1. PSD2 (Ödeme Hizmetleri Direktifi 2) Nedir?
PSD2 (Payment Services Directive 2), Avrupa Birliği tarafından hazırlanan ve finans/ödeme sektörünü kökten değiştiren bir regülasyondur. Temel amacı ödeme ekosistemini daha yenilikçi, şeffaf, rekabetçi ve en önemlisi tüketiciler için daha güvenli hale getirmektir.
PSD2'nin getirdiği en büyük iki yenilik şunlardır:
- Açık Bankacılık (Open Banking): Bankaların, müşteri izni dahilinde müşteri verilerini üçüncü parti finansal teknoloji şirketlerine (FinTech) API'ler aracılığıyla açması zorunluluğu.
- Güvenlik ve SCA: Online dolandırıcılığı (Fraud) engellemek için işlemlerde daha katı güvenlik adımlarının yasal olarak zorunlu tutulması.
2. SCA (Güçlü Müşteri Doğrulaması) Ne Anlama Gelir?
SCA (Strong Customer Authentication - Güçlü Müşteri Doğrulaması), PSD2 direktifinin güvenlik bacağındaki en önemli maddedir. Avrupa Ekonomik Alanı (EEA) içindeki online ödemelerde, işlemin gerçekten kart sahibi tarafından yapıldığını kesin olarak doğrulamayı şart koşar.
Eskiden bir müşterinin kart üzerindeki numara, SKT ve CVV kodunu girmesi yeterliyken (çünkü bunlar kopyalanabilir verilerdir), SCA kurallarına göre artık çok faktörlü doğrulama (Multi-Factor Authentication - MFA) zorunlu hale gelmiştir.
E-ihracat yapan bir Türk e-ticaret sitesiyseniz ve Avrupalı müşterilere satış yapıyorsanız, ödeme altyapınızın SCA (Güçlü Müşteri Doğrulaması) standartlarına uyumlu olması yasal bir zorunluluktur.
3. SCA'nın 3 Temel Doğrulama Kriteri
SCA kurallarına göre, başarılı bir tahsilat için müşterinin aşağıdaki üç kategoriden en az ikisini (2) eş zamanlı olarak sağlaması ve doğrulaması gerekir:
1
Bildiği Bir Şey (Knowledge)
Sadece kullanıcının bilebileceği bir bilgidir. Şifre, PIN kodu, gizli yanıt veya cep telefonu ekran kilidi şifresi gibi verilerdir.
2
Sahip Olduğu Bir Şey (Possession)
Sadece kullanıcının sahip olduğu fiziksel bir donanımdır. Akıllı telefonu (ona gelen SMS kodu veya anlık bildirim cihazı), akıllı saati veya donanımsal token üreticisi.
3
Kendisinden Gelen Bir Özellik (Inherence)
Kullanıcının biyometrik ve değiştirilemez özellikleridir. Parmak izi okuması, yüz tanıma (Face ID), iris taraması veya ses tanıma.
Örnek: Müşterinin cep telefonuna bir bildirim gelmesi (Sahip olduğu şey) ve bu bildirimi Face ID ile onaylaması (Biyometri) SCA için yeterli bir doğrulama adımıdır.
4. E-Ticaret İşletmelerini Nasıl Etkiler?
SCA'nın devreye girmesi, e-ticaret dünyasında dolandırıcılığı dramatik şekilde düşürürken, yeni bir tehlike yarattı: Satış Kaybı (Friction).
Sepet Terk Etme Riski
Eğer altyapınız SCA sürecini iyi yönetemezse, müşteri ödeme adımında ekstra şifreler, donan anlık bildirim ekranları ve karmaşık onaylarla uğraşmak zorunda kalır. Müşteri "Bu site çok karmaşık" diyerek işlemi terk eder. Avrupa'da SCA'nın ilk uygulandığı yıllarda dönüşüm oranlarında (Conversion Rate) sert düşüşler yaşanmıştır.
Bu yüzden SCA standartlarını sağlamak için eski nesil 3D Secure 1.0 yerine, biyometrik onaya ve risk analizine izin veren 3D Secure 2.0 teknolojisi kullanılmalıdır.
