Aanwezig:
R. Steennot, voorzitter
De heren A. Guigui, P D’Haen, E. Van den Haute, J. Vannerom, leden.
Datum: 18 juni 2024
Verzoek
De financiële ombudsman legt het College de volgende princiepsvraag voor:
Moet een CVC2-code – zelfs indien ze pas verkregen kan worden nadat een betaler inlogt in de betaalapplicatie van zijn financiële instelling – beschouwd worden als een kennis- of een bezitselement?
Advies van het college
Luidens artikel VII.42, §§ 1 en 2 WER moet de betalingsdienstaanbieder het bewijs leveren dat een betalingstransactie werd geauthenticeerd.
Overeenkomstig artikel VII.44, § 2 WER draagt de betaler – tenzij hij zelf fraude pleegt – geen financiële verliezen wanneer de betalingsdienstaanbieder geen sterke authenticatie verlangt.
Artikel I.9, 33/16° WER definieert het begrip 'sterke cliëntenauthenticatie' als volgt:
"Authenticatie met gebruikmaking van twee of meer factoren die worden aangemerkt als 'kennis' (iets wat alleen de gebruiker weet), 'bezit' (iets wat alleen de gebruiker heeft) en 'inherente eigenschap' (iets wat de gebruiker is) en die onderling onafhankelijk zijn, in die zin dat compromittering van één ervan geen afbreuk doet aan de betrouwbaarheid van de andere en die zodanig is opgezet dat de vertrouwelijkheid van de authenticatiegegevens wordt beschermd;"
In dit kader rijst bij de Financiële Ombudsman regelmatig de vraag of een CVC2-code die niet op een betaalkaart vermeld wordt, gezien moet worden als een kennis- of een bezitselement. De betaler kan zo'n CVC2-code opvragen door in te loggen op zijn (mobiele) betaalapplicatie of banking-applicatie.
Bepaalde financiële instellingen werpen daarom op dat deze CVC2-code een kenniselement zou zijn daar de betaler moet inloggen (dus via zijn geheime code) of de CVC2-code uit het hoofd moet leren.
Het College volgt deze zienswijze niet.
Ten eerste verwijst het College naar EBA-opinie 2019-06 van 21 juni 2019 (https://www.eba.europa.eu/sites/default/files/documents/10180/2622242/4bf4e536-69a5-44a5-a685-de42e292ef78/EBA%20Opinion%20on%20SCA%20elements%20under%20PSD2%20.pdf), evenals naar Question-ID 2018_4235 (https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2018_4235).
In diezelfde EBA-opinie vermeldt de EBA in § 28 dat:
"Dynamic security codes (where the code is not printed on the card and changes regularly) may provide evidence of possession in line with article 7 of the RTS"
Een (onveranderlijke) CVC2-code wordt door betalers herhaaldelijk ingegeven op webshops, e-commerceplatformen, etc. Deze gegevens kunnen door fraudeurs gehackt worden en zo gekopieerd worden. Om die reden kan een onveranderlijke CVC2-code, zelfs indien zij niet op de betaalkaart vermeld wordt, nooit als een zuiver kenniselement beschouwd worden.