Zusammenfassung

Am 14. September 2019 werden für Online-Shops in ganz Europa neue Anforderungen für die starke Kundenauthentifizierung (SCA) eingeführt. Die Anforderungen sind Teil der zweiten Zahlungsdiensterichtlinie und sind für Shops, Zahlungsdienstleister, Acquirer und Kartenaussteller verbindlich.

In diesem Artikel wird die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) erläutert und wie sie sich auf Ihr Unternehmen auswirken kann. Abschließend erläutert Ill die Ausnahmen von der SCA-Pflicht für einige Zahlungsarten.

Reepay bietet Unterstützung für alle Aspekte der Anforderungen, aber Acquirer und Emittenten haben anfangs möglicherweise nur begrenzte Unterstützung.

Was ist starke Kundenauthentifizierung?

Strong Customer Authentication (SCA) ist die Bezeichnung für eine Methode der Kundenauthentifizierung, die Betrug verringern und Zahlungen sicherer machen soll.

SCA baut auf der Zwei-Faktor-Methode auf, die eine Authentifizierung mit mindestens zwei der folgenden drei Elementeerfordert.

ETWAS, DAS DER KUNDE WEISS

(z.B. Passwort, Kreditkartennummer)

ETWAS, DAS DER KUNDE HAT

(z. B. Telefon oder Hardware-Token)

ETWAS, DAS DER KUNDE IST

(z. B. Gesichts Erkennung oder Fingerabdruck)

Die Anforderungen und Ausnahmen für SCA sind in den technischen Regulierungsstandards (RTS) für PSD2 festgelegt. In Übereinstimmung mit PSD2 sollten die SCA-Anforderungen von allen Banken ab dem 14. September durchgesetzt werden, was bedeutet, dass Zahlungen ohne SCA, die die Ausnahmekriterien nicht erfüllen , abgelehnt werden.

Aber die EBA (Europäische Bankenaufsichtsbehörde) hat einen Leitfaden letzten Monat einen Leitfaden über Bereitschaft für SCA veröffentlicht. Er eröffnet den nationalen Regulierungsbehörden die Möglichkeit, das Datum der SCA-Durchsetzung für ausgewählte Banken und Zahlungsanbieter zu verschieben.

Wann ist SCA erforderlich?

Die starke Kundenauthentifizierung wird nur für "kundeninitiierte" Zahlungen innerhalb Europas durchgesetzt. 

Bei wiederkehrenden Zahlungen ist für die erste Transaktion eine SCA vorgeschrieben, während die folgenden Transaktionen als "vom Händler veranlasst" betrachtet werden und keine SCA erfordern.

Starke Kundenauthentifizierung in einem Zahlungsstrom

Gegenwärtig ist 3D Secure das SCA-Verfahren der Wahl für die meisten europäischen Kartenmarken. Derzeit wird 3D Secure Version 1.1 verwendet, die dänische Dankort hat eine Variante namens Secure By Nets, die aber im Grunde das Gleiche ist.

3D Secure fügt einen zusätzlichen Schritt in den Kassenablauf ein, bei dem der Kunde nach der Eingabe der Kreditkartendaten von seiner Bank aufgefordert wird, zusätzliche Informationen einzugeben. Bei den zusätzlichen Informationen kann es sich um ein Einmalpasswort handeln, das an das Telefon gesendet wird, oder um eine Authentifizierung über die mobile Banking-App. 

Eine neue Version von 3D Secure mit der Bezeichnung 3D Secure 2.0 wird noch in diesem Jahr auf den Markt gebracht. Die neue Version unterstützt zusätzliche Daten, die die Anzahl der Aufforderungen zur Eingabe zusätzlicher Informationen begrenzen können, wenn ein Kunde dasselbe Gerät bei demselben Händler verwendet. Die neue Version wird auch bessere und reibungslosere Wege für die Kunden unterstützen, sich im 3D-Flow zu authentifizieren.

Mobile Geldbörsen wie Apple Pay und Google Pay unterstützen Zahlungsströme mit integriertem SCA und bieten eine hervorragende Benutzererfahrung. Danish MobilePay arbeitet an der Umsetzung einer ähnlich guten Nutzererlebnis zu schaffen, ohne dass zusätzliches SCA außer dem in MobilePay eingebauten erforderlich ist.

Ausnahmen von der starken Kundenauthentifizierung

Im Rahmen von PSD2 können bestimmte Arten von Zahlungen von der starken Kundenauthentifizierung ausgenommen werden. Für diese Arten können Reepay und Ihr Acquirer diese Ausnahmen bei der Verarbeitung der Zahlung beantragen. Die Bank des Karteninhabers muss dann die Art der Ausnahmeregelung und das Risikoniveau der Transaktion bewerten, um die Ausnahmeregelung zu genehmigen oder zu entscheiden, dass SCA weiterhin erforderlich ist.

