Die starke Kundenauthentifizierung steht vor der Tür und wird – nicht ohne Kopfzerbrechen – am 14. September 2019 eingeführt. Die bevorstehende Implementierung der SCA ist Teil der überarbeiteten Zahlungsdiensterichtlinie (PSD2), die am 18. Januar 2018 in Kraft getreten ist.
Empfohlene Lektüre Eine Erläuterung der überarbeiteten Zahlungsdiensterichtlinie (PSD2).
Was genau ist die starke Kundenauthentifizierung?
Die überarbeitete Zahlungsdiensterichtlinie (PSD2) sieht vor, dass Zahlungen sicherer gemacht werden und Plattformen für die Integration offen sein müssen. Die SCA bezieht sich insbesondere auf die Art und Weise, wie Zahlungen sicherer gemacht werden. Ab dem 14. September müssen Online-Käufer ihre Identität durch die Angabe von zwei der drei erforderlichen Elemente verifizieren:
- Etwas, das sie wissen (Passwort, PIN, geheime Information)
- Etwas, das sie besitzen (Telefon, Wearable, Hardware-Token)
- Etwas, das sie sind (Fingerabdruck-ID, Gesichts-ID, Stimm-ID, Netzhautscan)
Bislang war das Standardwerkzeug zur Überprüfung der Authentizität von Online-Transaktionen das 3D Secure 1.0 System (3DS1). Um diese stärkere Form der Authentifizierung zu ermöglichen, war ein Update des 3D Secure Systems von 1.0 auf 2.0 erforderlich. Daher übernehmen die Kartenorganisationen nun, zusammen mit der Einführung der SCA, 3DS2, um die SCA besser zu erfüllen.
Verlieren Sie sich nicht im Akronym-Dschungel. Es wird ziemlich klar, sobald Sie sehen, wie alles zusammenhängt:
- PSD2 ⇒ Eine Richtlinie, die das allgemeine Ziel von Open Banking, Datenaustausch und Sicherheit umreißt.
- SCA ⇒ Eine Anforderung der PSD2, die besagt, dass zwei von drei Elementen für die Authentifizierung erforderlich sind
- 3DS2 ⇒ Das Authentifizierungstool, das die Einhaltung der SCA ermöglicht
SCA führt zu Reibungsverlusten und beeinträchtigt die Konversionsrate
Was bedeutet SCA also für Unternehmen? SCA ist großartig, weil es Zahlungen sicherer macht und Unternehmen im Kampf gegen Betrug einen Vorteil verschafft. Sie müssen sich jedoch der Nachteile bewusst sein. SCA erschwert das Einkaufserlebnis. Nutzer hatten sich gerade an das Online-Shopping gewöhnt, und jetzt müssen sie neue Tricks lernen, wie die Verwendung von Biometrie beim Bezahlvorgang. Es gibt keine Möglichkeit, dies zu umgehen. Europäische Banken werden Zahlungen ablehnen müssen, die den SCA-Standard nicht erfüllen.
Während wir auf 3DS2 warten, werfen wir einen Blick auf 3DS1. Im April 2019 veröffentlichte Ravelin einen schockierenden Bericht über die Auswirkungen von 3D Secure. Nach der Analyse von Millionen globaler Geschäftstransaktionen stellten sie fest, dass 22 % der Zahlungen verloren gingen infolge der Nutzung von 3DS.
Eine Studie von 451 Research deutet darauf hin, dass der europäischen Wirtschaft voraussichtlich 57 Milliarden Euro in den ersten zwölf Monaten nach Inkrafttreten der SCA entgehen werden.
SCA-Ausnahmen
Glücklicherweise gibt es verschiedene Ausnahmen von der Regel. Die gängigsten sind die folgenden:
Transaktionen (teilweise) außerhalb des EWR
Damit SCA auf internationale Transaktionen angewendet werden kann, müssen sich beide Länder (das des Nutzers und das des Verkäufers) innerhalb des EWR befinden. Mit anderen Worten, eine Transaktion zwischen einem Nutzer in den USA und einer deutschen E-Commerce-Website ist von der SCA ausgenommen. Einige europäische Banken könnten sich jedoch dafür entscheiden, SCA trotzdem anzuwenden.
