastructuur worden ontwikkeld in samenhang met een goed doordacht regelgevend kader voor online betalingen. Daarom hebben we goede hoop dat de Europese Commissie, het Europees Parlement en de EU-lidstaten bij de herziening van de Richtlijn Betalingsdiensten rekening zullen houden met de aanzienlijke verschillen tussen B2B- en B2C-transacties.
We vinden het bemoedigend dat het Europees Parlement bij het ontwikkelen van de technische reguleringsnormen voor SCA naast de definitieve PSD3-regels een mandaat voorstelt voor de Europese Bankautoriteit (EBA) om rekening te houden met het type betaler, consument of bedrijf.
De EU-lidstaten, fintech-land Nederland voorop, zouden het Europees Parlement moeten navolgen en PSD3 aangrijpen als een kans om de 27 miljoen bedrijven in Europa efficiënter te laten werken als het gaat om het authenticatieproces.
Dit is een ingezonden bijdrage van Stripe. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.