SCA (Güçlü Müşteri Kimlik Doğrulaması) nedir?
Güçlü Müşteri Kimlik Doğrulaması (SCA), elektronik ödemelerin üç bağımsız öğeden en az ikisi kullanılarak doğrulanmasını gerektiren PSD2 şartıdır (Madde 97): bilgi (yalnızca kullanıcının bildiği — şifre, PIN), sahiplik (yalnızca kullanıcının sahip olduğu — telefon, donanım tokeni) ve içsellik (kullanıcının kendisi olduğu — parmak izi, yüz). SCA, ödeme dolandırıcılığını, özellikle kart-mevcut-değil dolandırıcılığını azaltmayı amaçlar ve SCA RTS’i (Komisyon Yetki Devri Tüzüğü 2018/389) aracılığıyla operasyonelleştirilir.
SCA ne zaman gereklidir?
- 30 Euro üzerinde çevrimiçi ödemeler (veya bazı yapılandırmalarda 50 Euro).
- Hesap erişimi çevrimiçi bankacılık veya TPP aracılığıyla.
- Hassas eylemler: yeni alıcı ekleme, transfer limitlerini artırma.
SCA istisnaları
- Düşük değer (LV): kümülatif tavanlarla 30 Euro altı.
- Güvenilen lehtarlar (TB): tüketici beyaz listeli alıcılar.
- Tekrarlayan işlemler: ilk SCA sonrası aynı tutar/aynı alıcı işlemler.
- İşlem Risk Analizi (TRA): düşük dolandırıcılık oranlı ihraççı tarafı risk skorlama değer eşiklerine kadar istisna sağlar.
- Kurumsal ödemeler: tüketici olmayan ödemeler için özel süreçler.
Dinamik bağlama
Uzaktan elektronik işlemler için SCA öğeleri kimlik doğrulamasını belirli miktar ve alıcıya dinamik olarak bağlamalıdır; böylece yakalanan bir kimlik doğrulama farklı bir işlem için yeniden oynatılamaz. Pratik etki: OTP mesajı veya push bildirimi miktarı ve satıcıyı gösterir ve cihaz onayı kriptografik olarak bağlar.
Türkiye uygulaması
BDDK ve BKM kart işlem standartları SCA-eşdeğer iki-faktörlü doğrulama kurallarını uygular; özellikle 3D Secure 2.x adopsiyonu Türk kart işlemleri için yerleşmiştir. BDDK Ödeme Hizmetleri Tebliği ve sektör pratiği müşteri risk-bazlı istisna mantığını AB modeline benzer şekilde işletir. Türk e-ticarette PSP’ler (Iyzico, Craftgate, Param) 3DS2 ve risk skorlamayı paketler.
Yapın: kart ödemeleri için 3DS 2.x uygulayın; UX ve dolandırıcılığı dengelemek için desteklenen yerlerde risk-bazlı istisna kullanın; istisna pencerelerini izleyin.
Yapmayın: sıkı kapsam ve PSP iş birliği olmadan merchant-of-record offshoring ile SCA’yı atlamaya çalışmayın — ihraççılar SCA olmayan işlemleri yine reddeder.