PSD2: Wie Sie Ihr Unternehmen für starke Kundenauthentifizierung bereit machen

Die überarbeitete Zahlungsdienstrichtlinie (PSD2) ist eine EU-Richtlinie, die Banking- und Zahlungsvorgänge von Grund auf verändern wird. Die Payment Services Directive (PSD) wurde im Jahr 2007 mit dem Ziel eines einheitlichen Markts für den Zahlungsverkehr in der EU vorgestellt. Durch sie wurde die Zahlungsabwicklung erheblich erleichtert und klare Regeln und Bestimmungen für Zahlungsdienste in der EU aufgestellt, d. h. auch, dass sich alle Unternehmen, die Zahlungen in Europa tätigen, der Existenz dieser Richtlinie bewusst sein müssen. Da die neue Regelung bereits in Kraft tritt, ist für viele Unternehmen die Zeit gekommen, entsprechende Maßnahmen zu ergreifen, sofern dies noch nicht geschehen ist.
Warum es PSD2 gibt
Die PSD trat 2009 in Kraft und reguliert bis heute elektronische und bargeldlose Zahlungen im Europäischen Wirtschaftsraum, dem neben der Europäische Union auch die Länder Island, Norwegen und Liechtenstein angehören. Für die europäische Wirtschaft bieten die Bestimmungen große Vorteile: Zahlungen innerhalb der EU können beispielsweise schneller durchgeführt werden, Verbraucher profitieren von mehr Informationen und Transparenz. Außerdem wird das Anrecht auf Rückerstattungen gestärkt, und vieles mehr. Im Jahr 2013 veröffentlichte die Europäische Kommission einen Antrag auf eine Neufassung der PSD, heute bekannt als PSD2. Zu den Zielen von PSD2 gehören der Verbraucherschutz über alle Zahlungsarten hinweg und die Schaffung einer offeneren, wettbewerbsfähigen Payment-Landschaft in Europa.
Was ist starke Kundenauthentifizierung?
Zum besseren Schutz des Kunden bei Onlinezahlungen fordert die PSD2 mehr Sicherheit und führt eine „Strong Customer Authentification“ (SCA), also eine starke Kundenauthentifizierung – auch Zwei-Faktor-Authentifizierung genannt – ein. Wenn ein Käufer eine Zahlung tätigt, sind zusätzliche Authentifizierungsstufen erforderlich. Damit die neuen EU-Standards unter PSD2 erfüllt werden, hat die Branchenvereinigung EMVCo das erweiterte Sicherheitsprotokoll 3D-Secure 2 (3DS2) entwickelt. Möglicherweise sind Sie vom Onlineshopping mit dem Prozess der Tätigung einer Onlinezahlung und der Weiterleitung auf eine neue Seite zur Eingabe eines Codes vertraut. Dabei handelt es sich um 3D Secure 1, das sicherstellt, dass Sie auch wirklich der sind, für den Sie sich online ausgeben.
SCA ist mehr als nur die Eingabe eines Passworts. Die Authentifizierung basiert auf zwei von drei Elementen mit unterschiedlichen Eigenschaften:
Wie der Name schon andeutet, verlangt die sogenannte “Strong-Customer-Authentification”, kurz SCA, eine zusätzliche Authentifizierungsstufe bei Onlinezahlungen.
Vorteile für Händler und Verbraucher
3D Secure 2 erneuert das 3D Secure 1 Sicherheitsverfahren um eine "reibungslose Authentifizierung". Die Zeiten, als Kunden nur ein Passwort eingeben mussten, sind also vorbei. Händler müssen demzufolge ihren Onlineshop technisch für den neuen 3DS Verlauf rüsten und die Zahlungsaufforderung (payment request) entsprechend anpassen. Da dies nicht von heute auf morgen möglich ist, sollten sie lieber früher als später damit anfangen.
