De 10 meest gestelde vragen over PSD2

De 10 meest gestelde vragen over PSD2

Dit artikel dient uitsluitend ter informatie. Het mag niet worden beschouwd als vervanging van juridisch advies dat is toegespitst op jouw specifieke behoeften en omstandigheden.

 Of je Lightspeed nou gebruikt als kassasysteem voor je fysieke winkel of restaurant, voor je ecommerce-platform of voor beide, bij Lightspeed nemen we onze rol binnen je bedrijf heel serieus. We willen ervoor zorgen dat je beschikt over alle middelen en informatie om een succesvol bedrijf te runnen. We hebben verschillende vragen ontvangen van onze Europese klanten over Europese richtlijn 2015/2366, beter bekend als PSD2, de herziene Payment Service Directive. In dit artikel beantwoorden we die 10 meest gestelde vragen en geven we meer informatie. 

 

Wat is PSD2?

PSD2 is een herziene Europese richtlijn die zorgt voor de regulering van elektronische betaaldiensten in de EU, inclusief opkomende betaaldiensten via bijvoorbeeld internet- en mobiele betalingen. De richtlijn bevat regels voor de beveiliging en transparantie van elektronische betalingen.

 

Sinds wanneer is PSD2 van kracht?

De richtlijn is al sinds 12 januari 2016 van toepassing en alle EU-landen moesten deze richtlijn voor 13 januari 2018 hebben opgenomen in hun nationale wetgeving. Toch moeten veel regels van PSD2 nog worden doorgevoerd via richtlijnen die nog niet van kracht zijn. 

Waarschijnlijk heb je wel gehoord over de deadline van 14 september 2019, de datum waarop de nieuwe eisen aan betalingsbeveiliging onder PSD2 van kracht worden voor alle winkeliers. Ondanks die deadline hanteren regelgevende instanties in bepaalde landen toch een wachtperiode waarin er geen maatregelen worden genomen tegen winkeliers die nog niet aan de vereisten voldoen, maar wel aantoonbaar “stappen ondernemen”. Of deze wachtperiode wordt gehanteerd en hoe lang die periode dan duurt, varieert per land.

 

Wat betekent PSD2 voor mij als winkelier?

De gevolgen van PSD2 voor winkeliers variëren. Gelukkig kunnen de meeste Lightspeed-klanten die werken met externe betaaldiensten de verplichtingen onder PSD2 grotendeels uitbesteden aan die externe betaaldiensten. Deze diensten moeten hier overigens wel een vergunning voor hebben.

Heeft jouw betaaldienst een vergunning?

Ten eerste hebben veel bedrijven gebruikgemaakt van een vrijstelling van betalingsregelingen om te ontkomen aan vergunningsverplichtingen en toezicht op hun betalingsverwerking. Met PSD2 wordt die vrijstelling gewijzigd, waardoor de meeste winkeliers moeten kiezen tussen a) zich registreren als betaalinstelling onder toezicht; b) uitgebreide wijzigingen aanbrengen in hun wettelijke gebruiksvoorwaarden; of c) gebruikmaken van een externe betaaldienst met vergunning. 

De eerste twee opties gaan waarschijnlijk gepaard met hoge kosten, maar gelukkig maken de meeste Lightspeed-klanten al gebruik van externe betaaldiensten, dankzij Lightspeed. Omdat Lightspeed op dit moment niet fungeert als betaaldienst voor Europese winkeliers, raden we je aan contact op te nemen met je betaaldienst om te controleren of deze over de juiste vergunningen beschikt. 

Voldoet je betaaldienst aan de nieuwe beveiligingsvereisten?

De nieuwe beveiligingsvereisten onder PSD2, gericht op fraudepreventie bij digitale betalingen, worden van kracht op 14 september 2019. Er gelden hoge boetes voor winkeliers die niet voldoen aan de nieuwe beveiligingsvereisten. Het is dus raadzaam contact op te nemen met je betaaldienst om te controleren of deze hieraan voldoet.

Hoewel de beveiligingsvereisten onder PSD2 van origine op 14 september 2019 van kracht zouden worden, heeft de European Banking Authority (EBA) onlangs besloten dat de EU-lidstaten de implementatie – gedeeltelijk – kunnen uitstellen. Door deze uitspraak hebben de betrokken partijen meer tijd om de Strong Customer Authentication (SCA), ook wel sterke klantauthenticatie genoemd, voor kaartbetalingen bij eCommerce voor te bereiden en te implementeren.

De toegestane vertraging heeft als voorwaarde dat betaalaanbieders een migratieplan indienen bij hun nationale bankautoriteit, en hen blijven informeren over de voortgang van het implementatieproces. 

