Sinds 14 september is in Italië de tweede Europese richtlijn over betaaldiensten van kracht, de zogenaamde PSD2, die een reeks innovaties introduceert met als doel een nog innovatievere, competitievere en veiligere betaalmarkt voor burgers te bevorderen. Met name dit laatste deel van de richtlijn komt tussenbeide om het authenticatieproces en de veiligheidsfactoren die essentieel zijn voor toegang tot de lopende rekening en het regelen van online transacties verder te versterken.
Maar wat is ‘sterke authenticatie’ en hoe veranderen online betalingen met PSD2? Om het uit te leggen aan bankklanten, die de afgelopen weken een aantal traditionele tokens hebben moeten vervangen door instrumenten die technisch in staat zijn om naleving van de nieuwe regels te garanderen, heeft de ABI samen met zeventien consumentenverenigingen een korte handleiding ontwikkeld met het laatste nieuws over de richtlijn.
De infographic, die dankzij de circulaire van de Vereniging van Banken al voor alle banken beschikbaar was, is nu ook online beschikbaar op de ABI-websites ( ) en van ACU, Adiconsum, Adoc, Altroconsumo, Asso-Consum, Assoutenti, Casa del Consumatore, Cittadinanzattiva, Codacons, Confconsumatori, Consumer Protection Center, Federconsumatori, Consumer League, Consumer Movement, Citizen Defense Movement, U.Di.Con, A C.
Hier is een samenvatting van de belangrijkste inhoud van de Abi-consumatori-gids.
Meer veiligheid met sterke authenticatie
PSD2 introduceert een nog veiliger authenticatiesysteem: om toegang te krijgen tot uw online account of om een betaling per bankoverschrijving of kaart te regelen, moet de rekeninghouder ten minste twee van de volgende drie beveiligingsfactoren gebruiken:
- KENNIS – iets dat alleen u weet, zoals uw wachtwoord of pincode;
- BEZIT – iets dat alleen de gebruiker bezit, bijvoorbeeld een smartphone of een sleutel/token;
- INHERENCE iets dat de gebruiker onderscheidt, zoals zijn vingerafdruk of andere biometrische gegevens.
Voor online betalingen, geregeld via internet of mobiel, wordt aan deze factoren nog een element toegevoegd, namelijk een unieke code die het relatieve bedrag en de begunstigde aan elke transactie koppelt.
Elke bank geeft haar klanten indicaties over welke beveiligingsfactoren zij moeten gebruiken. Op hun beurt hebben klanten de taak om betaalinstrumenten, hun mobiele telefoon en alle andere middelen die worden gebruikt om transacties uit te voeren, zorgvuldig te bewaken.
Alleen betalingen van kleine bedragen, terugkerende betalingen of betalingen die bedoeld zijn voor door de gebruiker aangegeven vertrouwde begunstigden en betalingen voor parkeren en vervoer vallen niet onder de nieuwe PSD2-regels. Hiervoor is het gebruik van één enkele veiligheidsfactor in feite voldoende.
Hoewel de nieuwe functies al operationeel zijn op het gebied van toegang tot rekeningen en online betalingen, voorziet de richtlijn in een geleidelijke overgang naar de nieuwe veiligheidsregels voor online aankopen met een kaart.
Er komen nieuwe betaaldiensten
PSD2 reguleert nieuwe betalingsdiensten, handig voor degenen die via internet opereren en kopen.
Onlinerekeninghouders kunnen banken of betalingsinstellingen – geautoriseerd door de Bank van Italië of door een andere bevoegde Europese autoriteit – toestemming geven om via speciale kanalen toegang te krijgen tot hun rekening, om informatie te verkrijgen over het saldo, transacties en rapporten, om hun rekening te beheren sommige diensten in opdracht van de eigenaren.
De richtlijn bepaalt met name dat banken of betalingsinstellingen, indien uitdrukkelijk gemachtigd door de rekeninghouders, het volgende kunnen aanbieden:
- APPARAATDIENSTEN – d.w.z. het initiëren van online betalingen namens gebruikers.
- INFORMATIEDIENSTEN - die geaggregeerde informatie bieden over een of meer online rekeningen, ook bij verschillende banken, en waarmee de gebruiker in één omgeving (bijvoorbeeld een APP) over een bijgewerkte financiële situatie kan beschikken.
- BEVESTIGINGSDIENSTEN BESCHIKBAARHEID VAN FONDSEN – in het geval dat de gebruiker een debetkaart heeft die is uitgegeven door een andere instelling dan die waarbij hij de rekening heeft.
Voordat u toegang geeft tot uw gegevens, is het van groot belang dat u de grootst mogelijke aandacht besteedt en duidelijk maakt voor welke diensten en welke gegevens u toestemming geeft. De bank waar u de rekening heeft, kan hier namelijk geen verificatie op uitvoeren.
Ongeautoriseerde betalingen worden binnen 24 uur terugbetaald en het eigen risico wordt verlaagd tot 50 euro
Een andere nieuwigheid die PSD2 introduceert, is de terugbetaling van niet-geautoriseerde betalingen, bijvoorbeeld gedaan met verloren of gestolen instrumenten, binnen de werkdag na kennisgeving door de klant. Dit geldt ook als de transactie via een andere instelling dan uw eigen instelling wordt uitgevoerd. Wat nog steeds de ongeoorloofde handelingen betreft, tenslotte wordt het maximale eigen risico dat de gebruiker moet betalen verlaagd, van 150 naar 50 euro.