Dynamik im Bezahlvorgang
Beim Vorgänger 3DS1 wurden Kreditkartennutzer beim Bezahlvorgang zunächst auf eine Seite der kartenausgebenden Bank weitergeleitet und dann aufgefordert, dort ein Passwort einzugeben. Die Folgen waren, dass Kunden ihr Passwort vergessen oder, irritiert von der Weiterleitung, den Kaufvorgang abgebrochen haben. Der Bezahlvorgang mit Sicherheitsanfrage unter 3DS2 spielt sich ganz auf der Händlerseite ab und statt sich ein Passwort merken zu müssen, hat der Kunde nun die Möglichkeit, mit seinem Fingerabdruck oder sogar seinem Lächeln zu zahlen.
Verstärkter Schutz gegen Betrug
Noch immer herrscht die Sorge vor Betrug und Missbrauch der eigenen Kartendaten bei Online-Shoppern vor. Das Sicherheitsprotokoll 3DS2 kann im Hintergrund der Vorgänge bis zu 100 Datenpunkte sammeln und senden, sodass die kartenausgebenden Banken das Transaktionsrisiko besser bewerten können. Daten können beispielsweise Informationen wie die Adresse des Kreditkarteninhabers (Versand, Rechnungsstellung, E-Mail), die Geräte ID oder die Sprache des Browsers des Kunden sein. 3DS2 verlangt weniger proaktiven Einsatz der Kunden, d. h. weniger Transaktionen müssen manuell vom Kunden bestätigt werden, und begrenzt gleichzeitig die Risiken im Transaktionsprozess auf ein Minimum.
Chance für Mobile Payment
Weltweit kaufen immer mehr Kunden über mobile Kanäle ein, wodurch mobile Zahlungen rasant zunehmen. Wer auf dem Smartphone bezahlt, will vor allem eines: reibungslose und sichere Bezahlvorgänge. Wo 3DS1 nur browserbasierte Transaktionen unterstützte, ermöglicht die Funktionsweise von 3DS2 die Authentifizierung für in-App-Käufe und unterstützt so die komfortable Nutzung von Mobile Payment, etwa durch biometrische Authentifizierung wie z. B. mittels Fingerabdruck. Im nachfolgenden Video zeigt der Onlinehändler Zalando, wie es PSD2 erfolgreich umsetzt:
Alle Vorteile von 3DS2 für Kunden wirken sich rückwirkend natürlich auf den Handel aus
Der dynamische und benutzerfreundliche Prozess der Zahlungsabwicklung mit 3DS2 verbessert die grundsätzliche Customer Experience im Vergleich zu seinem Vorgänger. Dank mehr verfügbaren Datenpunkten und der Möglichkeit, Regeln für Prüfungen festzulegen, können Händler bessere Authorisierungsentscheidungen treffen. Zu gewährleisten, dass Kunden beim Bezahlen im Internet sicher sind, gehört zu den wichtigsten Dingen, auf die Händler achten sollten. Durch den Einsatz des Sicherheitsverfahrens liegt die Verantwortung im Betrugsfall nicht mehr beim Händler, sondern bei der kartenausgebenden Bank. Diese Verschiebung des Risikos wird Haftungsumkehr (Liability-Shift) genannt. Mit der Umsetzung von PSD2 muss der Großteil der Onlinetransaktionen über 3DS2 abgesichert werden, so dass viele Händler von der Haftungsumkehr profitieren können.
Die wichtigsten Ausnahmen
Wo es Regeln gibt, gibt es auch Ausnahmen. Bei SCA zählen dazu beispielsweise Transaktionen unter einem Wert von 30 Euro. Auch Transaktionen mit geringem Risiko sind von SCA ausgenommen. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenausstellers und des Acquirers, der die Transaktion abwickelt. Die ausstellende Bank behält jedoch den Überblick über die Höhe der geleisteten Zahlungen. Wenn der Gesamtbetrag der innerhalb von 24 Stunden ohne starke Authentifizierung auf der Karte versuchten Zahlungen höher ist als 100€, wird SCA benötigt. Händler fragen die Ausnahmen pro Transaktion an. Die Entscheidungsgewalt, ob diese gewährt werden, liegt dennoch bei der kartenausgebenden Bank (Issuer) – auch für Transaktionen unter dem Schwellenwert von 30€. Auch bei den Ausnahmen gibt es also Regeln zu beachten. Händler sollten deshalb jederzeit darauf vorbereitet sein, dass eine Authentifizierung verlangt wird.
