Fraude is na de invoering van EMV niet verdwenen. Het is alleen verplaatst: fraude bij fysieke transacties is moeilijker geworden, terwijl fraude bij contactloze transacties juist gemakkelijker is geworden. De aansprakelijkheidsverschuiving heeft de fraude niet teruggedrongen. Het heeft alleen veranderd waar de fraude zich voordoet en wie ervoor opdraait. Voor handelaren heeft die verschuiving meer veranderd dan alleen de fraudepatronen. Het heeft ook veranderd wie het verlies draagt.

Wat houdt de EMV-aansprakelijkheidsverschuiving in?

De EMV-aansprakelijkheidsregel bepaalt welke partij financieel aansprakelijk is wanneer een transactie frauduleus blijkt te zijn.

Dit wordt vaak aangeduid als een verschuiving van de aansprakelijkheid bij fraude, waarbij de verantwoordelijkheid verschuift naargelang de wijze waarop de transactie wordt geverifieerd. In de praktijk bepaalt dit welke partij financieel aansprakelijk is wanneer een transactie frauduleus blijkt te zijn.

Vóór de invoering van EMV droegen kaartuitgevers de verliezen als gevolg van fraude doorgaans zelf. Na deze overgang kwam de aansprakelijkheid te liggen bij de partij die minder veilige technologie gebruikte.

In de praktijk:

• Als een handelaar geen EMV-chiptransacties ondersteunt, is hij aansprakelijk
• Als beide partijen EMV ondersteunen, is de uitgever doorgaans aansprakelijk

Dit is wat men bedoelt met een verschuiving van de aansprakelijkheid bij creditcardbetalingen, een verschuiving van de aansprakelijkheid bij kaartbetalingen of een verschuiving van de aansprakelijkheid bij betalingen. 

Het doel was simpel: ervoor zorgen dat er veiligere betaalmethoden zouden worden ingevoerd. 

Wat houdt een succesvolle aansprakelijkheidsverschuiving dan in? Het betekent dat de transactie volgens de vereiste methode is geverifieerd en dat de uitgever, en niet de handelaar, aansprakelijk is voor verliezen als gevolg van fraude.

Hoe de aansprakelijkheidsverschuiving de verantwoordelijkheid voor betalingsfraude heeft veranderd   

De verschuiving van de aansprakelijkheid heeft niet alleen veranderd wie er voor fraude betaalt. Het heeft ook veranderd hoe het risico over de hele transactiecyclus wordt verdeeld.

Vóór deze verandering namen uitgevers de verliezen als gevolg van fraude vaak voor hun rekening, en konden transacties worden goedgekeurd zonder dat de handelaar het volledige risico droeg.

Na die wijziging is de situatie veranderd: als een transactie niet via de verwachte methode wordt geverifieerd, komt het verlies voor rekening van de handelaar, zelfs als de betaling is goedgekeurd. Daardoor ontstaat er een kloof tussen de goedkeuring door het systeem en de feitelijke situatie bij een geschil. 

Vanuit het perspectief van het systeem is de transactie geldig en geautoriseerd. Vanuit het perspectief van de kaartuitgever is de situatie eenvoudiger: de kaarthouder betwist de afschrijving. De aansprakelijkheid wordt bepaald door de mate waarin de handelaar de klant aan de transactie kan koppelen, en niet door de vraag of de betaling is goedgekeurd.

In de praktijk bepaalt de aansprakelijkheidsverschuiving welke partij financieel aansprakelijk is voor een frauduleuze transactie wanneer er geen correcte authenticatie is gebruikt, waarbij de verantwoordelijkheid wordt gelegd bij de partij met de zwakkere beveiligingsmaatregelen. 

Na de invoering van EMV nam fraude met fysieke kaarten af, terwijl onlinefraude toenam doordat aanvallers zich richtten op omgevingen zonder chipverificatie. Tegenwoordig is fraude zonder fysieke kaart verantwoordelijk voor het grootste deel van de verliezen door betalingsfraude, hoewel deze vorm van fraude een kleiner aandeel van het totale aantal transacties uitmaakt. 

