Das erste Adventsgebäck steht in den Supermärkten – Sie wissen, was das heißt? Richtig: Die Deadline zur Starken Kundenauthentifizierung rückt näher! Ab Januar 2021 müssen Sie als Online-Händler nachweisen, dass eine Zahlung wirklich vom Besitzer der Kredit- oder Debitkarte ausgelöst wurde.
Laut der EU-Richtlinie PSD2 müssen Kunden ihre Identität ab dem 1. Januar 2021 über mindestens zwei der folgenden Faktoren belegen: Besitz (z.B. Mobiltelefon), Wissen (z.B. Passwort oder PIN) und Inhärenz (z.B. Fingerabdruck oder Gesichtserkennung). Deswegen wird die Starke Kundenauthentifizierung auch Zwei-Faktor-Authentifizierung genannt.
Um die Umsetzung für Online-Händler zu vereinfachen und den Kaufprozess sicherer zu machen, haben Technologieunternehmen wie Mastercard eine moderne Version des 3D-Secure-Verfahrens entwickelt. Bei Mastercard heißt das Verfahren Mastercard Identity Check. Es erfüllt nicht nur die SCA-Anforderungen, sondern senkt die Zahl der Kaufabbrüche und erleichtert Shopping-Touren am Smartphone. Immerhin werden schon mehr als die Hälfte aller Online-Käufe über mobile Endgeräte getätigt.
Die 7 Schritte, mit denen Sie jetzt SCA-konform werden und keinen Umsatz verlieren
1. Technische Voraussetzungen schaffen
An erster Stelle steht die technische Implementierung. Als Händler sollten Sie sich schnellstmöglich bei Ihrem Payment Service Provider (PSP) erkundigen, ab wann und in welcher Form er das neue EMV 3D-Secure-Verfahren unterstützt. Momentan können zwei verschiedene technische Protokolle implementiert werden, nämlich 3D-Secure 2.1 und 3D-Secure 2.2. Sollte Ihr Payment Service Provider die 2.2-Version noch nicht anbieten, empfehlen wir, nicht darauf zu warten, sondern sofort mit der 2.1-Version zu starten. Andernfalls könnte das Einhalten der Frist zu einem Wettlauf mit der Zeit werden. Mit den Erweiterungen lassen sich sogar mit der 2.1er-Version die Ausnahmen der Starken Kundenauthentifizierung nutzen. Grundsätzlich empfehlen wir, die Erweiterungen von Mastercard zu implementieren, da Sie mit damit mehr sicherheitsrelevante Daten übermitteln können. Außerdem sind diese Erweiterungen notwendig , um das delegierte SCA-Programm„Authentication Express“ von Mastercard zu nutzen.
2. Daten zur Verfügung stellen
Bei der neuen Variante des 3D-Secure-Verfahrens können viel mehr Informationen zwischen Händlern und Banken ausgetauscht werden, nämlich bis zu hundert Datenpunkte. Mit der Übermittlung von zusätzlichen Daten ermöglichen Sie es Ihrer Bank, bessere Entscheidungen über die Notwendigkeit einer Authentifizierung zu treffen. Daher sollten Sie mit Ihrem PSP besprechen, welche zusätzlichen Daten rund um Transaktion und Karteninhaber erfasst werden sollten. Das können zum Beispiel Rechnungs-, Liefer- oder E-Mail-Adressen, Mobilnummern oder Geräte-IDs sein. Mit den 3D-Secure-Erweiterungsversionen 2.1+ und 2.2+ können Sie viel mehr Daten übermitteln als ohne Erweiterungen. Außerdem sollten Sie sicherstellen, dass die zusätzliche Datenerhebung DSGVO-konform ist und möglicherweise Ihre AGB entsprechend anpassen.
