PSD2: de meest gestelde vragen op een rijtje

PSD2 is de opvolger van de Payment Services Directive I. Dit is de Europese richtlijn voor het betaalverkeer van consumenten en bedrijven die in 2019 in werking trad.

Het doel van PSD2: meer concurrentie, meer innovatie, een betere consumentenbescherming en meer veiligheid in het Europese betaalverkeer.

Dankzij PSD2 geniet je van nieuwe betaaldiensten die jou het leven gemakkelijker maken. En niet onbelangrijk: de richtlijn beschermt jou en je betalingen nog beter dan vroeger.

Nieuwe betaaldiensten

Je bank moet derde partijen met een vergunning (of dit nu een bank is of of een niet-financiële speler) toegang geven tot je betaalrekening (lees: zichtrekening). Die andere banken en spelers kunnen dan: 

• je rekeninginformatie (zoals je saldo, uitgaven of ontvangsten) raadplegen
• één betaling doen in jouw naam

Betere bescherming

1) Of je nu met je bankkaart, je kredietkaart of je smartphone betaalt, je moet voortaan vaker tonen dat jij het bent. Afhankelijk van de situatie combineer je twee kenmerken van deze drie:

Officieel noemt men dit "sterke klantauthenticatie".

• iets dat je weet (bijv. je pincode),
• iets dat je bezit (bijv. je kaartlezer of je smartphone),
• iets dat jou eigen is (bijv. je vingerafdruk).

Voor veel Belgische consumenten is dit niet nieuw: bij internet- en mobiel bankieren moet je je vaak op exact die manier aanmelden bij je bank. Onder PSD2 wordt dit nu ook toegepast voor alle Europese betalingen, en dus bv. ook voor die hotelkamer die je hebt geboekt op een Nederlandse reissite of voor het leuke kindercadeau dat je hebt gespot op een Franse webshop.

Enkel een kredietkaartnummer (en een CVC-code = code op de achterkant van je kredietkaart) ingeven ter betaling zal niet meer voldoende zijn.

Let wel: de wetgeving voorziet ook uitzonderingen om het juiste evenwicht te vinden tussen veiligheid en klantenbeleving. Zo kan het zijn dat een sterke klantauthenticatie niet nodig is voor bijvoorbeeld:

• contactloze betalingen in de fysieke winkel
• betalingen aan parkeer-en tolautomaten
• betalingen aan vertrouwde begunstigden of aan eigen rekeningen binnen dezelfde bank
• online transacties voor kleine bedragen

​​​​2) Dankzij PSD2 mogen er geen extra kosten meer aangerekend worden voor bepaalde betaalmethodes. Een webshop mag je bv. geen toeslag meer vragen wanneer je wil betalen met een kredietkaart.

3) Niet enkel je betalingen in euro zijn beschermd, ook die in vreemde munten tussen landen binnen de Europese Economische Ruimte. Concreet valt bv. een betaling in Japanse yen van België naar Nederland onder PSD2 (al zijn er ook een aantal uitzonderingen.

4) Wordt er geld gestolen van je rekening nadat je jouw betaalinstrument (kaart, smartphone, …) hebt verloren, nadat jouw betaalinstrument werd gestolen of onrechtmatig gebruikt? Dan kan je een maximaal franchisebedrag van 50 euro worden gevraagd. Vroeger was dat nog 150 euro.
Let wel: Als je bedriegelijk handelt, fraudeert of grove nalatigheid begaat, vervalt de beperking van je aansprakelijkheid en word je zelf volledig aansprakelijk gesteld voor de geleden schade.

PSD2 is er zowel voor consumenten, ondernemingen, banken en betaalinstellingen (dat is een bedrijf dat betaaldiensten levert). Zo geldt PSD2 onder meer als je:

• in de winkel digitaal betaalt met de kaart of smartphone (dus niet cash)
• online iets koopt
• een overschrijving doet
• een domiciliëring initieert
• je betaalrekening raadpleeg.

Ja, de nationale toezichthouders controleren de correcte naleving van de PSD2-principes. In België zijn dat de Nationale Bank van België (NBB) en de Federale Overheidsdienst (FOD) Economie.