Deze verandering maakte fraude niet makkelijker of moeilijker. Het zorgde er wel voor dat handelaren verantwoordelijk werden voor wat er na goedkeuring gebeurt; daarom komen veel verliezen pas later aan het licht, wanneer een voltooide transactie uitmondt in een geschil. 

Fraude met fysieke kaart versus fraude zonder fysieke kaart na de aansprakelijkheidsverschuiving

De aansprakelijkheid hangt af van de manier waarop een transactie wordt geverifieerd, en niet van het feit of deze is goedgekeurd.

De grootste impact van de verschuiving van de aansprakelijkheid bij EMV-betalingen was merkbaar op de plaatsen waar fraude plaatsvindt. In fysieke winkels zorgden chipkaarten ervoor dat fraude met vervalste kaarten afnam en dat skimming minder effectief werd, terwijl de aansprakelijkheid werd verschoven naar handelaren die nog steeds verouderde systemen gebruikten. Als gevolg daarvan daalde het aantal gevallen van fraude bij betalingen met fysieke kaarten.

Online gebeurde juist het tegenovergestelde. Transacties maken geen gebruik van chipverificatie en zijn afhankelijk van zwakkere authenticatiesignalen, waardoor ze gemakkelijker te misbruiken waren en het aantal gevallen van fraude toenam.

Hier liggen tegenwoordig de meeste lacunes op het gebied van aansprakelijkheid. Online transacties brengen meer risico’s met zich mee, en daarom komen geschillen over ongeautoriseerde transacties nog steeds vaak voor, zelfs wanneer betalingen wel zijn goedgekeurd.

Aansprakelijkheidsverschuiving bij online betalingen (3D Secure)

Bij online transacties werkt de aansprakelijkheidsverschuiving anders. In plaats van EMV is dit afhankelijk van authenticatiemethoden zoals 3D Secure (3DS). Als dit correct wordt toegepast, wordt de kaarthouder tijdens het afrekenen geverifieerd en kan de aansprakelijkheid verschuiven van de handelaar naar de kaartuitgever. Dit geldt echter alleen onder specifieke voorwaarden. 

De aansprakelijkheidsverschuiving treedt doorgaans in werking wanneer de authenticatie succesvol en volledig is afgerond. Als de transactie 3DS omzeilt, de authenticatie mislukt of niet wordt geactiveerd wanneer dat vereist is, kan de handelaar nog steeds aansprakelijk zijn. 

Zelfs wanneer de aansprakelijkheid verschuift, blijven er lacunes bestaan. De transactie kan nog steeds worden betwist, en de uitkomst hangt af van de beoordeling door de uitgever. 3D Secure vermindert het risico, maar neemt het niet volledig weg. Net als EMV biedt het bescherming op een specifiek moment tijdens de transactie. Het biedt geen oplossing voor wat er na de authenticatie gebeurt, zoals het overnemen van een account of geschillen na de aankoop.

Welke gevolgen heeft de aansprakelijkheidsverschuiving voor handelaren en betalingsverwerkers?

Voor handelaren gaat de aansprakelijkheidsverschuiving niet alleen over naleving. Het gaat om het risico. Zelfs als transacties legitiem lijken, kan de rekening gecompromitteerd zijn, kan de betaalmethode geldig zijn en kan de autorisatie worden goedgekeurd. Maar als de kaarthouder de afschrijving betwist, kan de handelaar toch aansprakelijk worden gesteld

Hier stranden de verwachtingen ten aanzien van de verschuiving van de aansprakelijkheid bij terugboekingen. Autorisatie staat niet gelijk aan bescherming, omdat goedkeuring alleen de transactie bevestigt, niet de klant die erachter zit.

Verwerkers voeren de transactie uit. Ze zorgen voor de authenticatie en de routering, maar bepalen niet wie aansprakelijk is bij een geschil. Die beslissing ligt bij de uitgever, op basis van de manier waarop de transactie is geauthenticeerd. Uitgevers beoordelen het geschil, en handelaren dragen het verlies als het bewijs ontoereikend is. Door de aansprakelijkheidsverschuiving verandert wie voor fraude betaalt. Het voorkomt niet dat er een geschil ontstaat. 

