Blogs
Beyond the Transaction: Every Transaction Has a Story
Teilen

Ausnahmen der starken Kundenauthentifizierung nutzen: So gelingt der Spagat zwischen Risikominimierung und mehr Komfort beim Online-Shopping

Ab dem 14. September verlangt die EU-Zahlungsdiensterichtlinie PSD2 eine starke Authentifizierung, bei der zwei von drei Sicherheitsfaktoren erfüllt sind: Wissen, Besitz und Inhärenz wie etwa biometrische Eigenschaften (z. B. Fingerabdruck). Händler sollten sich frühzeitig auf diese Änderungen einstellen und vor allem auch die Ausnahmeregelungen der sogenannten Zwei-Faktor-Authentifizierung nutzen, die der Gesetzgeber vorsieht, um ihren Kunden einen unterbrechungsfreien Einkauf zu ermöglichen und keine Umsätze zu verlieren.

Viele Online-Shopper bevorzugen Kartenzahlung. Als Variante der starken Kundenauthentifizierung gibt es im Internet seit vielen Jahren das sogenannte 3-D Secure-Verfahren, das von Mastercard unter dem Namen „SecureCode“ auf dem Markt ist. Es wird eingesetzt, um den Ausfall von Zahlungen durch Kartenmissbrauch zu reduzieren und garantiert Online-Händlern den Zahlungseingang.

20181006_MC_Keyvisual SCA_V2_Ansicht

Dieses Verfahren wurde nun gemeinsam mit der Branchenvereinigung EMVCo optimiert. Es entspricht jetzt den neuen regulatorischen Anforderungen der EU und ist gleichzeitig für den Verbraucher einfacher zu handhaben. Das überarbeitete Sicherheitsprotokoll EMV 3-D Secure, auch  3-D Secure 2.0 genannt, ist sowohl für den Einsatz im Web als auch in Apps geeignet und trägt so dem rasanten Anstieg mobiler Zahlungen weltweit Rechnung. Alle Banken und Sparkassen, die in Deutschland eine Mastercard herausgeben, müssen ab April 2019 das neue EMV 3-D Secure-Verfahren anbieten.

Mit Hilfe des neuen Sicherheitsprotokolls EMV 3-D Secure lassen sich insbesondere auch die regulatorischen Ausnahmen der starken Kundenauthentifizierung bei Online-Transaktionen optimal abbilden. So lässt sich in vielen Fällen die Zwei-Faktor-Authentifizierung vermeiden und der Kunde kann seinen Bezahlvorgang mit Karte wie bisher gewohnt abschließen.

Händler mit geringen Betrugsraten können auch eigene Ausnahmeregelungen mit individuellen Risikoindikatoren aktivieren, bei denen auf die starke Kundenauthentifizierung verzichtet wird, zum Beispiel wenn der Kunde bekannt ist und schon Ware an ihn geliefert wurde. In diesen Fällen müssen Händler allerdings das Haftungsrisiko übernehmen.

Mit dem neuen EMV 3-D Secure-Verfahren können Händler und Banken wesentlich mehr sicherheitsrelevante Daten zur Authentifizierung austauschen und so bessere Risikoentscheidungen treffen, was zu deutlich höheren Genehmigungsquoten bei Online-Händlern führt. Um dies zu erreichen, müssen Händler in ihren Systemen sicherstellen, dass die notwendige Datenbasis für eine optimale risikobasierte Authentifikationsanalyse über den Payment Service Provider an den Kartenherausgeber übermittelt wird. Nur wenn die Banken und Sparkassen über das neue Sicherheitsprotokoll die erweiterten Daten erhalten, können sie eine realistische Risikobewertung vornehmen und entscheiden, ob sie die Ausnahmen der technischen Regulierungsstandards (RTS) zulassen.

