Starke Kundenauthentifizierung im Rahmen der PSD2
52.15.92.58Häufige Fragen und Antworten zur Zwei-Faktor Authentifizierung nach der Zweiten Zahlungsdiensterichtlinie (PSD 2)
Welche Änderungen bringt die zweite Zahlungsdiensterichtlinie insgesamt?
Ein erklärtes Ziel der zweiten Zahlungsdiensterichtlinie (PSD2) ist es, mehr Wettbewerb zu ermöglichen. Dazu werden die neuen Institutionen der Zahlungsinformations- und Zahlungsauslösedienstleister reguliert. Diesen Dienstleistern soll ein Zugriff auf Konten ermöglicht werden, wenn dies der Kontoinhaber gestattet. Um hier Missbrauch vorzubeugen und einen verbesserten Schutz des Verbrauchers zu erzielen, werden technische Vorgaben für die Authentifizierung des Kontoinhabers festgelegt. Die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist im Vergleich zur bisherigen Kundenauthentifizierung komplexer, da mindestens zwei Faktoren erfüllt werden müssen.
Durch die Veröffentlichung sogenannter Regulatorischen Technischen Standards (RTS) setzt der Gesetzgeber tiefgehende technische verpflichtende Vorgaben zur SCA, die für viele Transaktionen verpflichtend ist.
Welche Änderungen ergeben sich konkret im Handel?
Mit den Änderungen ist eine Übernahme des Zahlungsrisikos durch den Händler zugunsten einer besseren Kundenführung durch den Check Out nicht mehr möglich.
In der Konsequenz müssen Händler die Verfahren der starken Kundenauthentifizierung in ihre Online-Checkout-Prozesse einbinden. Zudem müssen alle Kunden mit den Verfahren der starken Kundenauthentifizierung vertraut gemacht werden und diese künftig einsetzen können und wollen.
Leider wird der Anspruch des Handels, alle Kunden unabhängig von ihrer technischen Ausstattung oder ihres technischen Verständnisses eine möglichst bequeme Einkaufs- und Bezahlmöglichkeit zu bieten, durch die PSD2 eingeschränkt. Kreditkartenzahlungen sind künftig ausschließlich mit einem vom Kartenanbieter ausgegebenen zweiten Autorisierungskanal nutzbar. Häufig werden hierzu Smartphone-Apps, SMS-Übertragung oder „Chip-TAN Flicker-Codes“ genutzt.
Händler müssen daher damit rechnen, dass diejenigen Zahlarten, auf die die PSD2 zutrifft, künftig möglicherweise eher gemieden werden und Kunden auf andere Zahlarten wie die Lastschrift ausweichen. Im Zweifel könnten gar Kaufabbrüche erfolgen, wenn Bezahlprozesse zu kompliziert sind.
Welche Zahlungsarten sind betroffen?
Von den Anforderungen der starken Kundenauthentifizierung sind insbesondere Kartenzahlungen in Online-Shops betroffen. Auch Zahlungsplattformen wie Pay Pal und Amazon Pay unterliegen grundsätzlich den Anforderungen und müssen die Kriterien erfüllen. Hier sind die Anbieter gefordert, entsprechende Umstellungserfordernisse zu kommunizieren.
Ausgenommen von den Anforderungen der starken Kundenauthentifizierungen sind Zahlungen, die vom Händler initiiert werden. Dazu zählt insbesondere die in Deutschland gebräuchliche Internetlastschrift. Auch der Rechnungskauf und der Kauf per Nachnahme ist nicht betroffen, hier erfolgt die Zahlung nachgelagert.
Zahlungen am POS mit Kreditkarte oder Debitkarte sind zwar betroffen. Hier ist aber davon auszugehen, dass die bisher schon geltenden Sicherheitsfaktoren bereits die neuen europäischen Anforderungen erfüllen. Umstellungsanforderungen bzw. Updates der Terminals sind daher für diesen Bereich nicht zu erwarten.
Werden große Online-Anbieter durch die neuen Regelungen bevorzugt?
Auch kleine Händler können die Anforderungen durchaus erfüllen, der Koordinierungsaufwand mit den Dienstleistungspartnern ist eine einmalige wenn auch herausfordernde Arbeit. Die Bedrohung erfolgt eher aus anderer Richtung als der Umsetzung der Vorgaben: es steht zu befürchten, dass die PSD2 - und hier vor allem die möglichen Ausnahmen von der starken Kundenauthentifizierung - tendenziell große Händler und Plattformen bevorzugt. Beispielsweise ist es grundsätzlich und nach Zustimmung der eigenen Bank möglich, dass ein Kunde einen Händler als vertrauenswürdig einstuft und auf eine Liste bei seiner kartenausgebenden Bank setzt, um in der Folge auf die starke Kundenauthentifizierung verzichten zu können. Diesen Vorgang wird der Kunde eher für große Onlineshops oder Plattformen durchführen, bei denen er häufiger einkauft. Kleine Shops und Shops für Gelegenheitskäufe werden hier eher nicht berücksichtigt. In der Folge wird der Kunde tendenziell lieber dort einkaufen, wo er bereits das vereinfachte Checkout-Verfahren aktiviert hat. Zudem werden sich Banken genau überlegen, welchem Händler sie die Aufnahme auf die sogenannte Whitelist gestatten. Unbekannten Onlineshops werden die Banken eher die Unterstützung verweigern, da sie letztendlich dennoch für Ausfälle haften, auch wenn der Kunde sie als vertrauenswürdig ansieht.
Große Plattformen können zudem sicher besser die Ausnahme nach einer Risikobetrachtung organisieren, so dass Kunden hier tendenziell weniger mit der starken Authentifizierung konfrontiert werden.
Was müssen Online-Händler jetzt tun?
Das Wichtigste: Händler müssen mit Ihren Dienstleistern sprechen und alle notwendigen Schritte abstimmen. Erster Ansprechpartner ist der Payment Service Provider und/oder der Acquirer.
Als Leitlinie gilt:
- Eine Umstellung auf den Kreditkartenstandard 3D Secure 2 ist notwendig
- Dazu müssen neue Plugins der Dienstleister im Webshop installiert, oder bei Nutzung einer API entsprechende Anpassungen vorgenommen werden.
- Die Datenschutzhinweise auf der Webseite müssen aktualisiert werden
Weitere Details finden Sie in diesem Beitrag (Link)
Nachdem die ursprüngliche Umsetzungsfrist zum 14. September 2019 nochmals verlängert wurde, müssen nun alle Beteiligten sicherstellen, dass bis zum Jahresende 2020 alle Zahlungen PSD2-konform abgewickelt werden.
HDE-Mitglieder finden die anstehenden gesetzlichen Änderungen, die notwendigen Schritte und die Hintergründe in Stichworten aufbereitet als Präsentation im HDE-Intranet.