Blogbericht - Andrew Waugh, Jul 25 2019

Nieuwe veiligheidsmaatregelen zullen meer frictie geven in het online aankoopproces

Nieuwe veiligheidsmaatregelen zullen meer frictie geven in het online aankoopproces

Per 14 september 2019 zullen online retailers volgens nieuwe EU-richtlijnen extra authenticatiestappen moeten toevoegen voor het merendeel van de online transacties. Deze stap is onderdeel van de steeds voortdurende strijd tegen digitale fraude en om het voor criminelen moeilijker te maken om de bankgegevens van onschuldige digitale consumenten te achterhalen.

Het tegenstrijdige van deze ontwikkeling is dat we leven in een tijdperk waarin we in het digitale aankoopproces juist zo veel mogelijk frictiepunten willen verwijderen. Nieuwe authenticatiestappen zullen in dit proces juist vertragingen opleveren en de consument daarmee met een hoop frustratie opzadelen.

StrENGE KLANT AUTHENTICATIE - WAAR IS HET VOOR NODIG?

Deze nieuwe maatregelen zijn onderdeel van de second Payment Services Directive (PSD2), die vanaf 14 september voor alle EU-lidstaten van kracht wordt.De nieuwe vereisten van deze wet voor extra veiligheid voor online transacties, staan bekend als ‘Strong Customer Authentication (SCA) en zijn van toepassing op alle wat wordt gedefinieerd als ‘klant-geïnitieerde’ online betalingen en bankoverschrijvingen. Dit houdt in dat de nieuwe regels van toepassing zijn op het merendeel van de gevallen waarin een online consument een eenmalige betaling doet via een check-out pagina met geregistreerde accountgegevens. De nieuwe wetgeving is niet van toepassing op zogenaamde ‘door de verkoper geïnitieerde’ herhaaltransacties zoals automatische incasso’s.

De Strong Customer Authentication is gebaseerd op het principe van multi-factor authenticatie. Dit houdt in dat er bij een transactie meer dan één verificatiemethode moet worden gebruikt. Banken kunnen met deze nieuwe wetgeving transacties weigeren wanneer twee van onderstaande authenticatiemethoden niet in orde zijn:

  • Een wachtwoord of pincode
  • Een authenticatie via een derde partij zoals een mobiel bankieren app, SMS of hardware token
  • Gezichtsherkenning of vingerafdruk

De strenge eisen achter de SCA zijn ongetwijfeld ergens op gebaseerd. Naarmate er wereldwijd steeds meer online transacties plaatsvinden, wordt het probleem met digitale fraude en diefstal steeds groter. Een van de makkelijkste manieren voor cybercriminelen om onschuldige consumenten en bedrijven op te lichten, is het stelen van persoonlijke gegevens. Denk aan bankpas- of creditcardnummers of bankrekeninggegevens. Deze worden gestolen om vervolgens met vervalste gegevens veel online transacties te doen.

Omdat cybercriminelen steeds verder gaan met hacken en het plegen van identiteitsfraude, is alleen het gebruiken van een CV2-beveiligingscode op de achterkant van een credit card niet langer meer voldoende voor een veilige online transactie. Multi-factor authenticatie, wat betalings- en accountgegevens koppelt aan een realtime verificatiesysteem, wordt met deze wetgeving gezien als de nieuwe standaard. Een biometrische herkenning of een code via sms zijn twee voorbeelden van multi-factor authenticatie om het frauduleuze gebruik van persoonlijke betalingsgegevens te bestrijden. De SCA streeft ernaar dit verplicht te stellen voor alle online transacties.

WELKE IMPACT HEEFT DE NIEUWE SCA-WETGEVING OP ONLINE RETAILERS

Zoals eerder benoemd kunnen de extra veiligheidsmaatregelen grote invloed hebben op het online aankoopproces. Online retailers zullen uiteraard technische uitdagingen moeten overwinnen om geschikte authenticatieprocessen op te zetten. De grootste uitdaging ligt er echter om deze processen voor de consument zo simpel en duidelijk mogelijk te maken.

Zoals beschreven in het ‘Klant van de Toekomst’ rapport, hechten online shoppers steeds meer waarde aan gemak. Met andere woorden, ze willen steeds minder stappen ondernemen om snel en gemakkelijk hun producten online te bestellen. De populariteit van online abonnementsdiensten, ‘zero UI’ shops via slimme spraakassistenten, social commerce en programmatic commerce rijst de pan uit en bevestigen stuk voor stuk de trends in digital commerce. De bedoelingen achter de nieuwe SCA-wetgeving zijn misschien goed, maar het zal zonder twijfel extra moeite voor de consument gaan kosten.

