Wie der Name schon andeutet, verlangt die sogenannte “Strong-Customer-Authentification”, kurz SCA, eine zusätzliche Authentifizierungsstufe bei Onlinezahlungen. 

Vorteile für Händler und Verbraucher

3D Secure 2 erneuert das 3D Secure 1 Sicherheitsverfahren um eine "reibungslose Authentifizierung". Die Zeiten, als Kunden nur ein Passwort eingeben mussten, sind also vorbei. Händler müssen demzufolge ihren Onlineshop technisch für den neuen 3DS Verlauf rüsten und die Zahlungsaufforderung (payment request) entsprechend anpassen. Da dies nicht von heute auf morgen möglich ist, sollten sie lieber früher als später damit anfangen. 

Dynamik im Bezahlvorgang

Beim Vorgänger 3DS1 wurden Kreditkartennutzer beim Bezahlvorgang zunächst auf eine Seite der kartenausgebenden Bank weitergeleitet und dann aufgefordert, dort ein Passwort einzugeben. Die Folgen waren, dass Kunden ihr Passwort vergessen oder, irritiert von der Weiterleitung, den Kaufvorgang abgebrochen haben. Der Bezahlvorgang mit Sicherheitsanfrage unter 3DS2 spielt sich ganz auf der Händlerseite ab und statt sich ein Passwort merken zu müssen, hat der Kunde nun die Möglichkeit, mit seinem Fingerabdruck oder sogar seinem Lächeln zu zahlen. 

Verstärkter Schutz gegen Betrug

Noch immer herrscht die Sorge vor Betrug und Missbrauch der eigenen Kartendaten bei Online-Shoppern vor. Das Sicherheitsprotokoll 3DS2 kann im Hintergrund der Vorgänge bis zu 100 Datenpunkte sammeln und senden, sodass die kartenausgebenden Banken das Transaktionsrisiko besser bewerten können. Daten können beispielsweise Informationen wie die Adresse des Kreditkarteninhabers (Versand, Rechnungsstellung, E-Mail), die Geräte ID oder die Sprache des Browsers des Kunden sein. 3DS2 verlangt weniger proaktiven Einsatz der Kunden, d. h. weniger Transaktionen müssen manuell vom Kunden bestätigt werden, und begrenzt gleichzeitig die Risiken im Transaktionsprozess auf ein Minimum.

Chance für Mobile Payment

Weltweit kaufen immer mehr Kunden über mobile Kanäle ein, wodurch mobile Zahlungen rasant zunehmen. Wer auf dem Smartphone bezahlt, will vor allem eines: reibungslose und sichere Bezahlvorgänge. Wo 3DS1 nur browserbasierte Transaktionen unterstützte, ermöglicht die Funktionsweise von 3DS2 die Authentifizierung für in-App-Käufe und unterstützt so die komfortable Nutzung von Mobile Payment, etwa durch biometrische Authentifizierung wie z. B. mittels Fingerabdruck. Im nachfolgenden Video zeigt der Onlinehändler Zalando, wie es PSD2 erfolgreich umsetzt: 

Alle Vorteile von 3DS2 für Kunden wirken sich rückwirkend natürlich auf den Handel aus

Der dynamische und benutzerfreundliche Prozess der Zahlungsabwicklung mit 3DS2 verbessert die grundsätzliche Customer Experience im Vergleich zu seinem Vorgänger. Dank mehr verfügbaren Datenpunkten und der Möglichkeit, Regeln für Prüfungen festzulegen, können Händler bessere Authorisierungsentscheidungen treffen. Zu gewährleisten, dass Kunden beim Bezahlen im Internet sicher sind, gehört zu den wichtigsten Dingen, auf die Händler achten sollten. Durch den Einsatz des Sicherheitsverfahrens liegt die Verantwortung im Betrugsfall nicht mehr beim Händler, sondern bei der kartenausgebenden Bank. Diese Verschiebung des Risikos wird Haftungsumkehr (Liability-Shift) genannt. Mit der Umsetzung von PSD2 muss der Großteil der Onlinetransaktionen über 3DS2 abgesichert werden, so dass viele Händler von der Haftungsumkehr profitieren können. 

