De technische reguleringsnormen (RTS) met betrekking tot SCA die zijn vastgesteld als volgt Gedelegeerde verordening van de Commissie (EU) 2018/389 en is wettelijk van toepassing vanaf 14 september 2019. Het lijkt er echter op dat de sector nog niet klaar is om alle wijzigingen over te nemen. De complexiteit van de betalingssector en de nieuwe spelers op de markt kan tot vertragingen leiden. Om negatieve gevolgen te voorkomen, zal de EBA bij wijze van uitzondering instemmen met enkele verlengingen van de termijn (bijvoorbeeld voor e-merchands die hoogstwaarschijnlijk niet op tijd klaar zijn). De verlenging zal alleen worden aanvaard indien de bevoegde gedragsautoriteit hiermee heeft ingestemd en de uitvoering van het plan voor een gemeenschappelijke onderneming gedurende de verlengde periode op de voet volgt. De EBA zal toezien op de consistentie van de tenuitvoerlegging van de Rekenkamer in de hele EU.
De EBA merkt op dat, hoewel Leidraad voor de veiligheid van betalingen via internet zijn sinds 2015 van toepassing, maar worden niet door alle lidstaten toegepast. Daarnaast heeft de EBA een Advies over de tenuitvoerlegging van RTS inzake RCA, en een Single Rulebook Q&A instrument.
Wat is de sterke klantauthenticatie (SCA)?
De toepassing van een SCA is gebaseerd op drie elementen: de elementen "kennis", "bezit" en "inherente". De elementen zijn onafhankelijk, op een zodanige wijze dat de inbreuk op de ene de betrouwbaarheid van de andere niet in het gedrang brengt, en is zodanig ontworpen dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd.
Het inherente element is het meest innovatieve en snelst bewegende element. De EBA geeft in het advies een niet-uitputtende lijst van mogelijke inherente elementen die bestaat uit: scannen van het netvlies en de iris, scannen van vingerafdrukken, aderherkenning, gezichts- en handgeometrie, spraakherkenning, toetsenborddynamiek (het identificeren van een gebruiker aan de hand van de manier waarop ze typen en vegen, soms ook wel type- en vegende patronen genoemd), de hoek waarin de PSU (Payment Service User) het apparaat vasthoudt en de hartfrequentie van de PSU.
De EBA is van mening dat benaderingen die steunen op mobiele apps, webbrowsers of de uitwisseling van (publieke en private) sleutels ook het bewijs van bezit kunnen zijn, mits ze een apparaat bindend proces bevatten dat een unieke verbinding tussen de app, browser of sleutel van de PSU en het apparaat garandeert. De digitale handtekening en de QR-code zijn ook elementen van het bezit. De kaartgegevens en de veiligheidscode van de kaart die op de kaart zijn afgedrukt, kunnen noch een kennis- noch een bezitselement vormen. Alleen dynamische kaartcodes (codes die niet op de kaart staan) kunnen een bezitselement zijn.
De niet-uitputtende lijst van de EBA is hieronder weergegeven:
Algemene opmerkingen van de Europese Bankautoriteit over SCA
Het advies van de EBA bevat ook enkele algemene opmerkingen over de SCL. Een punt dat de EBA zich al vanaf 2018 uitstrekt, is dat de twee elementen die voor de SCL vereist zijn, tot verschillende categorieën moeten behoren, d.w.z. één van de kennis- en één van de inherente categorie. Bovendien is de onafhankelijkheid van de elementen van essentieel belang om de transacties zo veilig mogelijk te maken. De EBA wijst ook op de mogelijkheid van een hergebruikt element ten behoeve van een SCA in dezelfde vergadering.De termijn van 14 september komt dichterbij en wat we nog moeten afwachten is hoe voorbereid de professionals zullen zijn en of er rekening is gehouden met de adviezen en richtsnoeren van de EBA. Het project is complex, vooral voor bedrijven die niet direct aan PSD2 onderworpen zijn en die waarschijnlijk niet klaar zullen zijn. De verlenging van het project geeft echter blijk van flexibiliteit van de kant van de EBA en de gedragsautoriteiten.