Sterke klantauthenticatie
Sterke klantauthenticatie (Strong Customer Authentication - SCA) is een Europees regelgevend vereiste dat ten minste tweefactorauthenticatie oplegt voor elektronische betalingen en toegang tot online rekeningen. Het combineert ten minste twee elementen uit kennis, bezit en inherentie.
Geïntroduceerd door de PSD2-richtlijn en nader uitgewerkt in de Regulatory Technical Standards (RTS) van de Europese Bankautoriteit (EBA), vereist SCA dat elke elektronische betalingstransactie of gevoelige rekeningtoegang wordt geauthenticeerd met ten minste twee van de volgende drie factoren: een kenniselement (wachtwoord, pincode), een bezitselement (smartphone, chipkaart) en een inherentie-element (vingerafdruk, gezichtsherkenning). Deze factoren moeten onafhankelijk van elkaar zijn.
SCA is van toepassing op door de betaler geïnitieerde betalingen, online toegang tot betaalrekeningen en transacties op afstand met frauderisico. Er zijn verschillende uitzonderingen voorzien om de gebruikerservaring te verbeteren: terugkerende transacties van hetzelfde bedrag, laagwaardige transacties (minder dan € 30, met een cumulatief plafond), vertrouwde begunstigden en laagrisicotransacties op basis van realtime transactierisicoanalyse (TRA).
Voor actoren op het gebied van KYC en identiteitsverificatie vertegenwoordigt SCA zowel een aanvullende beveiligingsstandaard als een technisch integratiepunt. De biometrische verificatie die in KYC wordt gebruikt (gezichtsherkenning, levendetectie) kan dienen als inherentiefactor voor SCA, waardoor synergie ontstaat tussen klantonboarding en de beveiliging van daaropvolgende transacties.
Regelgeving
Praktijkvoorbeelden
- 1Een klant voert een overboeking van € 500 uit via zijn banking-app: de bank vraagt hem de transactie te bevestigen met zijn vingerafdruk (inherentie) na het invoeren van zijn wachtwoord (kennis), waarmee aan de SCA-eis wordt voldaan.
- 2Een webwinkel integreert het 3D Secure 2.0-protocol voor online kaartbetalingen: de klant ontvangt een pushmelding op zijn smartphone (bezit) en valideert via gezichtsherkenning (inherentie) voor transacties boven € 30.
- 3Een leasingplatform past de TRA-uitzondering toe voor terugkerende maandelijkse termijnen van klanten na een eerste sterke authenticatie, waardoor de frictie wordt verminderd met behoud van PSD2-compliance.