Wat was het eerste dat jij online hebt gekocht? De kans is groot dat je ondertussen al zoveel online aankopen achter de kiezen hebt, dat je het niet meer weet. E-commerce is dankzij snel internet en slimme mobiele apparaten ontzettend snel gegroeid. Volgens BeCommerce spendeerden we in België in 2017 zo’n 10,05 miljard euro aan online aankopen.

Nu e-commerce dé manier is om goederen te kopen, doen retailers er alles aan om de koopervaring zo eenvoudig mogelijk te houden. Want wanneer we producten online afrekenen, zorgt het betalingsproces soms voor frictie. Vaak wordt gevraagd om ons te registreren, paswoorden te onthouden of stappen te ondernemen om onszelf te authentiseren. Volgens onderzoek van American Express haakt 78 procent van de online shoppers dan ook af als het betalingsproces niet vlot verloopt. 

Op hetzelfde moment verwachten we wel veiligheid als we online shoppen. 19 procent van de shoppers gaat niet verder met de transactie als ze de site niet vertrouwen met hun betaalgegevens. En gelijk hebben ze. Want met de toename  van online transacties is ook de cybercriminaliteit toegenomen. In 2017 groeide de zogenoemde ‘card-not-present’-fraude met 30 miljoen  euro in de EMEA-regio. Bij card-not-present vindt betaling plaats zonder dat de koper zijn betaalkaart fysiek gebruikt. 

Om de risico’s van deze fraude terug te dringen, troffen toezichthouder en adviesorganen maatregelen. In januari 2018 introduceerde de nieuwe EU Payments Services-richtlijn (PSD2) een nieuwe wetgeving om de rechten van de Europese consumenten te versterken. Om financiële dienstverleners de tijd te geven om zich aan te passen, treden sommige maatregelen wel pas later – in 2019 – in werking. Dat gaat vooral om de meer disruptieve maatregelen van de richtlijn. 

Een van de nieuwe regels is de eis van sterke klantauthenticatie voor bepaalde online transacties. De Europese Bankautoriteit ondersteunt hierin met advies en richtlijnen hoe bedrijven kunnen voldoen aan deze regel. 

Hoe reageert de sector? 

Wanneer de eisen van strengere authenticatie op basis van PSD2 zullen gelden, dienen banken extra stappen te nemen als ze klanten vragen om zich te identificeren. Dat kan met biometrie zoals vingerafdrukken, of met een eenmalige code die ze naar het mobiele apparaat van de klant sturen. Sommige klanten raakten in de war toen ze voor het eerst met 3-D Secure pop-ups werden geconfronteerd. 

Visa laat de banken zelf kiezen hoe zij zich voorbereiden, maar adviseert om consumenten eenmalig een code via sms te sturen als extra beveiligingslaag. Deze kunnen wel onderschept worden via spoofing. Maar ook vingerafdrukken hebben hun beperkingen. In 2015 werd een database van de Amerikaanse overheid met 5,6 miljoen vingerafdrukken van personen gehackt. Wanneer een hacker een wachtwoord achterhaalt, kan de gebruiker een nieuw wachtwoord aanmaken. Maar eens een vingerafdruk is gestolen, is die wel héél lang te gebruiken.  

Organisaties beseffen dat wachtwoorden alleen niet voldoende zijn om gevoelige betalingsinformatie te beveiligen, maar het lijkt erop dat twee-factor-authenticatie misschien ook niet voldoende is. Uiteindelijk zullen beide methoden ook enige frictie aan de customer journey toevoegen. Dus hoe kan de financiële sector aan de vraag naar meer veiligheid voldoen, maar tegelijk de shopervaring aangenaam houden?

Balans in flexibiliteit, keuze en veiligheid 

Er zijn veel verschillende vormen van multifactor-authenticatie waaruit banken en betalingsverwerkers kunnen kiezen. Om veilige toegang mogelijk te maken, kunnen organisaties ervoor kiezen om meer dan één stuk informatie te controleren voordat een transactie plaatsvindt. De juiste balans tussen veiligheid en eenvoud kan worden gevonden door gebruikers dynamisch te identificeren, waarbij niet alleen wordt gekeken naar wie ze zijn, maar ook naar de context van de transactie of sessie.

Toch kan ook deze benadering voor frictie zorgen. Daarom gebruiken sommige banken Identiteit- en toegangsbeheer om de gebruikerscontext optimaal te benutten. De beste oplossingen stellen banken in staat om gebruikers dynamisch te verifiëren – rekening houdend met factoren zoals de leeftijd van de gebruiker, zijn of haar locatie en of het apparaat dat zij gebruiken wordt herkend.

Bij het introduceren van een oplossing op het vlak van Identiteit- en toegangsbeheer is het voor organisaties zaak om te zoeken naar leveranciers die flexibiliteit bevorderen. Dit zal banken helpen om hun weg te vinden in het veranderende authenticatielandschap. Dat draagt op zijn beurt dan weer bij aan een online shopping-ervaring die aangenaam, veilig en flexibel is – hoe complex het landschap ook wordt.