Online winkelen zonder soft declines

Kent u het probleem waarbij transacties in uw online winkel worden afgewezen? Een van de grootste problemen waarmee handelaren worden geconfronteerd wanneer ze hun online activiteiten PSD2-conform willen maken, is de omgang met zogenaamde soft declines. Een dergelijke afwijzing kan zich voordoen wanneer de kaartuitgever vaststelt dat de autorisatie niet voldoet aan de voorschriften van PSD2 met betrekking tot de eisen om de betaling te authenticeren met behulp van SCA-mechanismen (SCA staat voor Strong Customer Authentication).

Soft declines treffen vooral handelaren die geen gebruik maken van de standaardintegratie (Saferpay Payment Page), evenals handelaren die nog geen 3-D Secure-contract hebben.

In dit blogartikel leert u wat de oorzaak is van dergelijke transactie-afwijzingen, waarom uw klanten zich moeten authenticeren en hoe u deze soft declines kunt voorkomen.

Ter herinnering: Niet elke transactie vereist SCA. Dit is een overzicht van situaties waarin SCA niet nodig is:

• De betaling wordt uitgevoerd via een post- of telefoonorder (MOTO), bv. via een callcenter.
• De betaling wordt uitgevoerd door de handelaar zonder tussenkomst van de consument. Het gaat daarbij om zogenaamde Merchant-Initiated Transactions (MIT), bv. voor abonnementsgelden of vergoedingen op basis van gebruik.
• Door de uitgever van de kaart te verzoeken om de betaling vrij te stellen van SCA, neemt de handelaar de aansprakelijkheid voor fraude op zich. Dat kan door zelf het betalingsrisico in te schatten volgens een risicobeoordelingsproces dat in de PSD2-verordening is uiteengezet.
  

Wanneer geen van bovenstaande mogelijkheden van toepassing is – met name wanneer handelaars niet bereid zijn de aansprakelijkheid voor fraude op zich te nemen – moet de betaling door de klant worden geauthenticeerd.

Een krachtig instrument om de conversie te verbeteren is zogenaamde frictionless authentication. Hiermee kunnen kaartuitgevers het betalingsrisico beoordelen door de details van de betaling en de webbrowsergegevens te controleren en deze te vergelijken met de gegevens in hun grote transactiedatabanken. Vinden ze het risico aanvaardbaar, dan kunnen zij de handelaar toestaan om de SCA-stap over te slaan. Alle gegevens die door de uitgever van de kaart worden gebruikt om het risico te beoordelen, worden verstrekt zonder tussenkomst van de consument. Dit voorkomt bijkomende problemen tijdens het afrekeningsproces. Het interessantste is allicht dat de kaartuitgever in dat geval de aansprakelijkheid voor fraude op zich neemt.

Hoewel dit de betalingsconversie sterk verbetert, is het niet geschikt voor het initiëren van reguliere of repeterende betalingen. PSD2 vereist dat bij het initiëren van deze betalingen – d.w.z. bij de eerste betaling – de betaling aan een volledige SCA wordt onderworpen. Een zogenaamde frictionless authentication volstaat niet omdat de kaarthouder de handelaar uitdrukkelijk het recht moet verlenen om hem kosten aan te rekenen telkens wanneer de reden voor een volgende reguliere betaling zich voordoet.

De wervende bank geeft met de specifieke responscode "1A" aan dat er zich een soft decline voordeed. Deze responscode is terug te vinden in het logboek van mislukte transacties in de Saferpay Backoffice.

Wanneer u de JSON API gebruikt om Saferpay in uw toepassing te integreren, ontvangt u bovendien de specifieke ErrorName-waarde "PAYER_AUTHENTICATION_REQUIRED". Een foutrespons van de JSON API als gevolg van een soft decline ziet er als volgt uit:

Om uw klanten in staat te stellen hun betalingen te authenticeren, moet u 3-D Secure (3DS) gebruiken. Zorg ervoor dat de terminal die u gebruikt voor betalingen door klanten is geactiveerd voor 3DS. Om dit te controleren, logt u in op de Saferpay Backoffice, gaat u naar "Settings > Payment Means / Terminals" en selecteert u de relevante terminal in de vervolgkeuzelijst als u meer dan één terminal gebruikt. Het vinkje in de 3DS-kolom geeft aan dat 3DS geactiveerd is.

Ziet u daar geen vinkje? Neem contact op met onze klantendienst of uw accountmanager om u te helpen met de activering van 3DS.

Aangezien reguliere betalingen met volledige SCA moeten worden geïnitialiseerd, moet authenticatie in deze situaties worden afgedwongen:

• Aanmaken van een SCD-alias (SCD staat voor Secure Card Data) die zal worden gebruikt voor betalingen in de toekomst. SCD-aliassen kunnen alleen worden aangemaakt door een kaart te registreren of in het kader van een betaling door een klant. In beide gevallen is een volledige SCA nodig om PSD2-conforme, door de handelaar gestarte transacties tot stand te kunnen brengen. Zoals eerder gezegd volstaat zogenaamde frictionless authentication niet. Om ervoor te zorgen dat een volledige SCA plaatsvindt, moet deze dus expliciet worden verplicht. Zie onze Integratiegids voor details.
• Een terugkerende betaling initiëren op basis van een vast schema (bv. abonnementsgelden). De initiële betaling moet volledig worden geauthenticeerd om volgende, terugkerende transacties te kunnen aanmaken die PSD2-conform zijn. Dit moet eveneens expliciet worden afgedwongen, net zoals dit voor het registreren van kaartaliassen het geval is. Zie onze Integratiegids voor details.

Wanneer u uw klant in het kader van het afrekeningsproces doorstuurt naar de betaalstap, is authenticatie vereist. Wanneer handelaren echter bereid zijn de aansprakelijkheid voor fraude op zich te nemen om zo een betere gebruikerservaring te bieden en een grotere orderconversie te realiseren, kunnen zij onder bepaalde voorwaarden een vrijstelling van authenticatie aanvragen. Het is belangrijk op te merken dat handelaren de goedkeuring van de wervende bank nodig hebben om vrijstellingen aan te vragen. Deze vrijstellingen kunnen immers van invloed zijn op het fraudeniveau van de handelaar zoals bepaald door de wervende bank.

Het is belangrijk om de authentificatie niet zomaar over te slaan maar uitdrukkelijk een vrijstelling aan te vragen. Anders wordt de autorisatie geweigerd met een soft decline.

Het omgaan met soft declines kan moeilijk zijn. Toch biedt 3-D Secure 2 uitstekende nieuwe mogelijkheden om het juiste evenwicht te vinden tussen frauderisico en hogere conversie en bovendien een betere gebruikerservaring in vergelijking met zijn voorganger, waardoor het extra de moeite waard is.