DSP2 en sterke klantenverificatie (SCA): de gids voor conforme elektronische handtekening
De tweede betaaldienstenrichtlijn (DSP2, richtlijn (EU) 2015/2366) schrijft sterke klantenverificatie (Strong Customer Authentication, SCA) voor om toegang te krijgen tot een online betalingsrekening, een elektronische betaling in te leiden of een op afstand uitgevoerde actie uit te voeren met frauderisico. Deze gids legt uit hoe geavanceerde elektronische handtekening (AES) conform eIDAS aan deze vereisten voldoet voor banken, betalingsinstellingen en fintechs.
Wat is sterke klantenverificatie (SCA) onder DSP2?
Artikel 97 van richtlijn (EU) 2015/2366 (DSP2) schrijft sterke klantenverificatie voor klanten voor. De technische modaliteiten worden nader bepaald door gedelegeerde verordening (EU) 2018/389 (Regulatory Technical Standards, RTS). SCA is gebaseerd op ten minste twee onafhankelijke elementen uit verschillende categorieën.
- Kennis: een element dat alleen de klant kent (wachtwoord, code)
- Bezit: een element dat alleen de klant bezit (telefoon die een OTP-sms ontvangt)
- Inherentie: een element dat de klant is (biometrie) — optioneel als de twee andere aanwezig zijn
- Dynamische koppeling: voor een betaling moet de code worden gekoppeld aan het bedrag en de begunstigde (art. 5 RTS EU 2018/389)
Welke bankhandelingen vallen onder sterke klantenverificatie?
Hoe ziet een SCA-conforme ondertekeningstraject eruit?
- 1
De klant identificeren (kennis)
De klant krijgt toegang tot de envelop via een beveiligde link en verifieert zichzelf met een eerste factor (e-mail + wachtwoord, of Certyneo-identificatie). Dit is het kenmerkende element.
- 2
Bezit verifiëren (OTP)
Een eenmalige code (OTP) wordt via sms naar het eerder geverifieerde telefoonnummer van de klant verzonden. Het invoeren van de code bewijst bezit — tweede onafhankelijke factor.
- 3
Ondertekenen met gekwalificeerde tijdstempel
De klant plaatst zijn geavanceerde handtekening (AES). Certyneo genereert een uniek handtekeningscertificaat en een gekwalificeerde tijdstempel conform artikel 26 van de eIDAS-verordening.
- 4
Het SCA-audittrail produceren
De bewijspdf documenteert beide factoren, de gekwalificeerde tijdstempel, de SHA-256-hash en het IP-adres — dit kan tegen de ACPR worden ingeroepen om de SCA-conformiteit van het traject aan te tonen.
Veelgestelde vragen — DSP2 & sterke authenticatie
- Is geavanceerde handtekening (AES) voldoende voor SCA onder DSP2?
- Ja, wanneer deze twee onafhankelijke factoren combineert. De geavanceerde handtekening van Certyneo dekt kennis (wachtwoord / ondertekenings-e-mail) en bezit (OTP per sms op een geverifieerd telefoonnummer): twee elementen uit verschillende categorieën, conform artikel 97 van DSP2 en gedelegeerde verordening (EU) 2018/389. Biometrie (inherentie) is niet nodig zolang deze twee factoren aanwezig zijn.
- Wat is het verschil tussen sterke authenticatie (SCA) en elektronische handtekening?
- SCA verifieert de toegang en intentie van de klant op het moment van een gevoelige operatie; elektronische handtekening verzegelt een document met duurzame bewijskracht. Certyneo combineert beide: het sterke authenticatietraject voedt rechtstreeks het audittrail van de handtekening, zodat het bewijs van authenticatie en het bewijs van instemming een geheel vormen dat tegen de toezichthouder kan worden ingeroepen.
- Wat is de dynamische link die voor betalingen vereist is?
- Artikel 5 van gedelegeerde verordening (EU) 2018/389 schrijft voor dat de authenticatiecode voor een betaalbewegingen specifiek aan het bedrag en de begunstigde moet zijn gekoppeld. Elke wijziging van deze gegevens maakt de code ongeldig. Voor de ondertekening van een machtiging of order vervult de integriteit die door de SHA-256-hash van het document wordt gewaarborgd een gelijkaardige functie van niet-wijziging.
- Zijn er uitzonderingen op sterke authenticatie?
- Ja. Gedelegeerde verordening (EU) 2018/389 voorziet in uitzonderingen (betalingen van laag bedrag, terugkerende operaties, vertrouwde begunstigden, transactierisicoanalyse). Deze betreffen de uitvoering van betalingen, niet de ondertekening van een juridische akte: de ondertekening van een rekeningovereenkomst of machtiging blijft onderworpen aan de bewijsvereisten van artikel 1367 van het Burgerlijk Wetboek.
- Is het audit trail opposable aan de ACPR in geval van controle?
- Ja. Het audit trail van Certyneo documenteert de twee authenticatiefactoren, de gekwalificeerde tijdstempel, de integriteit van het document en de identiteit van de ondertekenaar. Exporteerbaar als gecertificeerd PDF, stelt het u in staat aan de Autoriteit voor prudentieel toezicht en afwikkeling (ACPR) aan te tonen dat het proces aan de SCA-vereisten van de DSP2 voldoet.