Titelbild
08.10.2020

PSD2: Starke Kundenauthentifizierung Pflicht ab 2021

Ab dem 1. Januar 2021 wird die 2-Faktor-Authentifizierung der EU-Zahlungsdiensterichtlinie PSD2 für alle Online-Händler zur Pflicht. Jetzt umstellen. Zwei von drei möglichen, voneinander unabhängigen Sicherheitsfaktoren müssen deine Kunden dann benennen, um ihre Identität auszuweisen. Vermeide Kaufabbrüche und Umsatzeinbußen: Änderungen vorbereiten, Ausnahmen kennen.

Kostenfreies Geschäftskonto für Online-Händler

Starke Kundenauthentifizierung bei Online-Kartenzahlungen verpflichtend ab 2021

Was ist Strong Customer Authentication SCA?

Teil 2 der PSD2-Zahlungsdiensterichtlinie sollte ursprünglich im September 2019 EU-weit in Kraft treten. Die Regulierungsbehörden hatten diesen Termin jedoch verschoben, um sicherzustellen, dass alle Teilnehmer des Zahlungsökosystems - Kartenherausgeber, Acquirer, Gateway-Anbieter und Händler - Zeit haben, sich an die Änderungen anzupassen. 

Zum 1. Januar 2021 heißt es nun definitiv Zahlungssysteme umstellen, denn dann wird die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) im elektronischen Zahlungsverkehr verpflichtend. 

Konkret heißt dies, dass Kunden bei Transaktionen im Web und in Apps ihre Identität über mindestens zwei von drei möglichen, voneinander unabhängigen Sicherheitsfaktoren belegen müssen. Dazu zählen Kombinationen aus zwei der drei folgenden Faktoren:

  1. Wissen (z. B. Passwort, PIN)
  2. Besitz (z. B. Mobiltelefon)
  3. Inhärenz (z. B. Fingerabdruck, Gesichtserkennung)

Durch die Pflicht zur starken Kundenauthentifizierung soll Betrügern im Netz vorgebeugt und die allgemeine Sicherheit im elektronischen Zahlungsverkehr gestärkt werden.

Wann endet die Frist zur Umsetzung der 2-Faktor-Authentifizierung im Online-Handel?

Die offizielle Frist der EBA (Europäische Bankenaufsichtsbehörde) für die Umsetzung von SCA in Europa ist der 31. Dezember 2020. Lediglich die britische Regulierungsbehörde für Finanzdienstleistungen hat den heimischen Händlern eine Verlängerung bis zum 14. September 2021 gewährt.

Für Kartendienstleister endet die Schonfrist zur Anpassung noch früher. Mastercard musste bereits am 30. September 2020 eine Systemanpassung nachweisen. Stichtag für Visa ist der 16. Oktober 2020. Um keine Kaufabbrüche im gewählten Zahlungsmodus zu riskieren, solltest du nicht erst bis zum Jahreswechsel warten, um dein System an das neuste Sicherheitsprotokoll anzupassen.

Was passiert, wenn ich die Umsetzung der SCA nicht bis zum 1. Januar 2021 unterstütze?

Wenn du nicht rechtzeitig die erforderlichen Änderungen zur Unterstützung von SCA vornimmst, werden betroffene E-Commerce Kartentransaktionen von den kartenausgebenden Banken (Issuer) in Zukunft abgelehnt.

Welche Ausnahmen gibt es von der Pflicht zur starken Kundenauthentifizierung?

Es gibt einige gesetzlich festgeschriebene Ausnahmen von der Pflicht zur starken Kundenauthentifizierung. Dies soll gewährleisten, dass Online-Kauferlebnisse weiterhin möglichst bequem und barrierefrei sind. 

Die wichtigsten Ausnahmen von der SCA-Pflicht sind:

  • Kleinbetragszahlungen: Für elektronische Transaktionen bis einschließlich 30 EUR ist SCA für bis zu fünf aufeinander folgende Transaktionen oder einem kumulierten Betrag von 100 EUR nicht erforderlich.
  • Wiederkehrende Zahlungen: Abonnements und wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion von der SCA ausgenommen, nachdem dein Kunde die erste Transaktion mit der starken Kundenauthentifizierung erfolgreich authorisiert hat. Darüber hinaus sind auch wiederkehrende Zahlungen mit unterschiedlichen Beträgen sowie Zahlungen, bei denen der Karteninhaber bei der Auslösung der Zahlung nicht anwesend ist (z. B. vom Händler ausgelöste Abonnement-Zahlungen), von der SCA-Pflicht befreit.
  • Zahlungen mit geringem Risiko: Transaktionen mit geringem Risiko sind von einer starken Kundenauthentifizierung ausgenommen. Ob eine Zahlung als risikoarm eingestuft wird, ermittelt sich anhand der durchschnittlichen Betrugsraten des Kartenherausgebers und des Finanzinstituts, das die Transaktion abwickelt. Sofern die gesetzlich definierten Betrugsquoten nicht überschritten werden, kann bei Beträgen zwischen 30 und 500 Euro auf die starke Kundenauthentifizierung verzichtet werden.
  • Vertrauenswürdige Händler (Whitelisting): Kunden können bei ihrer Bank eine Liste beliebter Händler führen, die sie als vertrauenswürdige Zahlungsempfänger einstufen. Wenn du als Händler auf einer solchen Whitelist geführt wirst, muss keine starke Kundenauthentifizierung (SCA) vorgenommen werden. 
  • Sichere Unternehmenszahlungen (Secure Corporate Payment): Im B2B-Zahlungsverkehr gelten Ausnahmen von der SCA-Pflicht, wenn es sich um Transaktionen von Firmenkonten handelt oder eine Firmenkarte verwendet wird, die mehrere Personen nutzen. Gleiches gilt für Lodges-Karten im Fall von Reisebuchungen sowie für virtuelle Karten. 
  • Transaction Risk Analysis: Händler mit geringen Betrugsraten können für gute Stammkunden eigene Ausnahmeregelungen mit individuellen Risikoindikatoren aktivieren. Entscheidest du dich für diesen Service, trägst du allerdings auch das Haftungsrisiko.