Die wichtigsten Ausnahmen 

Wo es Regeln gibt, gibt es auch Ausnahmen. Bei SCA zählen dazu beispielsweise Transaktionen unter einem Wert von 30 Euro. Auch Transaktionen mit geringem Risiko sind von SCA ausgenommen. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenausstellers und des Acquirers, der die Transaktion abwickelt. Die ausstellende Bank behält jedoch den Überblick über die Höhe der geleisteten Zahlungen. Wenn der Gesamtbetrag der innerhalb von 24 Stunden ohne starke Authentifizierung auf der Karte versuchten Zahlungen höher ist als 100€, wird SCA benötigt. Händler fragen die Ausnahmen pro Transaktion an. Die Entscheidungsgewalt, ob diese gewährt werden, liegt dennoch bei der kartenausgebenden Bank (Issuer) – auch für Transaktionen unter dem Schwellenwert von 30€. Auch bei den Ausnahmen gibt es also Regeln zu beachten. Händler sollten deshalb jederzeit darauf vorbereitet sein, dass eine Authentifizierung verlangt wird. 

Abonnements und wiederkehrende Zahlungen fallen – ab der zweiten Zahlung – nicht unter SCA. Der Transaktionswert muss aber für diese Zahlungen der gleiche bleiben. Dies stellt natürlich eine Herausforderung für wiederkehrende Transaktionen mit wechselnden Beträgen dar, etwa wenn die Kosten für eine Mitgliedschaft mit der Zeit steigen. Doch auch hier gibt es eine gute Nachricht: Die Regulierungsbehörden haben bestätigt, dass vom Händler initiierte Transaktionen (Merchant Initiated Transactions: MIT) nicht in den Anwendungsbereich der SCA-Anforderungen im Rahmen der PSD2 fallen und somit nicht der Entscheidung des Issuers unterliegen. Da die meisten wiederkehrenden Transaktionen vom Händler und nicht vom Karteninhaber initiiert werden, bedeutet dies, dass die meisten Abonnementzahlungen nach der ersten initialen Transaktion nicht weiter auf SCA angewiesen sind. Weitere Ausnahmen sind MOTO-Transaktionen, also Bestellungen per E-Mail, Post, Telefon oder Fax und B2B Transaktionen. Sollte der Shopper den Händler bei seinem Issuer whitelisten, so gibt es die Chance, dass für weitere Käufe keine SCA abgefragt wird. Interregionale Transaktionen, bei denen der Issuer oder der Acquirer der Karte nicht in Europa ansässig ist, sind ebenfalls ausgenommen. Allerdings ist abzusehen, dass 3DS2 zum weltweiten Standard wird. 

Fristaufschub – was nun?

In den letzten Wochen haben eine Reihe nationaler Finanzaufsichtsbehörden in Europa zusätzliche Zeit angekündigt, um ihre Märkte auf die PSD2-Durchsetzung vorzubereiten.

Die folgenden Länder haben ihre Aufsichtsbehörden die Umsetzung der PSD2-Richtlinie offiziell ausweiten lassen: Österreich, Deutschland, Irland, Italien, Malta, Niederlande, Großbritannien. Es wird erwartet, dass eine Reihe anderer Länder noch vor dem 14. September Verzögerungen bei der Umsetzung bekannt geben werden. Andere Länder haben möglicherweise keine formelle Ankündigung, sondern verlassen sich auf die informelle Kommunikation mit den Issuern. Es wird erwartet, dass eine Reihe von Ländern, wie beispielsweise Dänemark, am 14. September die Durchsetzung vorantreiben wird. Aus diesem Grund müssen Händler noch darauf vorbereitet sein, Transaktionen für diese Länder zu authentifizieren.

Da vor dem 14. September keine europaweite Verzögerung erwartet wird, erscheint ein fragmentierter Rollout mit verschiedenen Banken, die SCA zu unterschiedlichen Zeiten benötigen, wahrscheinlich. Händler sind gut beraten, sich schnellstmöglich in Gespräche mit ihren Payment-Partnern zu begeben, um für ihr Geschäftsmodell herauszufinden, wann SCA benötigt wird und von welchen Ausnahmen profitiert werden kann.