 

Die wichtigsten Ausnahmen der starken Kundenauthentifizierung

Um den Bezahlprozess so einfach wie möglich zu gestalten, sieht die neue EU-Richtlinie diverse Ausnahmen vor, die eine Autorisierung ohne starke Kundenauthentifizierung erlauben: Kontaktloses Bezahlen bis 30 Euro ist ebenso von den Regelung ausgenommen, wie zum Beispiel Beförderungsleistungen oder Parkgebühren an Automaten. Weitere Ausnahmen sind:

Transaktionen mit kleinen Beträgen

Bei Online-Zahlungstransaktionen unter 30 Euro wird keine Zwei-Faktor-Authentifizierung vom Regulator verlangt. Das kartenherausgebende Finanzinstitut behält jedoch die Anzahl der Transaktionen und den kumulierten Einkaufswert im Blick. Erst wenn der Gesamtbetrag der Zahlungen ohne starke Authentifizierung auf der Karte 150 Euro übersteigt, wird die starke Authentifizierung benötigt. Alternativ kann das kartenherausgebende Institut entscheiden, bei jeder sechsten Transaktion eine Zwei-Faktor-Authentifizierung anzufordern.

Transaktionen mit geringem Risiko

Transaktionen mit geringem Risiko sind ebenfalls von einer starken Kundenauthentifizierung ausgenommen. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenherausgebers und des Acquirers, der die Transaktion abwickelt. Hierbei wird ein Verzicht auf die starke Kundenauthentifizierung zwischen 30 und 500 Euro möglich, sofern die gesetzlich definierten Betrugsquoten nicht überschritten werden. Möchte der Händler von der Transaktionsrisiko-Analyse Gebrauch machen, legt der Acquirer gemeinsam mit dem Payment Service Provider fest, welche Zahlungsarten entsprechend in dem Sicherheitsprotokoll markiert werden dürfen, um die Betrugsraten möglichst niedrig zu halten.

Abonnement oder wiederkehrende Transaktionen

Auch Abonnements oder wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Nur die erste Transaktion erfordert eine starke Kundenauthentifizierung. Wenn sich der Betrag ändert, ist die Zwei-Faktor-Authentifizierung für jeden neuen Betrag erforderlich. Auch wiederkehrende Zahlungen mit unterschiedlichen Beträgen und Zahlungen bei denen der Karteninhaber bei der Auslösung der Zahlung nicht anwesend ist (zum Beispiel vom Händler ausgelöste Abonnement-Zahlungen) sind von der Zwei-Faktor-Authentifikation ausgenommen.

Whitelist-Händler

Kunden können häufig von ihnen frequentierte Händler auf eine sogenannte Whitelist, also eine Positivliste von vertrauenswürdigen Zahlungsempfängern setzen, die von ihrer Bank oder Sparkasse geführt wird. Whitelist-Händler sind von der starken Kundenauthentifizierung regulatorisch ausgenommen, es sei denn, dass der Kartenherausgeber wegen besonderen Risikofaktoren trotzdem die Notwendigkeit sieht, eine Zwei-Faktor-Authentifizierung zu verlangen. So können Kunden, die regelmäßig bei einem bestimmten Unternehmen einkaufen, auf die starke Authentifizierung für jeden einzelnen Kaufvorgang verzichten und den Zahlvorgang vereinfachen. Online-Händler sollten sich daher noch stärker um loyale Kunden bemühen und es diesen so einfach wie möglich machen, sie auf eine Whitelist zu setzen. Mit Hilfe des EMV 3-D Secure-Protokolls können Händler überprüfen, welche Kartenherausgeber Whitelisting anbieten. Ab Spezifikation 2.2 des Sicherheitsprotokolls erhält der Händler auch eine Information, sobald ihn ein Karteninhaber auf die Positivliste setzt.

Frühzeitig auf Änderungen einstellen und Ausnahmeregelungen nutzen

Das neue 3-D Secure-Protokoll unterstützt Händler, die diversen Ausnahmeregelungen schnell und einfach in der Authentifikationsanfrage der Zahlung zu markieren und so eine gesetzeskonforme Zahlungsfreigabe des Kartenherausgebers ohne Zwei-Faktor-Authentifizierung zu erhalten. Daher sollten Online-Händler gemeinsam mit ihren Payment Service Providern und ihren Acquirern die entsprechenden Systeme und Bezahlschnittstellen anpassen und überprüfen, welche Ausnahmeregelungen für ihr Geschäft sinnvoll sind, damit diese frühzeitig implementiert und im laufenden Betrieb getestet werden können.

Whitepaper Digital Commerce: Worauf es beim Bezahlen ankommt (PDF-Download)