Vandaag, dinsdag 1 juli, wordt een nieuwe verandering van kracht in het gebruik van creditcards en debetkaarten van banken en andere financiële instellingen: specifiek in de manier waarop de gebruiker wordt geverifieerd en gemachtigd om te betalen met ‘plastic geld’.
In juli 2024 had de Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) Resolutie SBS N° 2286-2024 gepubliceerd, omdat ze het nodig achtte om het huidige regelgevingskader te wijzigen om “de verantwoordelijkheid van bedrijven te specificeren in de procedures voor het valideren van de identiteit van gebruikers en het verkrijgen van hun toestemming op het moment van transacties, in gevallen van niet-erkende transacties en transacties die werden verwerkt zonder dat verbeterde authenticatie vereist was”.
Als onderdeel hiervan zijn er nieuwe regels ingevoerd om de veiligheid van creditcard- en debetkaarttransacties te garanderen, of het nu gaat om card present (bij interactie met een apparaat, zoals een kassa) of card not present (zoals bij digitale aankopen, waarbij alleen de gegevens worden ingevoerd). Daarom moeten banken er vanaf 1 juli voor zorgen dat klanten gevraagd wordt om twee-factor authenticatie om de digitale transacties die ze doen te valideren. Bij “fysieke” transacties zouden deze twee factoren al aanwezig moeten zijn.
Sterkere authenticatie voor kaartbetalingen
Vanaf 1 juli moeten financiële ondernemingen in het land ervoor zorgen dat “het authenticatieproces voor kaarttransacties” wordt uitgevoerd in overeenstemming met artikel 19 van de Cyberbeveiligingsverordening en door middel van de factoren die zijn gecategoriseerd in artikel 2(j) van dezelfde verordening.
Met andere woorden, versterkte authenticatie is vereist “voor handelingen die kunnen leiden tot frauduleuze transacties of ander misbruik van de dienst ten nadele van de klant”. Dit zou gebaseerd zijn op authenticatiefactoren voor de gebruiker – de factoren die worden gebruikt om de identiteit van een gebruiker te verifiëren, wat iets kan zijn dat alleen de gebruiker weet, iets dat alleen de gebruiker bezit, of iets dat de gebruiker is (waaronder biometrische kenmerken).
Het zal dus nodig zijn om een combinatie van authenticatiefactoren te gebruiken, die op zijn minst in twee verschillende categorieën vallen en die onafhankelijk van elkaar zijn. Voor fysieke kaarttransacties wordt dit al vaak gedaan door het invoeren van een sleutel of pincode. Op een bepaald moment werd dit echter afgeschaft en werd alleen de kaart geveegd om betalingen te valideren.
Twee-factor authenticatie zal nu vereist zijn in de volgende gevallen:
- Voor card present transacties zijn twee factoren vereist, waarbij de eerste de kaartchip of de digitale weergave daarvan is. De tweede factor kan een geheime code(PIN) zijn of een andere factor die is vastgesteld door de Superintendency. Dit is nummer 7.1 dat al van kracht is. Het volgende wordt hierdoor geregeld
- Voor card-not-present transacties zijn twee factoren vereist, waarbij de eerste de gegevens in de fysieke of digitale weergave van de kaart zijn. De tweede factor kan een dynamische verificatiecode van de kaart zijn of een andere online verifieerbare factor die van de gebruiker wordt gevraagd. In dit geval moet het bedrijf voor kaarten uitgegeven op of na 01 juli 2025 de authenticatie met twee factoren toepassen.
- Maar in het geval van niet-aanwezig kaartgebruik, voor kaarten uitgegeven vóór 01 juli 2025 en nog steeds geldig na die datum, moeten banken de gebruiker ten laatste authenticeren bij verlenging.
- Voor transacties met mobiele portemonnees van derden op basis van tokenisatie van de kaart, moet de aansluiting van de kaart voor het gebruik van deze dienst volgens de vorige paragraaf, en de daaropvolgende transacties die worden uitgevoerd, ook vanaf 1 juli worden geauthenticeerd door tokenisatie van de kaart en een tweede factor van een andere aard.
- Voor de bijkomende creditcardtransactie in de card-not-present modus moet het bedrijf vanaf 01 december 2025 de gebruiker authenticeren zoals hierboven vermeld, ongeacht de datum van uitgifte van de kaart.
Voor aansprakelijkheid voor verliezen op niet-erkende transacties, vanaf 01 april 2026, zal het bedrijf echter alleen aansprakelijk zijn voor verliezen op niet-erkende transacties – tenzij het de aansprakelijkheid van de gebruiker bewijst – in geval van card-not-present (digitale transacties), met betrekking tot kaarten uitgegeven vóór 01 juli 2025.
Wat zijn card-not-present transacties?
Card-not-present transacties zijn transacties waarbij het betaalinstrument (de kaart) niet rechtstreeks in contact staat met het apparaat dat de informatie vastlegt.
Aan de ene kant vinden card-present transacties plaats wanneer men winkelt in een etablissement en de kaart gebruikt om te betalen aan een kassasysteem, ofwel door de kaart in te voeren, ofwel met de chip die alleen wordt gedetecteerd door hem op de kaart te plaatsen. Maar card-not-present transacties omvatten online of telefonische aankopen, waarbij alleen de kaartgegevens worden ingevoerd.