PSD2, DSGVO, SCA usw. werden oft als europäisch bezeichnet. Europa ist jedoch nicht gleichbedeutend mit der Europäischen Union, und die Union umfasst es auch nicht vollständig. SCA gilt für alle Unternehmen, die im Europäischen Wirtschaftsraum (EWR) tätig sind. Das sind die Europäische Union, plus Island, Liechtenstein und Norwegen. Beachten Sie, dass die Schweiz nicht Teil des EWR ist.
Geringer Transaktionswert
Darüber hinaus sind Transaktionen mit einem Wert unter 30 € von der SCA ausgenommen.
Geringes Transaktionsrisiko
Emittierende Banken oder Acquirer können auf Basis einer Transaktionsrisikoanalyse (TRA) eine Ausnahme für risikoarme Zahlungen beantragen. Um für die Ausnahme in Betracht gezogen zu werden, müssen die Betrugsraten für Fernkartenzahlungen zwischen einem und sechs Basispunkten liegen.
Vertrauenswürdige Empfänger
Nach Abschluss einer Zahlung mit SCA können Nutzer zunehmend vertrauenswürdige Händler auf eine Whitelist setzen. Beim nächsten Einkauf wird SCA dann umgangen. Die Whitelist-Funktion wird sich weiter verbreiten, sobald mehr Kartenherausgeber sie unterstützen.
Ausgeschlossen / Außerhalb des Geltungsbereichs
Die folgenden Transaktionen sind von SCA ausgenommen, da sie nicht in den Geltungsbereich der Verordnung fallen:
- MOTO: Transaktionen, die telefonisch oder per Post getätigt werden.
- MIT: Händlerinitiierte Transaktionen (MIT) wie wiederkehrende Zahlungen oder Abonnements.
Reibungsloser Ablauf und Haftungsverschiebung bei Rückbuchungen
Die Zahlungsdiensterichtlinie (PSD2) enthält Bestimmungen, die es Händlern ermöglichen, die Auswirkungen von SCA auf das Kundenerlebnis abzumildern. Eine solche Bestimmung ist der „reibungslose Ablauf“ (Frictionless Flow).
Der reibungslose Ablauf ermöglicht es, SCA-Maßnahmen zu umgehen. Mit anderen Worten, berechtigte Händler können ihren Kunden ein Einkaufserlebnis ohne zusätzliche Reibungspunkte bieten.
Der reibungslose Ablauf kann nur auf Transaktionen angewendet werden, die bestimmte Kriterien erfüllen: die Höhe des Einkaufs im Verhältnis zur Betrugsrate des Händlers (Acquirer).
Zum Beispiel ist bei Transaktionen bis zu 100 € ein reibungsloser Ablauf nur zulässig, wenn die Betrugsrate weniger als 0,13 % beträgt. Bei Transaktionen bis zu 250 € und 500 € liegt die Obergrenze der Betrugsrate bei 0,06 % bzw. 0,01 %.
Der reibungslose Ablauf ist für berechtigte Händler sehr vorteilhaft, da er das Risiko von Warenkorbabbrüchen minimiert. Allerdings haftet der Händler für alle Rückbuchungen, die durch den reibungslosen Ablauf entstehen.
Dennoch gibt es eine Ausnahme. Wenn eine ausstellende Bank einer Transaktion nicht vertraut und den reibungslosen Ablauf verweigert, wird dem Verbraucher eine Authentifizierungsaufforderung präsentiert. Besteht der Verbraucher diese Herausforderung, verschiebt sich die Haftung für die Rückbuchung auf die ausstellende Bank.