Abonnements und wiederkehrende Zahlungen fallen – ab der zweiten Zahlung – nicht unter SCA. Der Transaktionswert muss aber für diese Zahlungen der gleiche bleiben. Dies stellt natürlich eine Herausforderung für wiederkehrende Transaktionen mit wechselnden Beträgen dar, etwa wenn die Kosten für eine Mitgliedschaft mit der Zeit steigen. Doch auch hier gibt es eine gute Nachricht: Die Regulierungsbehörden haben bestätigt, dass vom Händler initiierte Transaktionen (Merchant Initiated Transactions: MIT) nicht in den Anwendungsbereich der SCA-Anforderungen im Rahmen der PSD2 fallen und somit nicht der Entscheidung des Issuers unterliegen. Da die meisten wiederkehrenden Transaktionen vom Händler und nicht vom Karteninhaber initiiert werden, bedeutet dies, dass die meisten Abonnementzahlungen nach der ersten initialen Transaktion nicht weiter auf SCA angewiesen sind. Weitere Ausnahmen sind MOTO-Transaktionen, also Bestellungen per E-Mail, Post, Telefon oder Fax und B2B Transaktionen. Sollte der Shopper den Händler bei seinem Issuer whitelisten, so gibt es die Chance, dass für weitere Käufe keine SCA abgefragt wird. Interregionale Transaktionen, bei denen der Issuer oder der Acquirer der Karte nicht in Europa ansässig ist, sind ebenfalls ausgenommen. Allerdings ist abzusehen, dass 3DS2 zum weltweiten Standard wird.
Fristaufschub – was nun?
In den letzten Wochen haben eine Reihe nationaler Finanzaufsichtsbehörden in Europa zusätzliche Zeit angekündigt, um ihre Märkte auf die PSD2-Durchsetzung vorzubereiten.
Die folgenden Länder haben ihre Aufsichtsbehörden die Umsetzung der PSD2-Richtlinie offiziell ausweiten lassen: Österreich, Deutschland, Irland, Italien, Malta, Niederlande, Großbritannien. Es wird erwartet, dass eine Reihe anderer Länder noch vor dem 14. September Verzögerungen bei der Umsetzung bekannt geben werden. Andere Länder haben möglicherweise keine formelle Ankündigung, sondern verlassen sich auf die informelle Kommunikation mit den Issuern. Es wird erwartet, dass eine Reihe von Ländern, wie beispielsweise Dänemark, am 14. September die Durchsetzung vorantreiben wird. Aus diesem Grund müssen Händler noch darauf vorbereitet sein, Transaktionen für diese Länder zu authentifizieren.
Da vor dem 14. September keine europaweite Verzögerung erwartet wird, erscheint ein fragmentierter Rollout mit verschiedenen Banken, die SCA zu unterschiedlichen Zeiten benötigen, wahrscheinlich. Händler sind gut beraten, sich schnellstmöglich in Gespräche mit ihren Payment-Partnern zu begeben, um für ihr Geschäftsmodell herauszufinden, wann SCA benötigt wird und von welchen Ausnahmen profitiert werden kann.

Autor
Alexa von Bismarck ist Country Managerin von Adyen Deutschland und seit 2013 für das Unternehmen tätig. Adyen ist die Zahlungsplattform der Wahl weltweit führender Unternehmen. Als einziger Anbieter einer modernen End-to-End-Infrastruktur, die Händler direkt mit Visa, Mastercard sowie weltweit von Verbrauchern bevorzugten Zahlungsmethoden verbindet, bietet Adyen reibungslose Zahlungsabläufe – online, auf Mobilgeräten und am Point-of-Sale. Zum Kundenkreis von Adyen gehören unter anderem Facebook, Zalando, Spotify, Mango, Flixbus, Robert Bosch GmbH, CTS Eventim und L'Oréal.
www.linkedin.com/in/alexa-von-bismarck-adyen/