Een derde partij kan je toestemming vragen om:

• je rekeninginformatie (zoals je saldo, uitgaven of ontvangsten) te raadplegen
• een betaling te doen in jouw naam

De derde partij zal je laten aanmelden zoals je dat vandaag al doet bij je bank om te internetbankieren of om mobiel te bankieren. Met andere woorden: je moet laten zien dat jij het bent met twee van de drie volgende kenmerken:
 

• iets dat je weet (bijv. je pincode),
• iets dat je bezit (bijv. je kaartlezer of je smartphone),
• iets dat jou eigen is (bijv. je vingerafdruk).

Nee, een derde partij krijgt enkel toegang tot je rekening als je hiervoor uitdrukkelijk je toestemming geeft. Geef je geen toestemming, dan kan zij aan je bank ook niet vragen om je rekeninggegevens aan haar door te geven.

Ja, als je toestemt om een derde partij toegang te geven tot je rekening, mag je die toestemming op elk moment terug intrekken. Let wel: je dient je toestemming rechtstreeks bij de derde partij in te trekken en niet bij je bank.

Als de derde partij toegang vraagt tot je rekening om een betaling te doen, geldt jouw toestemming enkel voor die ene betaaltransactie. Je moet dus voor elke betaling je opnieuw aanmelden volgens de pricipe van sterke klantenauthenticatie.

Zonder je toestemming mag een derde partij geen toegang tot je rekening vragen aan je bank.

Nee, als je een derde partij toegang geeft tot je betaalrekening, wil dat niet zeggen dat zij je rekeninginformatie ook mag gebruiken voor andere doeleinden. De derde partij mag deze informatie enkel gebruiken om aan jou te tonen. Wil ze daar iets anders mee doen, dan moet ze je eerst toestemming vragen. Een gouden tip: lees altijd goed na waarvoor een derde partij je exact toestemming vraagt.

Zeker. Je bepaalt volledig zelf of je een derde partij toegang geeft tot je betaalrekening (= zichtrekening).

Nee, je kan aan je bank niet vragen om je rekening op voorhand af te schermen voor alle derde partijen. Zij kan hier wettelijk gezien niet op ingaan. Dit is op zich ook niet nodig omdat je altijd volledig zelf kan beslissen, (met een uitdrukkelijke instemming) of je een derde partij toegang geeft tot je betaalrekening.

Ja. Zowel je eigen bank als de derde partij (of dit nu een bank is of of een niet-financiële speler) moeten jouw privacy respecteren. Zo mogen ze bijvoorbeeld jouw rekeninggegevens niet delen met anderen en mogen ze die ook niet gebruiken voor andere doeleinden dan waarvoor jij je toestemming hebt gegeven.

Naast de PSD2 ziet ook de Europese privacyrichtlijn GDPR (General Data Protection Regulation) sterk toe op de naleving van jouw privacy.

Bovendien bijven consumenten en bedrijven altijd en overal baas over hun eigen rekeninggegevens. Een derde partij kan enkel toegang krijgen tot je rekeninggegevens als je hiervoor uitdrukkelijk toestemming geeft. 

Stel: jij schrijft 20 euro over op de rekening van je vriend. Of het omgekeerde: jij krijgt 20 euro van je vriend op je rekening gestort. Diezelfde vriend doet toevallig beroep op de diensten van een derde partij. Dan heeft die derde partij niet alleen toegang tot de rekening van je vriend maar ziet zij meteen ook jouw rekeninggegevens. Maar aangezien je een “natuurlijk persoon” bent, moet de derde partij jouw privacy respecteren. Zij mag jouw gegevens dan ook totaal niet commercieel gebuiken of aan andere partijen overmaken.

De belangrijkste boodschap blijft: je pincode, die je o.a. gebruikt om met de kaart te betalen in een winkel, mag je nooit delen.

Andere codes, zoals de codes die je kaartlezer genereert, zullen mogelijks wel gedeeld moeten worden met derde partijen. Opgelet: ook in dit kader blijven de principes om phishing te voorkomen van kracht. Een derde partij zal je ook nooit vragen om via telefoon of email deze codes te delen.

Wees sowieso altijd voorzichtig. Vertrouw je de vraag van een derde partij niet, geef je codes dan zeker niet door. En een goede raad: controleer regelmatig je rekeninguitreksels.

De diensten die een derde partij aanbiedt zijn kunnen heel handig en gebruiksvriendelijk lijken, maar er kunnen ook derde partijen met slechte bedoelingen zijn. En dus is wat oplettendheid welkom.