Wetgevers van verschillende EU-lidstaten (19 van de 26), waaronder België, Frankrijk, Duitsland, Nederland en het Verenigd Koninkrijk, hebben aangekondigd dat ze vertraging oplopen met het implementeren van de SCA. Zie hieronder de volledige lijst van landen en hun deadlines:

 

Vertraagd tot Vast te stellen deadline
Oostenrijk Deadline nog vast te stellen
België Zo snel mogelijk
Denemarken 14 maart 2014
Finland Deadline nog vast te stellen
Frankrijk December 2020 (voor eenmalig gebruik van tekst codes)
Maart 2021 (voor 3DS)
Duitsland Deadline nog vast te stellen
Griekenland Deadline nog vast te stellen
Hongarije 14 september 2020
Ierland Zo snel mogelijk
Italië Deadline nog vast te stellen
Litouwen Deadline nog vast te stellen
Luxemburg Deadline nog vast te stellen
Malta Deadline nog vast te stellen
Nederland Deadline nog vast te stellen
Noorwegen Deadline nog vast te stellen
Polen Deadline nog vast te stellen
Slovenië Deadline nog vast te stellen

 

Accepteer je betalingen met betaalkaarten en/of creditcards in je online winkel?

Voor kaartbetalingen stappen verstrekkers van deze kaarten voor consumenten over op een nieuwe versie van de 3D Secure-verificatie standaard, 3DS 2.0, zodat ze voldoen aan de nieuwe beveiligingsvereisten. Vanaf 14 september 2019 is 3D Secure-verificatie verplicht als je in je online winkel betalingen met de bekendste creditcards wilt accepteren. Het is daarom raadzaam te controleren of je betaaldienst 3DS 2.0 heeft geïmplementeerd. 

Reken je de kosten door aan je klanten?

Een van de regels van PSD2 die al van kracht is, is het verbod voor winkeliers om klanten extra te laten betalen voor het gebruik van hun betaalkaart of creditcard. Als je kosten van kaartverstrekkers of betaaldiensten doorberekent aan je klanten, moet je advies inwinnen of dit nog wel is toegestaan.

 

Fungeert Lightspeed als mijn betaaldienst?

Lightspeed biedt Lightspeed Payments, onze eigen betaaloplossing, uitsluitend aan retailklanten in de VS. Lightspeed fungeert momenteel niet als betaaldienst voor Europese winkeliers. Ben je een Lightspeed-klant in Europa, dan heeft Lightspeed je waarschijnlijk doorverwezen naar een van de vertrouwde partners voor betaaldiensten die te integreren zijn in je Lightspeed-platform.

 

Wat zijn de gevolgen van de nieuwe beveiligingsvereisten onder PSD2 voor Lightspeed-klanten?

Op 14 september 2019 worden de nieuwe beveiligingsregels onder PSD2 van kracht en zijn winkeliers verplicht om “Strong Customer Authentication”, geavanceerde klantverificatie, toe te passen op digitale betalingen. 

Er zijn drie manieren waarop een klant kan worden geverifieerd voor een digitale betaling. De verificatie kan worden uitgevoerd op basis van:

(1)   een factor die alleen bekend is bij de klant, zoals een pincode of wachtwoord;

(2)   een factor in het bezit van de klant, zoals een telefoon of kaart; of

(3)   een biometrische factor zoals een oogscan of vingerafdruk.

Door de vereiste voor “Strong Customer Authentication” moet een winkelier de klant verifiëren met ten minste twee van deze drie factoren. Vandaar ook de term “two-factor authentication” of 2FA, tweeledige verificatie.

In de praktijk betekent deze nieuwe vereiste dat online kaartbetalingen met uitsluitend de gegevens op de kaart niet langer zijn toegestaan. Tweeledige verificatie vereist dat klanten de transactie ook verifiëren door een wachtwoord of pincode in te voeren of door bijvoorbeeld hun identiteit te bevestigen via een code die naar hun telefoon wordt gestuurd. 

Sommige winkeliers hebben zorgen geuit dat deze extra stappen hun online verkoop zullen beperken. Veel experts in de sector verwachten echter dat een geavanceerde klantverificatie het vertrouwen in online winkelen vergroot en uiteindelijk kan leiden tot groei van online handel

Daarnaast is voor betalingen per kaart de nieuwe versie van de 3D Secure-standaard, 3DS 2.0, vereist om geavanceerde klantverificatie te implementeren (de originele 3D Secure-standaard voldoet niet aan de vereisten van 2FA). Vanaf 14 september 2019 is verificatie via 3DS 2.0 een vereiste als je betalingen met de bekende creditcards in je online winkel accepteert. Het is dus raadzaam te controleren of je betaaldienst 3DS 2.0 heeft geïmplementeerd.

 

Heeft Lightspeed nog tips om ervoor te zorgen dat mijn bedrijf voldoet aan PSD2? 

Elk bedrijf is anders. Hierboven hebben we je al enkele suggesties gegeven om je bedrijf voor te bereiden op PSD2, maar deze suggesties zijn geen vervanging voor juridisch advies dat is toegespitst op jouw bedrijf. We raden je echter aan de onderstaande tips toe te passen:

  • Controleer of je betaaldienst de juiste vergunningen heeft voor jouw bedrijf.
  • Controleer welke maatregelen je betaaldienst heeft genomen met betrekking tot Strong Customer Authentication en beveiligde communicatie.
  • Controleer of je betaaldienst gebruik maakt van 3DS 2.0 voor je online kaartbetalingen.
  • Als je momenteel extra kosten in rekening brengt voor het gebruik van betaalkaarten of creditcards: win advies in of je dit kunt blijven doen.

Twijfel je of je betaaldienst wel de juiste stappen heeft genomen om te voldoen aan PSD2? Laat het ons dan weten, Lightspeed staat voor je klaar om de mogelijkheden te bekijken.