Op 27 november 2017 heeft de Europese Commissie, op basis van een geamendeerd ontwerp van de Europese Bankautoriteit (hierna "EBA") technische reguleringsnormen aangenomen met betrekking tot de voorschriften van sterke cliëntauthenticatie en voor gemeenschappelijke en beveiligde open communicatienormen, in uitvoering van artikel 98 van de richtlijn 2015/2366 van 25 november 2015 betreffende de betalingsdiensten in de interne markt (hierna "PSD 2").
Sterke cliëntauthenticatie
PSD 2 legt aan de betalingsdienstaanbieder de verplichting op om in bepaalde omstandigheden een sterke authenticatie van zijn cliënt uit te voeren. Deze voorschriften beogen de veiligheid van de elektronische betalingen te garanderen. Het risico van fraude is in dit kader immers aanzienlijk en vereist een hoog niveau van bescherming (Overweging 95 PSD 2).
De sterke cliëntauthenticatie is gedefinieerd als "authenticatie met gebruikmaking van twee of meer factoren die worden aangemerkt als kennis (iets wat alleen de gebruiker weet), bezit (iets wat alleen de gebruiker heeft) en inherente eigenschap (iets wat de gebruiker is) en die onderling onafhankelijk zijn, in die zin dat compromittering van één ervan geen afbreuk doet aan de betrouwbaarheid van de andere en die zodanig is opgezet dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd" (Artikel 4, 30° PSD 2).
De betalingsdienstaanbieders moeten overgaan tot een sterke cliëntauthenticatie indien de betaler (dit wil zeggen de cliënt):
- Zich online toegang tot zijn betaalrekening verschaft;
- Een elektronische betalingstransactie initieert; of
- Via een communicatiemiddel op afstand een handeling van eender welke aard uitvoert die een risico op betalingsfraude of andere vormen van misbruik met zich mee kan brengen ("catch all"-bepaling).
De vereiste van sterke cliëntauthenticatie is enkel van toepassing indien de betaler (cliënt) zelf een elektronische betalingstransactie initieert. Bijgevolg moet het initiëren van elektronische betalingstransacties door de begunstigde in het kader van domiciliëringen geen aanleiding geven tot sterke cliëntauthenticatie. Indien een cliënt echter via elektronische weg ingestemd heeft met een domiciliëring, moet wél nog een controle op basis van de voorschriften voor sterke cliëntauthenticatie uitgevoerd worden, vermits deze domiciliëring dan wel de uitvoering is van een handeling van de betaler (cliënt) via een communicatiemiddel op afstand, die een risico op fraude met zich mee kan brengen (EBA, Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2): Final report, 23 februari 2017, blz. 7).
Vrijstelling van de voorschriften met betrekking tot sterke cliëntauthenticatie
De technische reguleringsnormen bevatten vrijstellingen met betrekking tot twee van de drie gevallen van vereiste sterke cliëntauthenticatie.
Ten eerste is de vereiste van sterke cliëntauthenticatie niet van toepassing, in geval van online toegang van de cliënt tot zijn betaalrekening, wanneer deze toegang beperkt is tot de online raadpleging, zonder verspreiding van gevoelige betalingsgegevens, van:
- het saldo van één of meer rekeningen; of
- de historiek van de betalingen uitgevoerd gedurende de laatste 90 dagen.
De gevoelige betalingsgegevens bevatten de "gegevens waarmee fraude kan worden gepleegd, waaronder persoonlijke beveiligingsgegevens […]" (Artikel 4, 32° PSD 2).
Deze vrijstelling is echter niet van toepassing wanneer:
- de cliënt deze informatie voor de eerste maal online raadpleegt;
- de laatste online toegang van een cliënt tot zijn betalingshistoriek mét sterke authenticatie langer dan 90 dagen geleden is.
Ten tweede zijn er verschillende vrijstellingen op de voorschriften met betrekking tot sterke authenticatie in geval van initiëring van elektronische betalingstransacties. We vermelden er twee:
Zo moeten de initiëringen door een cliënt van een contactloze betaling niet het voorwerp uitmaken van sterke authenticatie indien deze betaling aan de volgende drie voorwaarden voldoet:
- het individueel bedrag van de transactie bedraagt niet meer dan EUR 50; en
- het gecumuleerd bedrag van de contactloze transacties sinds de laatste sterke authenticatie bedraagt niet meer dan EUR 150; of
- er zijn sinds de laatste sterke authenticatie niet meer dan vijf contactloze transacties uitgevoerd.
Daarnaast moeten initiëringen door een cliënt van een betaling op afstand evenmin het voorwerp uitmaken van sterke authenticatie indien de volgende drie voorwaarden vervuld zijn:
- het individueel bedrag van de transactie op afstand bedraagt niet meer dan EUR 30; en
- het gecumuleerd bedrag van de transacties op afstand sinds de laatste sterke authenticatie bedraagt niet meer dan EUR 100; of
- er zijn sinds de laatste sterke authenticatie niet meer dan vijf transacties op afstand uitgevoerd.
Omzetting van de bepalingen inzake de voorschriften van sterke authenticatie
De meeste bepalingen van PSD 2 moeten ten laatste op 13 januari 2018 geïmplementeerd zijn. De bepalingen met betrekking tot de sterke cliëntauthenticatie moeten slechts omgezet zijn achttien maanden na de inwerkingtreding van de technische reguleringsnormen. De verwachting is dat de bepalingen van PSD 2 met betrekking tot de voorschriften van sterke authenticatie slechts omgezet zullen moeten zijn rond 1 september 2019.