SCA (3D Secure) hat zwar den Vorteil, dass die Haftung im Betrugsfall verlagert wird, aber es kann den Ablauf an der Kasse erschweren und den Kundenabbruch erhöhen. Die Verwendung von Ausnahmeregelungen kann den Bedarf an SCA verringern und dadurch die Konversion erhöhen. Ausnahmen können mit den Reepay-APIs verwendet werden.

 

Die wichtigsten Ausnahmen sind:

Transaktionen mit geringem Risiko

Es ist möglich, Transaktionen mit geringem Risiko auszunehmen, wenn sowohl Ihr Acquirer als auch die Bank des Karteninhabers eine niedrige Gesamtbetrugsrate aufweisen. Die Betrugsrate wird von Ihrem Acquirer und der Bank des Karteninhabers als Echtzeit-Risikoanalyse durchgeführt.

Wenn die Gesamtbetrugsrate Ihres Acquirers oder der Bank des Karteninhabers bei Kartenzahlungen die folgenden Schwellenwerte nicht überschreitet:

  • 0,13 % können Umsätze unter 100 € befreien
  • 0,06 % können Transaktionen unter 250 € befreien
  • 0,01 % können Transaktionen unter 500 € befreien

Diese Ausnahmeregelung kann von den kartenausgebenden Banken gut angenommen und unterstützt werden, aber die Echtzeit-Risikoanalyse wird zur Zeit nicht von den TODO: Nets, Swedbank, ... Clearhausunterstützt .

Weitere Informationen finden Sie in der RTS - Artikel 18

Zahlungen unter 30 €

Transaktionen unter 30 € werden als "geringwertig" eingestuft und können von der SCA ausgenommen werden. Die Bank des Karteninhabers muss jedoch nachverfolgen, wie oft die Befreiung seit der letzten erfolgreichen Authentifizierung des Karteninhabers in Anspruch genommen wurde ; ist dies mehr als fünf Mal der Fall, muss der Karteninhaber zur SCA aufgefordert werden. Auch wenn die Summe der zuvor freigestellten Zahlungen 100 € übersteigt, ist eine SCA erforderlich.

Die Inanspruchnahme dieser Ausnahmeregelung birgt das Risiko, dass eine SCA erforderlich wird, so dass die Inanspruchnahme der "risikoarmen" Ausnahmeregelung für Sie von Vorteil sein kann. 

Weitere Informationen finden Sie in der RTS - Artikel 16

Abonnements mit festen Beträgen

Diese Ausnahmeregelung kann verwendet werden, wenn Sie eine Reihe von wiederkehrenden Zahlungen mit demselben Betrag durchführen. SCA ist für die erste Transaktion erforderlich, aber nachfolgende Zahlungen können mit dieser Ausnahme von SCA befreit werden.

Wir gehen davon aus, dass diese Ausnahmeregelung eine hohe Erfolgsquote hat, aber nur für Abonnements in gleicher Höhe gilt.

Weitere Informationen finden Sie in der RTS - Artikel 14 (wiederkehrend genannt)

Vertrauenswürdige Begünstigte

Die Idee hinter den "vertrauenswürdigen Empfängern" ist, dass die ausstellenden Banken eine Option in ihre Bank-Apps aufnehmen können, mit der die Kunden Händler vorab genehmigen können.

Wir gehen davon aus, dass diese Ausnahmeregelung anfangs nicht angewandt wird und dass sie auch nicht viel genutzt wird.

Weitere Informationen finden Sie in der RTS - Artikel 13

Vom Händler veranlasste Transaktionen

Zahlungen, die vom Händler initiiert werden, ohne dass der Kunde in die Kaufabwicklung eingreift. 

Eine Transaktion oder eine Reihe von Transaktionen mit einem festen oder variablen Betrag und festen oder variablen Intervallen, die durch eine Vereinbarung zwischen dem Karteninhaber und dem Händler geregelt werden, die es dem Händler nach der Vereinbarung ermöglicht, nachfolgende Zahlungen ohne direkte Beteiligung des Karteninhabers zu veranlassen. 

In den RTS werden von Händlern veranlasste Zahlungen nicht erwähnt, so dass man sagen kann, dass es sich nicht um eine "echte" Befreiung handelt. Visa und Mastercard vertreten den Standpunkt, dass diese nicht in den Anwendungsbereich von SCA fallen. Wenn das ursprüngliche Mandat über einen elektronischen Fernkanal erteilt wird, ist SCA in den meisten Fällen erforderlich, aber nicht für nachfolgende, vom Händler initiierte Zahlungen. Dies gilt für alle Zahlungsinstrumente einschließlich Karten und Token.

Was ist, wenn die Transaktion abgelehnt wird?

Selbst wenn die Transaktion mit einer Ausnahmeregelung gesendet oder vom Händler initiiert wird, muss die Bank des Karteninhabers die Transaktion ohne starke Kundenauthentifizierung akzeptieren, so dass sie abgelehnt werden kann. Reepay schickt dann den Kunden durch das SCA-Verfahren, "wenn der Kunde anwesend ist".