Twee-factor authenticatie bij elektronische betalingstransacties vanaf 14 september
Nieuws -> InformatiefBron: BSI/DNB/ING
21-08-2019
De Payment Services Directive (PSD) is een Europese richtlijn die in 2007 werd aangenomen door de Europese Commissie om betaaldiensten en payment service providers binnen de Europese Unie (EU) en de Europese Economische Ruimte (EER) te reguleren. Het doel van de richtlijn was om concurrentie binnen de EER te verhogen en deelname in de financiële sector te faciliteren, ook voor niet-bancaire instellingen. Ook lag de focus op het creëren van een geharmoniseerd speelveld met betrekking tot consumentenbescherming en rechten en verplichtingen voor de betaalinstelling en haar gebruikers.
De PSD biedt het juridische kader voor het betalingsverkeer binnen de EER om een uniforme betaalmarkt te creëren. Het doel van de PSD is om de pan-Europese competitie in de betaalmarkt te verhogen, waarbij ook niet-bancaire instellingen deelnemen. De focus ligt op het creëren van een geharmoniseerd speelveld met betrekking tot consumentenbescherming en rechten en verplichtingen voor de betaalinstelling en haar gebruikers.
De tweede EU-betalingsdienstenrichtlijn 2 (Payment Services Directive 2 = PSD2) is op 14 maart 2019 in werking getreden en moet vanaf 14 september 2019 van kracht worden. Samengevat bepaalt de richtlijn dat alle elektronische betalingstransacties of de toegang tot de rekening moet worden beschermd door middel van authenticatie met twee factoren en dat de bekende iTAN-papieren lijsten niet langer mogen worden gebruikt - meldt het Bundesamt für Sicherheit in der Informationstechnik [BSI] (Federaal Bureau voor Informatiebeveiliging) van Duitsland.
De twee-factor authenticatie of multi-factor authenticatie bestaat uit ten minste twee verschillende, fysiek gescheiden manieren van klantidentificatie. Dit kan bijvoorbeeld betekenen dat u 'kennis' nodig heeft, zoals een wachtwoord of een pin, en dat u ook 'eigendom' moet aantonen, eventueel via een TAN-generator of een app op uw smartphone. Dit zorgt ervoor dat uw account veilig is - zelfs als uw wachtwoord is gecompromitteerd. Een andere factor kan 'biometrie' zijn, namelijk het ophalen van een vingerafdruk of een gezichtsscan. De iTAN-papieren lijsten, die tot nu toe vaak als tweede factor werden gebruikt, zijn onder de nieuwe richtlijn niet langer toegestaan. Dit is in het verleden herhaaldelijk misbruikt voor phishing-fraude en is al meer dan 10 jaar niet meer voldoende beveiligd. PSD2 laat echter ook uitzonderingen toe. Zo zijn bijvoorbeeld contactloze kaartbetalingen - met een echte kaart of met hun virtuele afbeelding op de smartphone - vrijgesteld van de regeling tot een bedrag van 50 euro. De richtlijn kan ook vrijstelling verlenen voor het opvragen van rekeningsaldi en transacties. Het is aan een kredietinstelling om te beslissen in hoeverre zij van deze uitzonderingen gebruik wil maken.
(Bron DNB - 2019)
Flyer van het betalingsverkeer volgens de tweede EU-betalingsdienstenrichtlijn PSD2
De mogelijkheden voor twee-factor authenticatie zijn zeer divers. In de categorie 'Kennis' kan informatie zoals wachtwoorden, pincodes, codes of antwoorden op geheime vragen worden gecontroleerd. In de categorie 'Bezit' wordt gevraagd of de communicatiepartner toegang heeft tot bijvoorbeeld een smartcard, een TAN-generator, een smartphone met een unieke ID of een token. Het gebied van de 'Biometrie' omvat de controle van vingerafdrukken, gezichtsvergelijkingen en netvliesscans. Hoe de respectievelijke methoden door de banken worden ontworpen en gekoppeld, kan door de bedrijven zelf worden bepaald en dus ook hun beveiligingsniveau voor inloggen en transacties bepalen.
De BSI raadt het gebruik van mTan (mobileTAN), dat per sms naar klanten wordt verstuurd, al jaren af. De BSI adviseert al enkele jaren het gebruik van mTan, dat per sms naar klanten wordt verstuurd, te verbieden. Deze codes kunnen op eenvoudige wijze worden onderschept, bijvoorbeeld door criminelen die een tweede SIM-kaart krijgen voor het nummer dat is opgeslagen in internetbankieren!
Mijn bank biedt niet de authenticatieprocedure aan die ik wil gebruiken. Als uw bank niet in staat of niet bereid is om u de gewenste methode aan te bieden, kunt u alleen uw rekening verplaatsen naar een van de concurrenten. U moet er ook voor zorgen dat uw nieuwe bank de authenticatie fysiek scheidt. Dit betekent bijvoorbeeld dat het invoeren van een wachtwoord en de verificatie van vingerafdrukken niet op een enkel apparaat of smartphone mag plaatsvinden. Als het apparaat is geïnfecteerd met malware, kunnen beide factoren toegankelijk worden voor criminelen, dus het is aan te raden om twee apparaten te gebruiken voor online bankieren, zodat de beveiligingsfactoren altijd onafhankelijk van elkaar zijn. – aldus het Federaal Bureau voor Informatiebeveiliging van Duitsland. Lees over PSD2 bij ING, ABNAMRO, RABOBANK, SNS, De Nederlandsche Bank, Knab, BNP Paribas , KvK: Wat kun je met de betaalrichtlijn PSD2? Test uw kennis over PSD2