Black Friday en Cyber Monday trapten het hoogseizoen van het online shoppen en de kerstinkopen op gang. De koopjesdagen kennen hun oorsprong in de Verenigde Staten, maar werden een paar jaar geleden ook populair in ons land. Volgens schattingen geven consumenten wereldwijd ongeveer 690 miljard euro uit aan online aankopen tijdens de eindejaarsperiode. Dat is ook hackers niet ontgaan.
Hoewel gebruikers eigenlijk het hele jaar door op hun hoede moeten zijn, helpt het als overheden en regulators een handje toesteken om online veiligheid te bevorderen. PSD2 is een voorbeeld van zo’n initiatief. Maar wat betekent het voor consumenten en handelaars? Hoe kan deze richtlijn helpen om online fraude tegen te gaan, niet enkel tijdens het koopjesseizoen, maar het hele jaar door?
PSD2, voluit The Second Payment Service Directive, is een richtlijn uitgevaardigd door de Europese Unie met als doel de veiligheid van betalingen via het internet in Europa te reguleren en te harmoniseren. Tegelijkertijd stelt de richtlijn de betalingsmarkt open en biedt het nieuwe bedrijven de mogelijkheid die te betreden. PSD2 bouwt voort op eerdere wetgeving: het verbetert de veiligheid door middel van sterke authenticatie (strong customer authentication of sca). Bovendien maakt PSD2 het mogelijk voor derde partijen om toegang te krijgen tot de rekeninginformatie van bankklanten.
PSD2 bepaalt dat alle online kaartbetalingen beschermd moeten worden met sterke authenticatie. Dit geldt niet alleen voor internetbankieren, maar ook voor kaartbetalingen bij e-commerce. Om aan de sca-vereisten van PSD2 te voldoen, moet de authenticatie gebaseerd zijn op twee of meer van de volgende factoren: iets dat je weet (zoals een wachtwoord of pincode), iets dat je hebt (zoals een app of een mobiel apparaat) en iets dat je bent (zoals een fingerprint of een ander biometrisch kenmerk).
Naast authenticatie schrijft PSD2 ook het gebruik van transactiecontrole voor om frauduleuze betalingen te ontmoedigen en bedreigingen zoals fraude via account takeover of mobiele toestellen te voorkomen. Gegevens van het mobiele toestel, de applicatie en de transactie worden in realtime geanalyseerd om zowel bekende als nieuwe vormen van fraude op te sporen. Dat gebeurt enerzijds met machine learning, en anderzijds met meer traditionele systemen gebaseerd op regels, en met de combinatie van de twee. Deze analyse genereert een risicoscore van de transactie, die daarop een intelligente workflow aanstuurt en onmiddellijk actie neemt op basis van vooraf gedefinieerde beveiligingsregels.
Extra beveiligingslaag
Omdat webwinkeliers onder de regelgeving van online betaaltransacties vallen, moeten ook zij voldoen aan de PSD2-regelgeving. Er bestaan daarvoor verschillende technologieën, maar de eenvoudigste manier is door het implementeren van 3-D Secure. Dit beveiligingsprotocol koppelt het financiële autorisatieproces aan de online authenticatie. Voor de online gebruiker resulteert dit in een gemakkelijke, snelle en veilige shopervaring. Als een klant online een cadeautje koopt, klikt hij of zij op de betaalknop. Een pop-upscherm vraagt hem of haar om de betaling met een bankkaart te verifiëren en te bevestigen. De klant voert dan een persoonlijk wachtwoord of een beveiligingscode in die wordt geverifieerd door de uitgever van de bankkaart, meestal een bank.
De implementatie van 3-D Secure brengt ook voor de online handelaren gemoedsrust, want het vermindert het aantal frauduleuze online activiteiten, zoals identiteitsdiefstal of het gebruik van de bankkaart door fraudeurs. Via 3-D Secure kan de handelaar controleren of een koper wel degelijk de legitieme kaarthouder is. Daardoor verschuift de aansprakelijkheid van de handelaar naar de uitgever van de kaart.
De feestdagen en koopjesperiodes zijn hoogdagen voor criminelen. Klanten moeten eigenlijk het hele jaar door alert zijn, en handelaars moeten ervoor zorgen dat ze altijd minstens één stap voor blijven. Met gezond verstand, regelgeving en een goede technologie die fraude detecteert en verhindert, worden online shops een veiligere plek.