Een check van de drie “w’s” is altijd slim:

• wie vraagt mijn toestemming?
• welke gegevens vraagt de derde partij?
• waarvoor (voor welk doel) vraagt ze toestemming?

Volgende signalen kunnen wijzen op een onbetrouwbare derde partij:

• Je moet de app van de derde partij downloaden buiten een officiële app winkel (App Store, Samsung Galaxy Store, …);
• De derde partij geeft niet duidelijk aan waarvoor ze je toestemming vraagt;
• Op de website van de derde partij staan geen contactgegevens zoals een adres, een telefoonnummer of een e-mailadres;
• Je vindt op het internet weinig of geen informatie over de derde partij als je haar naam ingeeft in een zoekmachine;
• Je vindt geen of slechts beperkte beoordelingen terug over de derde partij of haar app.

Check altijd de site van de Europese bankautoriteit EBA (European Banking Authority). Daar staan alle derde, niet-financiële partijen met een vergunning van de nationale toezichthouder. Staat jouw derde partij er niet tussen? Neem geen risico en geef je toestemming niet. Let op: deze lijst geeft geen overzicht van de banken die dergelijke diensten mogen aanbieden. Hiervoor moet je gaan kijken op de website van de Nationale Bank van België.

Ja. PSD2 maakt het principe van sterke klantauthenticatie verplicht. Vandaag is je kredietkaartnummer soms genoeg om te betalen, vooral op buitenlandse websites. Met PSD2 wordt dat geleidelijk aan verleden tijd. Wil je je aankoop afrekenen, dan zal je moeten tonen dat jij het bent met twee van de drie volgende kenmerken:

• met iets dat je weet (bijv. je pincode),
• met iets dat je bezit (bijv. je kaartlezer of je smartphone),
• met iets dat jou eigen is (bijv. je vingerafdruk).

Om een betaling te doen, zal je vaker moeten tonen dat jij het bent. Er zijn echter enkele uitzonderingen. Zo kan het zijn dat een sterke klantauthenticatie onder andere niet nodig is voor:

• contactloze betalingen in de fysieke winkel
• betalingen aan parkeer-en tolautomaten
• betalingen aan vertrouwde begunstigden of aan eigen rekeningen binnen dezelfde bank
• online transacties voor kleine bedragen

Ja, de sterke klantauthenticatie geldt voor alle Europese spelers. Wil je online iets kopen - dus ook in een Europese webshop - dan zal je steeds vaker moeten laten zien dat jij het bent door twee van de drie kenmerken te combineren. Belangrijk: shop enkel bij webshops die je goed kent en vertrouwt.

Hoewel de deadline voor de toepassing van de sterke klantenauthenticatie 14 september 2019 is, werd een aantal maanden terug duidelijk dat het ecosysteem voor e-commerce nog niet klaar is voor een strikte toepassing hiervan. In België zou dit leiden tot een weigering van een belangrijk deel van alle e-commerce transacties omdat niet alle spelers in de markt hun systemen al hebben kunnen aanpassen. Daarom heeft de Nationale Bank van België op 28 augustus een transitieperiode aangekondigd. Hiermee volgt ze de tendens die we vandaag in heel Europa zien. Samen met de Belgische (en Europese) industrie zal een concreet migratieplan worden uitgewerkt. Het doel? Het volledige ecosysteem migreren naar een strikte toepassing van de sterke klantenauthenticatie binnen een redelijke en realistische termijn. 

In een beperkt aantal gevallen kan een webshop beroep doen op een uitzondering op het principe van sterke klantenauthenticatie.

Zo kan het zijn dat een sterke klantauthentifcatie onder andere niet nodig is voor:

- contactloze betalingen in de fysieke winkel
- betalingen aan parkeer- en tolautomaten
- betalingen aan vertrouwde begunstigden of aan eigen rekeningen binnen dezelfde bank
- online transacties voor kleine bedragen

Wees wel altijd voorzichtig en hou de volgende twee tips in het achterhoofd:

• Onderteken alleen een betaling die je zelf hebt geïnitieerd
• Shop enkel bij webshops die je goed kent en vertrouwt

Nee, je zal ook moeten tonen dat jij het bent met twee verschillende kenmerken als je je rekeningen online raadpleegt. Dat is echter vandaag ook het geval: heel wat Belgische banken passen dit principe al jaren toe: je hebt zowel je codes nodig (iets dat je weet) als je bankkaart, smartphone of kaartlezer (iets dat je bezit).