Suche Grau Suche
Strategische Beratung, konzeptionelles Marketing, Crossmedia, webbasierte Software und Websites

SCA: Online-Shops müssen Zahlungsverfahren anpassen

EU-Verordnung fordert ab September umfangreiche Authentifizierung

Online-Bestellungen erfordern künftig Zwei-Faktor-Authentifizierung.

Online-Bestellungen erfordern künftig Zwei-Faktor-Authentifizierung.

Zum 14.9.2019 tritt die zweite Zahlungsdiensterichtlinie (PSD2) in Kraft. Besonders Betreiber von Online-Shops sollten sich rechtzeitig darauf vorbereiten, sonst drohen massive Umsatzeinbrüche. Dennoch haben derzeit EU-weit nur rund ein Viertel der betroffenen Anbieter die Vorschrift im Blick. Die neue EU-Verordnung fordert für alle Online-Zahlungen eine zusätzliche Authentifizierungsstufe. Die „Strong Customer Authentification“ (SCA) soll dem zunehmenden Online-Betrug entgegentreten und mittelfristig auch die Betriebskosten für Shopbetreiber verringern, weil sie Fehl- und Rückbuchungen vermeiden hilft. Zusätzliche Hürden im Bestellprozess können jedoch vor allem in der Startphase die Zahl der Abbrüche beim Online-Einkauf erhöhen.

Banken können mit dem Inkrafttreten der Richtline alle Zahlungen abweisen, die nicht ausreichend abgesichert sind. Eine Warnung ist das Beispiel Indien: Als dort 2014 eine vergleichbare Vorschrift eingeführt wurde, brachen bei einigen Anbietern die Umsätze um 25 Prozent ein. PSD2 wirkt sich auf alle Unternehmen aus, die Online-Zugriff auf Zahlungskonten in Europa gewähren oder elektronische Zahlungen einziehen, die vom Zahler ausgelöst werden.

Strong Customer Authentification (SCA) in der Praxis

Mit SCA wird Zwei-Faktor-Authentifizierung (2 Factor Authentification, 2FA) zum De-facto-Standard für alle elektronischen Einzelzahlungen. Es reicht dann beispielsweise nicht mehr, die Kreditkartennummer mit Prüfziffer einzugeben. Kunden müssen noch durch ein zusätzliches Element bestätigen, dass sie berechtigt sind, die Zahlung auszuführen. Der zusätzliche Faktor kann ein biometrisches Merkmal sein wie ein Fingerabdruck, etwas, was der Nutzer weiß – z. B. ein Kennwort – oder etwas, das dem Nutzer gehört, etwa ein Smartphone mit entsprechender App für Einmal-Codes oder ein Security-Token.

Grundsätzlich erlaubt es die Verordnung, beispielsweise für Stammkunden auf SCA zu verzichten. Das Problem dabei: Dieses Whitelisting muss nicht nur individuell für jeden Kunden eingestellt werden, sondern auch für jede Bank, die dieser Kunde nutzt – entsprechend hoch ist der Veraltungsaufwand.

In der Praxis geht es also darum, die geforderte Strong Customer Authentification so in den Bestellprozess zu integrieren, dass die Hürde für den Kunden möglichst niedrig ist. Dabei sollte gleichzeitig der Checkout-Prozess auf weitere Probleme geprüft werden, die für Reibungsverluste bei der Transaktion verantwortlich sind und so Abbrüche verursachen.

Die Authentifizierung führt im Normalfall entweder die Bank des Kunden durch, ansonsten Zahlungsdienstleister wie Kreditkartenanbieter. Mittlerweile setzen bereits rund 82 % der Onlinehändler 3D-Secure-Verfahren wie „Verified by Visa“ oder „Mastercard Secure Code“ ein, die die PSD2-Anforderungen erfüllen – allerdings ist die Zahlung per Kreditkarte in Deutschland im Vergleich zu vielen anderen Ländern immer noch wenig verbreitet. Unabhängig davon, welches SCA-Verfahren eingesetzt wird: Shopbetreiber und deren Dienstleister müssen vor dem Stichtag sicherstellen, dass die angepassten Zahlungsverfahren sauber in ihrem Shop integriert sind.

Neben dem erhofften Rückgang beim Zahlungsbetrug in Online-Shops erhoffen sich Experten positive Auswirkungen auf Kosten und Konversionsrate. So sollte die Zahl der Rückbuchungen an Kunden sinken. Dafür befürchten manche Kostensteigerungen an anderer Stelle: Wenn der Serviceanbieter nach den neuen Vorgaben für Kosten im Zusammenhang mit Betrug und Rückbuchungen aufkommen muss, wird dieser das Risiko in Form höherer Servicegebühren weitergeben.

SCA oder nicht?

Auch wenn der Einkauf im Online-Shop der typischste Fall sein wird, in dem der Kunde mit dem Thema Strong Customer Authentification konfrontiert wird, wird SCA auch in anderen Anwendungsbereichen auftauchen. Bei Abonnements, bei denen regelmäßig Zahlungen eingezogen werden, wird die SCA zumindest beim ersten Einrichten für wiederkehrende Kartenzahlungen erforderlich sein. Bei folgenden Belastungen dagegen sollte, so die aktuelle vorherrschende Meinung, nicht jedes Mal eine weitere Prüfung nötig sein.

Auch wer kontaktlos mit Karte oder Handy zahlen will, muss damit rechnen, dass während des Bezahlvorgangs hin und wieder eine SCA-Abfrage erfolgt. Damit soll stichprobenartig sichergestellt werden, dass die Zahlung vom rechtmäßigen Nutzer ausgelöst wird. Einige Zahlungstypen sollen von der SCA-Pflicht ausgenommen bleiben. Hierzu zählen Zahlungsvorgänge mit geringem Risiko („Low-risk transactions“), Telefonverkäufe und vom Anbieter ausgelöste Transaktionen.