Wer im Internet als Anbieter elektronische Zahlungsmittel akzeptiert, muss sich spätestens seit
1. Januar 2021 mit dem Thema „Starke Kundenauthentifizierung“ (engl. Strong Customer Authentication, kurz SCA) auseinandersetzen. Obwohl schon im September 2019 beschlossen, wurde an diesem Tag die 2-Faktor-Authentifizierung der EU-Zahlungsdienste-Richtlinie PSD2 für alle Online-Händler wirksam. Der zweite Teil der Zahlungsdienste-Richtlinie (Abkürzung PSD von englisch Payment Services Directive) gilt für die gesamte Europäische Union (EU) und den Europäischen Wirtschaftsraum (EWR) und soll Zahlungsdienste und -dienstleister regulieren.
Was bedeutet starke Kundenauthentifizierung?
Die starke Kundenauthentifizierung ist eine europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen sowie kontaktlose Offline-Zahlungen sicherer zu machen. Um die SCA-Vorgaben zu erfüllen, muss ein zusätzlicher Authentifizierungsschritt in den Bezahlvorgang eingebaut werden. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden unabhängigen Sicherheitsfaktoren:
- Wissen: etwas, das nur die Person weiß, z.B. Passwort oder PIN
- Besitz: etwas, das nur die Person besitzt, z.B. Mobiletelefon oder Hardware Token
- Inhärenz: etwas, das die Person ausmacht, z.B. Fingerabdruck oder Gesichtserkennung
Durch diese Zwei-Faktor-Authentifizierung (2FA) wird die Identität des Kunden ermittelt, häufig über den Mechanismus 3D-Secure (3DS), der vielleicht eher als „Verified by VISA“ oder „Mastercard Identity Check“ bekannt ist. Nicht authentifizierte Zahlungen werden abgelehnt.
Welche Transaktionen sind von der starken Kundenauthentifizierung ausgenommen?
Damit das Online-Kauferlebnis weiterhin möglichst bequem und barrierefrei ist, wurden einige Ausnahmen von den SCA-Vorschriften beschlossen. Daher sind die folgenden Transaktionen von der SCA ausgenommen:
Transaktionen mit geringem Risiko
Diese liegt vor, wenn es bei der Zahlungstransaktion um Beträge bis 500 Euro geht und das Betrugsrisiko beim Kartenherausgeber oder Finanzinstitut als risikoarm eingestuft wird.
Zahlungen von Kleinbeträgen
Wenn jemand innerhalb von 24 Stunden weniger als fünf Zahlungen getätigt hat oder wenn die Summe der Zahlungen in den letzten 24 Stunden unter 100 Euro liegt, ist normalerweise keine starke Kundenauthentifizierung erforderlich.
Wiederkehrende Zahlungen
Abonnements, Ratenzahlungen und wiederkehrende Transaktionen für regelmäßige Leistungen mit einem festen Betrag, wird SCA nur auf die erste Zahlung angewendet. Nur wenn sich der Betrag verändert, ist eventuell eine SCA erforderlich.
Vertrauenswürdige Händler (Whitelist)
Kunden können vertrauenswürdige Zahlungsempfänger auf einer Zulassungsliste (Whitelist) hinterlegen. Wenn Sie als Händler dort aufgeführt werden, muss keine starke Kundenauthentifizierung vorgenommen werden.
Sichere Unternehmenszahlungen (Secure Corporate Payment)
Wenn es sich um Transaktionen von gewerblichen Konten handelt oder einer Firmenkreditkarte, die mehrere Personen benutzen, sind diese von der SCA-Pflicht ausgenommen. Die PSD2-Richtlinie gilt nämlich nicht für B2B-Geschäfte.
Welche Vorteile ergeben sich mit Strong Customer Authentication?
Der weltweite Onlinehandel wird weiterhin stetig wachsen und zeitnah die Billionen-Dollar-Schwelle erreichen. Damit steigt auch die Gefahr, Betrügern auf den Leim zu gehen. Die Vorteile der Richtlinie liegen auf der Hand: Die Vorschriften sollen den europäischen Verbraucher und die Händler vor Online-Betrug in Milliardenhöhe bewahren. Durch die Verordnung wird die Haftung für Streitfälle von den Unternehmen auf die ausstellenden Banken verlagert. Aufgrund des Surcharging-Verbots nach § 270a BGB dürfen keine Extra-Gebühren von Verbrauchern bei Zahlungen mit Karten, Überweisungen oder Lastschriften erhoben werden.
Welche Herausforderungen gibt es beim E-Commerce?
Die Corona-Pandemie sorgte dafür, dass immer mehr Verbraucher und Verbraucherinnen online einkaufen. Allerdings gibt es immer noch Kaufvorgänge, die nicht erfolgreich abgeschlossen werden können. Manchmal liegt das an den Kunden, die den Vorgang abbrechen, weil die Kreditkarte noch nicht für die Authentifizierung freigegeben ist. Die PSD2 mit der Verpflichtung zur starken Kundenauthentifizierung sorgt zwar für eine höhere Sicherheit, bringt aber immer noch Reibungsverluste mit sich.
Für einige Online-Unternehmen, die nicht in ausreichender Form vorbereitet waren, entstanden bittere Szenarien: fehlgeschlagene Transaktionen wirken sich fatal auf den Umsatz aus. Visa schätzt, dass 3DS-Transaktionen zunächst einen Rückgang der Konversionsraten durch fehlgeschlagene Zahlungen um 11 % erlitten.
Die Herausforderung, den Zahlungsprozess und Check-out im E-Commerce nutzerfreundlich zu gestalten, bleibt also bestehen. Dabei spielen die verwendeten Zahlungsverfahren eine enorm große Rolle. Hier müssen die Präferenzen der Zielgruppe berücksichtigt werden. Erfahren Sie mehr darüber, welchen Einfluss die Zahlungsverfahren auf den Online-Umsatz haben.
Wie kann man die starke Kundenauthentifizierung umsetzen?
Als Online-Händler sind Sie verpflichtet, sich an die SCA-Vorschriften zu halten, wenn die folgenden Kriterien zutreffen:
- Ihr Unternehmen ist im Europäischen Wirtschaftsraum (EWR) ansässig oder Sie leisten Zahlungen für verbundene Konten mit Sitz im EWR.
- Ihre Kundschaft befindet sich im EWR.
- Sie akzeptieren Kredit- oder Debitkarten.
Die einfachste Möglichkeit ist die Nutzung einer SCA-konformen Zahlungsschnittstelle. Kartenaussteller und Händlerbanken stellen dafür Lösungen bereit. Diese Schnittstelle muss jedoch entsprechend in den Bezahlprozess Ihres Shops integriert werden. Unsere Shopware-Experten helfen Ihnen dabei gern.
Sie haben noch Fragen zur Einbindung von sicheren Zahlungsverfahren?
Dann nehmen Sie doch Kontakt zu uns auf. Wir unterstützen Sie gerne bei Ihrem E-Commerce-Shop und implementieren sichere konversionsstarke Zahlungsmethoden für Sie. Natürlich erhalten Sie von uns auch Tipps, wie Sie den Check-out im E-Commerce noch nutzerfreundlicher gestalten können.