Zusätzlicher Hintergrund
Sich in der sich ständig weiterentwickelnden Landschaft der Online-Zahlungen zurechtzufinden, erfordert von Unternehmen und Verbrauchern, über wichtige Entwicklungen in der Zahlungssicherheit informiert zu bleiben. Ein solcher kritischer Bereich ist die Einhaltung der von der Europäischen Bankenaufsichtsbehörde vorgeschriebenen Anforderungen an die starke Kundenauthentifizierung. Diese Standards wirken sich sowohl auf den Betrieb von Zahlungsdienstleistern als auch auf die Benutzerinteraktionen aus, insbesondere bei der Nutzung mobiler Geräte.
Für jeden Zahlungsdienstleister ist es entscheidend, stets über die Vorschriften auf dem Laufenden zu bleiben. Sie müssen Sicherheitsmaßnahmen ergreifen, die einen robusten Authentifizierungsprozess gewährleisten. Beispielsweise stellt die Generierung eines eindeutigen Authentifizierungscodes für jede Transaktion die Gültigkeit jeder Zahlung sicher. Darüber hinaus müssen Zahlungsdienstleister Authentifizierungsanfragen angemessen bearbeiten, um reibungslose und sichere Transaktionen zu gewährleisten.
Elektronische Zahlungen über mobile Geräte erfordern besondere Aufmerksamkeit, da mobile Kanäle oft einzigartigen Sicherheitsherausforderungen gegenüberstehen. Ob private oder geschäftliche Zahlungen, Endnutzer verlassen sich stark auf ihr Mobiltelefon, um Komfort zu gewährleisten. Das bedeutet, dass Zahlungsabwickler Maßnahmen implementieren müssen, die die Sicherheit dieser Plattformen gewährleisten.
Zusammenfassend lässt sich sagen, dass das Verständnis der sich entwickelnden Landschaft der Zahlungssicherheit für Verbraucher und Unternehmen gleichermaßen von entscheidender Bedeutung ist. Durch die Einhaltung der von der Europäischen Bankenaufsichtsbehörde festgelegten Anforderungen an die starke Kundenauthentifizierung können Unternehmen weiterhin sichere und reibungslose Zahlungserlebnisse anbieten.
Was können Unternehmen tun, um die Auswirkungen abzumildern?
Letztendlich beeinflussen Konversionen Ihr Geschäftsergebnis. Es ist von größter Bedeutung, dass Besucher ihre Käufe wie beabsichtigt abschließen, unabhängig von den neuen Authentifizierungsmaßnahmen. Dazu ist es am besten, offen damit umzugehen.
Stehen Sie dazu. Informieren Sie Ihre Nutzer, dass Sie stolz darauf sind, ein sicheres Einkaufserlebnis zu bieten. Sagen Sie Ihren Kunden, dass der Checkout so sicher wie möglich ist, weil Sie die neuesten Standards einhalten. Vor allem: Informieren Sie sie frühzeitig, warten Sie nicht, bis sie sich im Checkout-Prozess befinden.
Bestimmte Zahlungsmethoden sind intrinsisch (an sich) SCA-sicher, zum Beispiel Apple Pay und Google Pay. Beide kombinieren bereits die Elemente EIGEN und SIND. Die Verwendung einer Zahlungsmethode wie Apple Pay reduziert daher automatisch die wahrgenommene Reibung.
Schließlich ist es das Beste, was Sie tun können, sich mit einem Experten im Bereich Zahlungen zusammenzuschließen. Sie sind sich nicht sicher, ob Ihre Zahlungstransaktionen dem SCA-Standard entsprechen? Suchen Sie einen Partner, der lokale Zahlungsmethoden anbietet, die Europäer lieben und denen sie vertrauen? Alphacomm kann helfen. Kontaktieren Sie uns!
Fragen? Kontaktieren Sie uns!
Für weitere Informationen oder Anfragen zur starken Kundenauthentifizierung (SCA) können Sie uns gerne kontaktieren.