5. PSD2 ve SCA İstisnaları (Muafiyetler)
Her işlemde müşteriyi çift faktörlü doğrulamaya zorlamak e-ticareti öldürürdü. Neyse ki PSD2, bazı işlemlerde SCA muafiyeti (Exemption) uygulanmasına izin veriyor. Bu sayede işletmeler işlemi şifresiz (Frictionless) olarak geçirebiliyor:
- Düşük Değerli İşlemler (Low Value Transactions): 30 Euro'nun altındaki işlemler SCA'dan muaftır. (Ancak aynı kart arka arkaya 5 kez veya toplamda 100 Euro limitine ulaşırsa SCA zorunlu olur).
- Düzenli / Tekrarlayan Ödemeler (Recurring Transactions): Netflix veya SaaS abonelikleri gibi sistemlerde, müşteri ilk ödemede SCA ile doğrulanır. Sonraki aylarda çekilen aynı tutardaki ödemelerde şifre veya onay istenmez.
- Güvenilir Yararlanıcılar (Trusted Beneficiaries - Whitelisting): Müşteri bankasına "Bu e-ticaret sitesine güveniyorum" diye bildirirse (Beyaz listeye alırsa), sonraki işlemler şifresiz gerçekleşebilir.
- Düşük Riskli İşlemler (TRA - Transaction Risk Analysis): Altyapınızın dolandırıcılık (Fraud) oranı çok düşükse ve işlem şüpheli değilse, bankalar 500 Euro'ya kadar olan işlemlerde SCA muafiyeti verebilir.
6. Dijigate ile PSD2 Uyumluluğu ve Kesintisiz Ödeme
E-ihracat operasyonlarınızda Avrupa'ya satış yaparken, hangi işlemin muafiyete tabi olacağını, hangisinde SCA (3D Secure 2.0) uygulanması gerektiğini manuel belirleyemezsiniz. Bu kurgu yanlış yapıldığında Hard Decline (Ret) alırsınız.
Dijigate Ödeme Orkestrasyonu, PSD2 standartlarına %100 uyumludur. Akıllı Kural Motoru (Rule Engine), gelen işlemi milisaniyeler içinde analiz eder. Eğer işlem 30 Euro altındaysa veya tekrarlayan bir abonelikse anında "SCA Muafiyet Bayrağı (Exemption Flag)" ekleyerek bankaya yollar ve işlemi şifresiz onaylatır. Şüpheli işlemlerde ise modern 3D Secure 2.0 akışını tetikleyerek satışı güvenceye alır.
Avrupa'ya Satışlarınızda Ödeme Redlerine Son Verin!
PSD2 uyumsuzluğu nedeniyle e-ihracatta yaşadığınız sepet terklerini ve ödeme reddini (Decline) engelleyin. Dijigate'in SCA ve Dinamik 3D optimizasyonu ile sınırları güvenle aşın.
7. Sık Sorulan Sorular (S.S.S)
SCA sadece Avrupa'da mı geçerli? Türkiye'de durum nedir?
SCA, PSD2 direktifiyle Avrupa Ekonomik Alanı'nda (EEA) yasal zorunluluktur. Ancak Türkiye'de de TCMB ve BDDK regülasyonları doğrultusunda, özellikle 3D Secure ve çok faktörlü doğrulama (SMS OTP, Biyometri) online ödemelerde standart bir güvenlik katmanı olarak aktif şekilde kullanılmaktadır.
SCA muafiyeti (Exemption) talep edersem sorumluluk (Liability) kimde kalır?
Çok kritik bir noktadır! Eğer e-ticaret sitesi olarak siz (veya orkestrasyonunuz) "Bu işlem düşük riskli, şifresiz geçsin" diye muafiyet talep ederseniz ve işlem dolandırıcılık (Fraud) çıkarsa, Chargeback zararı size yazar (Liability Shift iptal olur). Bu nedenle muafiyet kuralları çok iyi kurgulanmalıdır.
MOTO (Mail Order / Telephone Order) işlemleri SCA'ya tabi midir?
Hayır. Müşterinin kart bilgilerini telefonla okuduğu (Call Center tahsilatları vb.) MOTO işlemleri, dijital bir elektronik ödeme sayılmadığı için PSD2/SCA zorunluluklarından muaftır.

