Das Jahr 2020 hat den Online-Handel vor so einige Herausforderungen gestellt – viel Flexibilität wurde von den Händlern gefordert. Nun steht zum Jahresende noch eine ganz besondere Frist an: Zum 1. Januar 2021 wird die Starke Kundenauthentifizierung für Online-Zahlungen zur Pflicht. Für Kartenzahlungen bedeutet das, dass Händler – sofern noch nicht geschehen – das 3D Secure Verfahren von EMVco implementieren müssen, um PSD2-konform zu bleiben. Alexa von Bismarck, Deutschland-Chefin von Adyen, gibt einen Überblick, was Händler jetzt wissen sollten und welche Vorteile das neue Verfahren 3DS2 für sie bringt.
Es ist kein beliebtes Thema, denn die Umstellung auf Zwei-Faktor-Authentifizierung zur Einhaltung der Starken Kundenauthentifizierung (Strong Customer Authentication, SCA) stellt natürlich vor allem kleinere Händler vor einige Herausforderungen. Die Fristen sind in den unterschiedlichen Ländern in Europa nicht einheitlich, zudem gibt es Ausnahmen, die man kennen muss und auch die technische Umsetzung ist nicht ganz unkompliziert. Verbraucher erwarten, dass der Prozess zügig abläuft und keine weitere Maßnahme von ihnen verlangt wird. Aber keinesfalls sollte man der neuen europaweiten Regulierung negativ entgegensehen. Im Gegenteil: Eine Studie der GfK ergibt, dass jeder Zweite die Zwei-Faktor-Authentifizierung begrüßt. Letztlich werden Online-Zahlungen dadurch für Kunden sicherer, da diese ihre Identität über zwei von drei möglichen Sicherheitsschritten bestätigen müssen.
Vorteile für Händler
Und die Richtlinie bringt auch Vorteile für Händler: Um die Sicherheitsstandards unter PSD2 zu erfüllen, hat die Branchenvereinigung EMVCo das neue Sicherheitsprotokoll 3D Secure 2, 3DS2, entwickelt. Das Sicherheitsprotokoll 3DS2 kann im Hintergrund der Vorgänge bis zu 100 Datenpunkte sammeln und senden, sodass die kartenausgebenden Banken das Transaktionsrisiko besser bewerten können. Daten können beispielsweise Informationen wie die Adresse des Kreditkarteninhabers (Versand, Rechnungsstellung, E-Mail), die Geräte-ID oder die Sprache des Browsers des Kunden sein. Außerdem liegt die Haftung im Betrugsfall durch den Einsatz des neuen 3DS2 Standards bei der Bank und nicht beim Händler. 3DS2 verlangt zudem weniger proaktiven Einsatz der Kunden, d.h. weniger Transaktionen müssen manuell vom Kunden bestätigt werden, und begrenzt gleichzeitig die Risiken im Transaktionsprozess auf ein Minimum.
Es ist jedoch wichtig zu betonen, dass Händler, die bereits 3DS1 als Authentifizierungsprotokoll nutzen, dies auch im nächsten Jahr PSD2-konform tun können. Die Kreditkartensysteme Visa und Mastercard haben jedoch einen schrittweisen Plan veröffentlicht, nach dem das Protokoll über die nächsten ein bis zwei Jahre schrittweise ausgeschlichen werden soll. Noch etwas gibt es in puncto Customer Experience zu beachten: Beim Vorgänger 3DS1 werden Kreditkartennutzer beim Bezahlvorgang zunächst auf eine Seite der kartenausgebenden Bank weitergeleitet und dann aufgefordert dort ein Passwort einzugeben. Die Folgen sind beispielsweise, dass Kunden ihr Passwort vergessen oder, irritiert von der Weiterleitung, den Kaufvorgang abbrechen. Wie eine Auswertung unserer Daten zeigt, verbessert sich die Conversion-Rate für Händler nach Implementierung von 3DS2 in Vergleich zu 3DS1 um 1 Prozent – gemessen am Jahresumsatz eines Händlers bedeutet das einiges an zusätzlichen Einnahmen, vor allem bei Händlern mit größerem Umsatz.
Zwei-Faktor-Authentifizierung richtig umsetzen
Worauf kommt es also an und was sollten Händler bei der Umsetzung besonders beachten? Gehen wir nochmal einen Schritt zurück und schauen uns an, was genau SCA bedeutet: Ab dem 1. Januar 2021 müssen Händler die Identität der Käufer durch mindestens zwei Faktoren belegen. Dies kann über Besitz, wie beispielsweise ein Smartphone, Wissen, wie etwa ein Passwort oder eine PIN, oder über biometrische Daten, wie beispielsweise Gesichtserkennung oder Fingerabdruck, passieren. Die alleinige Eingabe der Kartendaten und der Prüfziffer reicht dann nicht mehr.