Hoe EMV-technologie frauduleuze transacties helpt voorkomen

EMV-technologie gaat fraude tegen door transacties moeilijker te kopiëren te maken. Deze technologie maakt gebruik van dynamische authenticatiecodes en verificatie via de chip, waardoor er minder afhankelijk is van statische kaartgegevens.

Deze maatregel maakt fraude met vervalste kaarten in fysieke omgevingen aanzienlijk moeilijker. Maar EMV heeft zijn beperkingen. Het biedt geen bescherming bij online transacties en voorkomt evenmin account-overnames en vriendelijke fraude. Het beveiligt de kaart, niet de rekening.

Wanneer de aansprakelijkheidsverschuiving mislukt

Aansprakelijkheidsverschuiving is alleen van toepassing onder de juiste omstandigheden. In de praktijk mislukt dit vaak. Veelvoorkomende redenen zijn onder meer het terugvallen op transacties via de magneetstrip, ontbrekende of overgeslagen authenticatie, onvolledige transactiegegevens en beslissingen van de kaartuitgever tijdens de behandeling van geschillen.

Zodra de transactie is voltooid, gaat de aansprakelijkheid weer over op de handelaar. In deze situatie ontstaan veel verliezen, niet omdat de transactie duidelijk frauduleus was, maar omdat niet aan de vereiste voorwaarden voor de aansprakelijkheidsverschuiving is voldaan.

Beste praktijken voor verkopers na de aansprakelijkheidsverschuiving

Door de verschuiving van de aansprakelijkheid is de verantwoordelijkheid veranderd. Het risico is daarmee niet verdwenen.

De meeste fraude mislukt tegenwoordig niet bij de authenticatie, maar pas nadat toegang is verleend. Daarom moeten handelaren verder kijken dan alleen de goedkeuring van de betaling en controle uitoefenen over de gehele transactiecyclus.

Vertrouw niet alleen op autorisatie. Goedgekeurde transacties kunnen nog steeds tot geschillen leiden, vooral in gevallen van account-overname en ‘vriendelijke fraude’, waarbij de betaling op zich legitiem lijkt.

Gebruik authenticatie selectief. Pas EMV en 3D Secure toe wanneer het risico dit rechtvaardigt. Overmatig gebruik van authenticatie zorgt voor extra drempels, terwijl te weinig gebruik ervan de risico’s vergroot zonder dat het aantal geschillen daadwerkelijk afneemt.

Versterk de controle na het inloggen. De meeste fraude vindt tegenwoordig plaats nadat de klant is geauthenticeerd, wanneer de sessie als betrouwbaar wordt beschouwd en acties op dat vertrouwen voortbouwen.

Houd niet alleen transacties bij, maar ook het gedrag. Fraude komt zelden voor als een op zichzelf staande gebeurtenis. Het manifesteert zich als een reeks gebeurtenissen, waarbij acties in de loop van de tijd met elkaar in verband staan.

Bereid u voor op geschillen, niet alleen op fraudepreventie. Zelfs als de aansprakelijkheid verschuift, blijven geschillen zich voordoen. Het gaat erom of u de klant op een voor de uitgever aanvaardbare manier aan de transactie kunt koppelen.

Het doel is niet om elke risicovolle transactie tegen te houden. Het is om het aantal geldige transacties te verminderen dat later tot geschillen leidt.

Kortom

De risico-overdracht heeft fraude niet uitgebannen. Het heeft wel veranderd waar het risico ligt en hoe verliezen aan het licht komen. Bij betalingen in de winkel heeft EMV de fraude met vervalste kaarten teruggedrongen. Bij online transacties is het risico toegenomen en verschoven naar de handelaren.

Een succesvolle aansprakelijkheidsverschuiving hangt af van het gebruik van de juiste authenticatie op het juiste moment. Maar de meeste verliezen zijn tegenwoordig niet het gevolg van mislukte authenticatie. Ze komen voort uit vertrouwde sessies die later tot geschillen leiden. Het is belangrijk om te weten bij wie de aansprakelijkheid ligt. Door te beheersen wat er vóór de terugvordering gebeurt, worden verliezen daadwerkelijk beperkt.