Der Handel steht vor großen Veränderungen bei der Abwicklung von Online-Zahlungen mit weitreichenden Konsequenzen für Verbraucher und Online-Händler innerhalb der EU. Unternehmen, die sich nicht rechtzeitig auf diese Neuerungen einstellen, drohen unnötige Kaufabbrüche und empfindliche Umsatzeinbußen.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat den Banken, dem Handel und den Acquirern einen Aufschub in Sachen Starke Kundenauthentifizierung (SCA) gewährt. Die Frist für die Umsetzung für Kartenzahlungen im Internet wurde bis zum 31. Dezember 2020 verlängert. Die Einführung der SCA war ursprünglich für den 14. September 2019 vorgesehen. Die Regelung entspringt der europäischen PSD2-Richtlinie, die Online-Zahlungen in Europa harmonisieren und noch sicherer machen soll.
Die PSD2-Richtlinie sieht vor, dass Online-Zahlungen zwingend durch zwei von drei Sicherheitsfaktoren freigegeben werden müssen: Besitz (z. B. Karte, Handy), Wissen (z. B. PIN) oder Inhärenz wie etwa biometrische Eigenschaften (z. B. Fingerabdruck). Konkret muss also ein physischer Gegenstand wie das Smartphone mit einem Einmal-Passwort oder dem Fingerabdruck kombiniert werden, bevor die Zahlung erfolgen kann.
Für die bei vielen Kunden beliebten Kartenzahlungen im Internet gibt es als Variante der Starken Kundenauthentifizierung seit vielen Jahren das sogenannte 3-D Secure-Verfahren, das Mastercard nun gemeinsam mit der Branchenvereinigung EMVCo optimiert hat. Das neue Sicherheitsprotokoll EMV 3-D Secure entspricht jetzt den neuen gesetzlichen Anforderungen der EU und lässt sich gleichzeitig vom Verbraucher einfacher handhaben. Es ist sowohl für den Einsatz im Web als auch in Apps geeignet. Mit dem neuen Verfahren lassen sich Betrugsversuche minimieren und fälschlicherweise abgelehnte Zahlungen reduzieren. Zusätzlich hat Mastercard Mindeststandards für die Identifikation der Kunden definiert und bietet Händlern mit „Mastercard Identity Check“ eine einfache Möglichkeit, den neuen Standard zu unterstützen und erweiterte Sicherheitslösungen zu nutzen.
Viele Online-Händler noch nicht ausreichend vorbereitet
Doch am 14. September 2019, dem ursprünglichen Stichtag, waren viele Online-Händler noch nicht ausreichend auf die technische Umsetzung der Richtlinie vorbereitet. Zu diesem Ergebnis kam im September 2019 auch eine Untersuchung des Forschungsinstituts ibi Research, die von Mastercard unterstützt wurde. Aus dieser ging hervor, dass 32 Prozent der befragten Händler noch keinen Kontakt mit ihren Zahlungsdienstleistern aufgenommen hatten. Dabei ist dies der effektivste Weg, um sich zur eigenen Situation und den Umsetzungsmöglichkeiten aufklären zu lassen.
Vielen Händlern fällt es schwer, bei den komplexen Verfahren den Überblick zu behalten, da die Vorschriften und Sonderfälle aller potentiellen Zahlungsströme in alle Herkunftsländer der Banken, Kunden und Zahlungsmittel berücksichtigt werden müssen. Daher empfiehlt sich vor allem für kleinere Händler die Einbindung eines Payment-Service-Providers. Die meisten Zahlungsdienstleister haben die notwendigen Vorgaben bereits umgesetzt. Und in der Regel lässt sich ein Upgrade auf das neue EMV 3-D Secure als Plug-in schnell und einfach in den eigenen Shop integrieren.
Einfacher Bezahlvorgang dank Biometrie
Nahezu alle Banken und Sparkassen, die eine Mastercard herausgeben, haben die neuen Verfahren inklusive Biometrie bereits eingeführt. Viele Konsumenten nutzen schon jetzt den Fingerabdruck oder die Gesichtserkennung, um ihr Smartphone zu entsperren. 86 Prozent der Bundesbürger sind offen, auch zur Authentifizierung beim Bezahlen den Fingerabdruck zu verwenden, wie eine Befragung des Digitalverbands Bitkom aus dem vergangenen Jahr zeigt. Insbesondere Einkäufe mit mobilen Endgeräten können so sicher und bequem mit nur einem Klick abgeschlossen werden, ohne ein unhandliches Passwort oder eine PIN während des Bezahlvorgangs eingeben zu müssen. „Der Trend geht ganz klar hin zu den App-Verfahren, bei denen das Push-TAN-Verfahren mit biometrischen Merkmalen eingesetzt wird“, erklärt Carsten Muerl, Director Product Management bei Mastercard. „Wir erwarten, dass sich diese biometrischen App-Verfahren bis Ende des Jahres durchsetzen und schon bald den Markt dominieren werden.“
Schnellstmöglich neue Standards implementieren
Trotz des Aufschubs durch die Behörden sind Online-Händler gut beraten, ihre Prozesse weiterhin mit Hochdruck auf die neuen Anforderungen einzustellen und schnellstmöglich mit der technischen Umsetzung der Starken Kundenauthentifizierung zu beginnen. Das Thema SCA und PSD2 sollte nicht auf die leichte Schulter genommen werden. Je früher mit der Umstellung begonnen wird, umso besser. Denn kurz vor dem Stichtag am Jahresende könnte es hektisch werden. Daher sollten sich Online-Händler schnellstmöglich mit ihrem Payment-Service-Provider in Verbindung setzen und frühzeitig mit der Testphase für die Zwei-Faktor-Authentifizierung beginnen.
Auch die vom Gesetzgeber definierten Ausnahmen, bei denen keine zusätzliche Authentifizierung durch den Käufer notwendig ist, sollten geprüft werden, um die optimale Balance zwischen Sicherheit und Conversion-Optimierung zu finden. Das neue 3-D Secure-Protokoll unterstützt Händler, die diversen Ausnahmeregelungen schnell und einfach in der Authentifikationsanfrage der Zahlung zu markieren und so eine gesetzeskonforme Zahlungsfreigabe des Kartenherausgebers ohne Zwei-Faktor-Authentifizierung zu erhalten. Nicht zuletzt sollten auch die Verbraucher einfach und verständlich über die bevorstehenden Änderungen informiert werden. Hier sind alle Marktteilnehmer in der Pflicht. Nur wenn Online-Händler ausreichend vorbereitet sind und die Kunden wissen, was auf sie zukommt, lassen sich Kaufabbrüche und Umsatzeinbußen vermeiden.
