Strong Customer Authentication zorgt voor twee uitdagingen bij banken
— 30 september 2019Al snel is er een jaar verstreken sinds de invoering van de GDPR en de volgende wetgeving staat alweer op ons te wachten. Over een maand wordt Strong Customer Authentication (SCA), een onderdeel van Payment Service Directive 2 (PSD2), van kracht. Dit is een Europese wet met betrekking tot het betalingsverkeer. Kort gezegd wordt dubbele authenticatie een vereiste bij online betalingen. Deze regel beschermt de Europese consument tegen online fraude, momenteel nog een schadepost van miljoenen euro’s. SCA maakt betalen veiliger, maar wat betekent dit concreet voor banken? Waar moeten zij mee aan de slag?
De nieuwe wetgeving stelt hoge eisen aan authenticatie. Betalingen mogen alleen geaccepteerd worden als minimaal twee van de volgende drie soorten authenticatie worden ingezet:
- iets wat de consument weet, zoals een wachtwoord of pincode;
- iets wat de consument heeft, zoals een slimme mobiele telefoon;
- iets wat de consument is, zoals vingerafdrukken.
Het positieve aan de komst van SCA is dat online fraude hiermee naar verwachting sterk zal afnemen. Banken staan echter wel voor twee uitdagingen: een dalend transactievolume en nieuwe eisen aan de IT-omgeving.
Dalend transactievolume
Met de komst van PSD2 en de bijbehorende authenticatie-eisen, bestaat het risico dat het transactievolume online afneemt. Dit heeft tot gevolg dat inkomsten zullen dalen. Toen bijvoorbeeld in 2014 een soortgelijke wet in India werd ingevoerd, daalde de online activiteiten binnen veel webshops met maar liefst 25 procent. Banken kunnen deze uitdaging deels ondervangen door alle handvatten te bieden om de implementatie van dubbele authenticatie zo eenvoudig mogelijk te maken. Binnen het bankwezen is veel technische kennis aanwezig over authenticatie; deze moet verspreid worden onder klanten.
Nieuwe eisen aan de IT-omgeving
De tweede uitdaging is de invloed van wetgeving op de IT-omgeving. Kijken we naar SCA, dan zien we dat dit maar beperkte invloed heeft. Er is alleen software nodig die nagaat of er aan de authenticatievereiste is voldaan. Maar kijken we naar de totale scope, dan vormt SCA een voorbode met betrekking tot het aanscherpen van wetgeving inzake IT en digitalisering. Alles wijst erop dat dit pas het begin is. Dat levert veel organisaties stof tot nadenken op. Het doorvoeren van wijzigingen in software – of het nu gaat om specifieke SCA-wijzigingen of de algemene impact van wetgeving zoals GDPR – leidt namelijk tot kostbare, tijdrovende en foutgevoelige projecten. Het gaat om complexe processen die foutloos moeten functioneren om zo een sterke ruggengraat te vormen van de kernactiviteiten van organisaties.
De juiste ontwikkeltool
Veel van deze organisaties hebben IT-legacy, waarbij het voor ontwikkelaars ronduit ingewikkeld is om de juiste programmacode in te voeren. Alles kan fout gaan: vertragingen, programmafouten, beveiligingslekken, etc. Er zijn daarom weinig ontwikkelaars die zich vrijwillig melden om een dergelijk project op te pakken. Met een eenvoudige, flexibele ontwikkeltool wordt dat een ander verhaal; het is minder foutgevoelig en kent minder beveiligingsuitdagingen dan een maatwerk IT-omgeving. Denk bijvoorbeeld aan low-code: het bouwen van applicaties en services gaat hiermee snel én eenvoudig.
Voor je het weet is er een jaar voorbij en dacht je dat je even rustpauze kon nemen na de GDPR-bom, maar dan is het alweer tijd voor de volgende wet. SCA drukt bedrijven wederom met de neus op de feiten: wetgeving stelt hoge eisen aan de IT-omgeving. Zorg er daarom voor dat de IT-omgeving van je organisatie flexibel en wendbaar is, om snel te acteren als een nieuwe wet van kracht wordt. Wees de stroom de baas!