3. Ausnahmen und Ausgrenzungen berücksichtigen
Die PSD2-Richtlinie verlangt eine Starke Kundenauthentifizierung für alle elektronischen Zahlungen. Es gibt aber Ausnahmen und Ausgrenzungen, die Sie nutzen können, um die Zahl der Kaufabbrüche niedrig zu halten. Über diese Ausnahmen entscheidet Ihre Bank. Eine Übersicht über mögliche Ausnahmen und Ausgrenzungen finden Sie hier. Dazu gehören z.B. Zahlungen mit geringem Risiko oder geringem Wert, wiederkehrende Zahlungen, oder wenn Kunden einen Händler als vertrauenswürdig einstufen (Whitelisting). Manche Zahlungen können ganz ausgegrenzt werden, zum Beispiel Zahlungen, die von Ihnen als Händler ausgelöst wurden, oder Zahlungen bei Post- oder Telefon-Bestellungen. Die optimale Ausnahmenstrategie für Ihren Shop sollten Sie mit Ihrem Acquirer und Ihrem Payment Service Provider besprechen.
4. Testen, testen, testen!
Große Onlinehändler befinden sich seit Monaten in einer umfassenden Testphase. Nur mit einer Testphase können Sie die Auswirkungen auf Ihren Shop und Ihre Kunden abschätzen und dafür sorgen, dass die Zahl der Kaufabbrüche niedrig bleibt. Durch Tests – indem Sie beispielsweise eine gewisse Anzahl von Kreditkartenzahlungen durch die neue Strecke schicken – können Sie grundlegende Probleme im Zahlungsprozess reduzieren. Lesen Sie dazu auch den Erfahrungsbericht von Zalando.
Tipp: Testen auf der kostenlosen 3DS-Testplattform von Mastercard und Netcetera
Seit Kurzem steht Ihnen eine kostenlose Testumgebung von Mastercard und Netcetera zur Verfügung. Hier können Sie verschiedene Transaktionen in Echtzeit und direkt in Ihrem Online-Shop testen. So können Sie feststellen, ob Ihre 3D-Secure-Implementierung allen Anforderungen entspricht und mögliche Fehler leichter entdecken und beheben.
5. Kunden rechtzeitig informieren
Bisher sind noch nicht alle Verbraucher bei ihrer Bank für das neue 3D-Secure-Verfahren freigeschaltet. Um den Registrierungsprozess zu unterstützen und einen reibungslosen Übergang zu ermöglichen, sollten Sie Ihre Kunden aktiv darüber informieren, dass ab Januar ein neuer Authentifizierungsprozess in Kraft tritt.
6. Wallets in den Check-out integrieren
Wallets wie Apple Pay oder Google Pay sind SCA-konform und punkten mit guten Konversionsraten. Falls Sie bisher noch keine Wallet-Zahlung in Ihrem Check-out anbieten, sollten Sie darüber nachdenken, das bald nachzuholen.
7. Hochlaufphase und „weiche Ablehnungen“ berücksichtigen
Die Aufsichtsbehörde BaFin denkt über die Einführung einer Hochlaufphase nach. Für einen Zeitraum von wenigen Monaten wäre die Starke Kundenauthentifizierung dann erst ab einem gewissen Kaufbetrag erforderlich. In diesem Zeitraum kann Ihnen Ihre Händlerbank sogenannte „weiche Ablehnungen“ (Soft Declines) für Zahlungen senden, die eigentlich stark authentifiziert sein müssen. Um keinen Umsatz zu verlieren, sollten Sie ab Januar 2021 in der Lage sein, diese weichen Ablehnungen zu verarbeiten und für die betroffenen Zahlungen eine Starke Kundenauthentifizierung einzuleiten. Nach Ende der Hochlaufphase sind keine „weichen Ablehnungen“ mehr möglich und werden alle Zahlungen abgelehnt, die eine Starke Kundenauthentifizierung erfordern.
Werden Sie am besten jetzt gleich aktiv und setzen Sie sich noch heute mit Ihrem Payment Service Provider und Ihrem Acquirer in Verbindung. Dann bleibt genügend Zeit zum Testen, und im Advent können Sie ganz entspannt Ihre Lebkuchen verzehren.