Dieser Prozess sollte für den Kunden so transparent wie möglich gemacht werden. Denn auch, wenn die GfK-Studie zeigt, dass viele die Sicherheitsmaßnahme begrüßen, so weiß doch die Hälfte der Bevölkerung noch nicht, dass dieser Schritt die Sicherheit bei Online-Zahlungen erhöht. Händler sollten hier also nachvollziehbar aufzeigen, warum dieser Vorgang notwendig ist. Zalando erklärt die Veränderungen beim Checkout beispielsweise in einem gut verständlichen Online-Video.
Ausnahmen kennen und nutzen
Keine Regel ohne Ausnahme – dies gilt auch für Starke Kundenauthentifizierung. Und auch wenn es auf den ersten Blick unübersichtlich wirkt, so helfen die Ausnahmen sowohl Kunden als auch Händlern. Zu den Fällen, in denen SCA keine Anwendung findet, zählen beispielsweise Transaktionen unter 30 Euro oder wiederkehrende Zahlungen wie Abonnements.
Eins muss aber im Hinterkopf behalten werden: Die kartenausgebende Banken, die Issuer, haben die geleisteten Zahlungen immer im Blick: Wenn der Gesamtbetrag der innerhalb von 24 Stunden ohne starke Authentifizierung auf der Karte versuchten Zahlungen höher als 100 € ist, wird SCA benötigt. Selbst bei Zahlungen unter 30 € kann der Issuer die Zwei-Faktor-Authentifizierung erfordern, wenn er es für notwendig hält.
Händler sollten deshalb jederzeit darauf vorbereitet sein, dass eine Authentifizierung verlangt wird. Versandhandels- und Telefonbestellungen (Mail Order and Telephone Orders, MOTO) sind in sämtlichen Fällen von 3D Secure ausgenommen. MOTO-Transaktionen gelten nicht als „elektronische“ Zahlungen und fallen daher nicht in den Anwendungsbereich der PSD2-Verordnung. Zahlungen, bei denen der Issuer oder der Acquirer der Karte nicht in Europa ansässig sind, werden ebenfalls ausgenommen. Zahlungen zwischen zwei Unternehmen sind frei von Strong Customer Authentication, wenn eine Zahlungsmethode verwendet wird, die für solche B2B-Zahlungen bestimmt ist. Auch international hat sich dieses Zahlungsverfahren mittlerweile mehr und mehr etabliert und zahlreiche Länder wie Australien oder Brasilien setzen die Richtlinie um. Noch ein Grund mehr, es auch zu tun.
Keine Angst vor 3DS2
Die Frist für die Implementierung von Starker Kundenauthentifizierung wurde in einigen Ländern schon mehrfach verschoben. Doch Händler sollten keineswegs das Thema aussitzen, da die Mehrheit der Issuer mittlerweile bereit ist. Vielmehr sollte das Verfahren als Möglichkeit gesehen werden, den Kunden transparent aufzuzeigen, dass ihr Online-Kauf nun sicherer ist. Gerade für Mobile Payment ist das Verfahren eine Chance: Weltweit kaufen immer mehr Kunden über mobile Kanäle ein, wodurch mobile Zahlungen rasant zunehmen. Wo 3DS1 nur browserbasierte Transaktionen unterstützte, ermöglicht die Funktionsweise von 3DS2 die Authentifizierung für In-App-Käufe und unterstützt so die komfortable Nutzung von Mobile Payment.
Insgesamt überwiegen die Vorteile also deutlich. Händler sollten alles daran setzen, den Käufern ein reibungsloses und transparentes Einkaufserlebnis zu bieten und können so langfristig ihre Conversions steigern. Sprechen Sie daher mit Ihrem Payment-Partner, dieser kann Ihnen bei der Bewältigung der komplexen Aufgabe helfen, Sie zu den notwendigen Schritten beraten und besprechen, welche Ausnahmen für Ihr Geschäft gelten und datenbasiert für Sie Entscheidungen treffen, wann Authentifizierungsprozesse notwendig sind.
Über die Autorin
Alexa von Bismarck ist seit 2013 für Adyen tätig und seit Mai 2018 Country Managerin Deutschland. Mit ihrer langjährigen Erfahrung im Bereich Payment führt Alexa von Bismarck Adyens Expansion in Deutschland fort. Als weltweit einziger Zahlungsanbieter für Unified Commerce bietet der europäische Zahlungsdienstleister Händlern eine einheitliche Plattform, um Zahlungen über alle Verkaufskanäle direkt mit Visa, Mastercard und anderen weltweit genutzten Zahlungsmethoden abzuwickeln.
Newsletter
Abonnieren
Abonnieren
Bleibe stets informiert mit unserem Newsletter.
Meistgelesene Artikel
Aktuelle Urteile | 12.01.2024
Marktplätze | 07.11.2023
Marktplätze | 06.02.2024
Schreiben Sie einen Kommentar