EU gaat tweestapsverificatie verplichten bij online betalingen, mogelijk met biometrisch data

Ondanks regelgeving blijft online betalen in de europese unie over het algemeen te onveilig, en daar moet verandering in komen. Dat is de mening van de Europese Bank-autoriteit (EBA), de instelling verantwoordelijk voor het reguleren van en het toezicht op de banksector.

De EBA heeft al enkele richtlijnen voor online betalen in voeging sinds 2013, maar die lijken in realiteit te beperkt. De ingang van nieuwe, strakkere richtlijnen staat gepland voor 2017 en 2018, wat dan weer niet snel genoeg is voor de instelling. Daarom stelde de EBA enkele nieuwe richtlijnen op die ingaan op 1 augustus 2015. Vanaf dan moeten alle zogenaamde betalingsserviceproviders aan strengere regels voldoen.

Omdat europa van regeltjes en bureaucratie houdt, specificeert de EBA zelfs wat authenticatie in meerdere stappen precies betekent: de authenticatie moet stoelen op twee of meer onafhankelijke elementen, zoals iets wat de gebruiker weet (wachtwoord), iets wat hij bezit (zoals een token), of iets wat hij is (biometrische data zoals een vingerafdruk). De elementen moeten los van elkaar staan zodat toegang tot één van de stappen nooit kan leiden tot het kraken van de tweede stap.

Tot slot benadrukte de EBA dat ook de systemen om die authenticatie uit te voeren robuust moeten zijn. Ze moeten immers de betrouwbaarheid van het systeem en de veiligheid van de ingetypte gegevens garanderen.