Het is niet moeilijk om de potentiële pijnpunten van multi-factor authenticaties in kaart te brengen. Klanten die bijvoorbeeld al een wachtwoord of pincode moeten instellen om in te loggen op een account, mensen die hun pincode zijn vergeten of misschien het verkeerde wachtwoord of pincode gebruiken. Een andere mogelijkheid is dat de consument de hardware token van de bank is kwijtgeraakt, of geen bereik heeft om een sms-bericht te ontvangen. Tot slot is de meerderheid van de online consumenten momenteel nog niet in het bezit van een smartphone met gezichts- of vingerafdrukherkenning.

Op korte termijn kunnen we dus verwachten dat de nieuwe SCA-wetgeving zal leiden tot een toename van het aantal verlaten winkelwagentjes en een afname van het aantal conversies. Online retailers zullen niet gek moeten opkijken wanneer het aantal verlaten winkelwagentjes stijgt naar 75%.

Helaas kunnen we er niet omheen dat de nieuwe wetgeving van kracht zal gaan en is het iets waar online shoppers en online retailers mee moeten leren omgaan. Het zal geen verrassing zijn dat deze ontwikkeling op korte termijn een negatieve impact op de verkoopresultaten zullen hebben. Aan de andere kant zullen er snel nieuwe oplossingen worden ontwikkeld om de multi-factor authenticaties minder storend te maken voor de customer journey en zullen online consumenten het op termijn accepteren als een standaard onderdeel van het aankoopproces. Uiteindelijk is het veiliger maken en houden van het digitale winkellandschap in ieders belang, en iets wat het vertrouwen tussen retailer en consument zal doen vergroten.

hOE KUNNEN ONLINE RETAILERS ZICH HIER OP VOORBEREIDEN?

Het meest voor de hand liggende antwoord op deze vraag is dat online retailers ervoor moeten zorgen dat alle betalingssystemen compatibel zijn met de nieuwe SCA-wetgeving en over de juiste authenticatietooling beschikken. Dit betekent niet noodzakelijkerwijs dat er geheel nieuwe systemen moeten worden geïmplementeerd. Het bestaande 3D-Secure-protocol dat wordt gebruikt door Visa, Mastercard en American Express, krijgt met het 3DS 2.0 protocol een upgrade geschikt voor SCA. Als je al gebruik maakt van dit systeem, dan is deze mogelijk al juist ingesteld, maar het is altijd aan te raden om dit te verifiëren bij je payment service provider.

Wanneer het gaat om het betrekken van klanten bij deze veranderingen, zijn de beste strategieën educatie en keuzes bieden. De meeste online consumenten zijn zich niet bewust van de gewijzigde wetgeving en kunnen bij een eerste bezoek aan je website verrast zijn wanneer een pop-up hen vraagt om hun identiteit te verifiëren bij het uitchecken. Er bestaat zelfs het risico dat online consumenten het zien als een poging tot phishing en daarom de winkelwagen direct verlaten. Zorg daarom voor dat je voldoende informatie op je website hebt staan, zoals:

  • Een gedetailleerde landingspagina metmeer informatie over de nieuwe wetgeving. waar je klanten naartoe kunt verwijzen vanuit het winkelwagentje voordat het authenticatieproces begint
  • Pop-ups waarin wordt uitgelegd wat er gebeurt wanneer het authenticatieproces begint
  • Een FAQ-pagina
  • Een blog post waarin de wijzigingen worden aangekondigd

Het is belangrijk om de voordelen voor de klant uit te leggen: het zijn veiligheidsmaatregelen die het voor cybercriminelen moeilijker maken om hun identiteit te stelen en met vervalste gegevens online transacties te doen.

Tot slot zullen consumenten zich waarschijnlijk minder bedreigd voelen door een extra authenticatiestep wanneer ze de keuze krijgen hoe ze die authenticatie kunnen verkrijgen. Alleen een 3DS-wachtwoordsysteem kan al voldoende zijn om compliant te zijn aan de nieuwe wetgeving, maar het zal consumenten die een hekel hebben aan het hebben van te veel wachtwoorden alleen maar meer frustraties opleveren.

Door online consumenten verschillende opties aan te bieden, zoals met wachtwoorden, sms-codes of authenticator-apps en biometrische scans, krijgen ze het gevoel meer controle te houden over het betaalproces.

DE IMPACT VAN PSD2 OP IDEAL GEBRUIKERS

Wat de impact van de nieuwe PSD2 wetgeving is op webshops die de services van iDEAL aanbieden, is moeilijk te voorspellen. Maar volgens Rob Hoitink, Senior Product Consultant Online bij Currence iDEALheeft de betaalprovider een voorsprong in de markt en zijn ze klaar voor de komst van PSD2. De iDEAL betaalflow wordt in 2019 verder vereenvoudigd, zonder afbreuk te doen aan de veiligheid en betrouwbaarheid ervan. De consument zal bij iedere betaling gewoon aan het roer blijven staan. (Emerce.nl, 2019).