Was müssen Online-Händler tun, um SCA fristgerecht umzusetzen?

Händlern wird empfohlen, das Sicherheitsprotokoll EMV 3D-Secure (3-D Secure 2.x oder 3DS2) in ihrem Check-out zu integrieren, um die neuen Sicherheitsanforderungen zu erfüllen.

Setze dich zeitnah mit deinem zahlungsabwickelnden Finanzdienstleister (Acquirer oder Payment Service Provider) in Verbindung und plane rechtzeitig eine Umstellung deines Systems einschließlich Testphase für die technische Implementierung.

3DS2 vs. 3DS1: Welches Sicherheitsprotokoll soll ich nutzen?

EMV 3-D Secure (synonym auch 3-D Secure 2.x oder 3DS2) ist der Nachfolger von 3-D Secure 1.0 (3DS1). Auch der Sicherheitsstandard 3DS1 erfüllt die SCA-Anforderung von PSD2. Das neue 3DS2 Sicherheitsprotokoll soll die Sicherheit der Transaktionen jedoch weiter erhöhen, die Nutzung von Ausnahmeregelungen unterstützen sowie das Kundenerlebnis verbessern und zwar unabhängig vom Zahlungsgerätetyp bzw. Zahlungskanal.

Die Vorteile des neuen Sicherheitsprotokolls 3DS2:

  • Mobil optimierter sicherer Zahlungsverkehr: Im Gegensatz zum Vorgänger ist das neue EMV 3D-Secure Verfahren sowohl für den Einsatz im Web als auch in Apps geeignet. Es unterstützt mobile und sichere Zahlungen innerhalb von Apps sowie über mobile Bezahllösungen. Immer mehr Kunden kaufen über ihr Smartphone oder andere mobile Geräte ein. Mit 3DS2 vermittelst du ein barrierefreies und gleichzeitig sicheres Gefühl bei Zahlungen von unterwegs.
  • Mehr Auswahlmöglichkeiten für Kunden: Mit EMV 3D-Secure stehen deinen Kunden mehr Auswahlmöglichkeiten bei der Authentifizierung von Zahlungen zur Verfügung, z.B. die Nutzung biometrischer Daten wie Fingerabruck oder Gesichtserkennung. Die umständliche Eingabe von Passwörtern entfällt.
  • Ausnahmeregelungen werden unterstützt: Das neue EMV 3D-Secure Protokoll unterstützt Kartenherausgeber und Händler, die verschiedenen Ausnahmeregelungen der SCA anzuwenden. Du kannst z.B. mit Hilfe des EMV 3D-Secure-Protokolls überprüfen, welche Kartenherausgeber Whitelisting anbieten und deine Kunden daruf hinweisen, eben dich auf ihre Whitelist besonders vertrauenswürdiger Händler zu setzen. Ab der Spezifikation 2.2 wirst du automatisch darüber informiert, wenn dich ein Karteninhaber auf seine Whitelist setzt.
  • Haftung liegt bei der Bank: Mit EMV 3D-Secure liegt die Haftung im Betrugsfall bei der Bank, nicht bei dir als Händler.

Online-Shop optimieren. Umsätze steigern

iStock-521459708

Die neuen Regeln der PSD2-Zahlungsdiensterichtlinie

Sie verspricht „mehr Innovation, Wettbewerb und Effizienz“ und ist in Teilen bereits seit Januar 2018 EU-weit in Kraft. Ab dem 14. September 2019 wird Teil 2 der PSD2-Zahlungsdiensterichtlinie in den Mitgliedsstaaten umgesetzt. Das bedeutet konkret die Einführung einer Zwei-Faktor-Authentifizierung bei elektronischen Zahlungen. Die wichtigsten Informationen im Überblick.

Weihnachtsgeschäft 2020: Trotz Corona mehr Umsatz

Alle Jahre wieder kommt der Maskenmann? Mehr Geschenke, mehr Online-Shopping: Trotz Corona verspricht das Weihnachtsgeschäft 2020 lukrative Umsätze. Optimiere jetzt deine Verkaufskanäle, nutze Corona-Hilfen wie den Kinderbonus und bring ein Krisenjahr zu einem guten Abschluss.

State of Commerce: Der Online-Shop als Kundenmagnet

Weniger Transaktionen, mehr Erlebnisse. Die Ansprüche deiner Kunden im Online Shopping sind einfacher zu erfüllen, als du denkst. Warum es oft die kleinen Dinge sind, die zählen und an welchen Stellen E-Commerce Händler unbedingt nachbessern müssen, offenbart der State-Of-Commerce-Experience-Report.

Über den Autor
Kathleen Händel

Kathleen Händel

Kathleen schreibt seit 2018 im Magazin von Unternehmenswelt. Neue Ideen und Konzepte, disruptive Technologien und nachhaltiges Unternehmertum bilden ihre Interessenschwerpunkte. Zuvor war Kathleen als Content Creator für die Social StartUp-Szene, verschiedene Stiftungen und Kommunikationsagenturen tätig. Seit 2019 recherchiert die studierte Kulturwissenschaftlerin für dich alle Fakten und Zusammenhänge, die du in deinem Tagesgeschäft brauchst.