Die neuen technischen Regulierungsstandards der Zahlungsdiensterichtlinie PSD2 (Payment Service Directive 2) sind seit dem 14.09.2019 gültig. Diese wurden von der Europäischen Bankenaufsicht definiert und alle europäischen Onlinehändler sind verpflichtet, für eine verbesserte Kundenauthentifizierung beim Online-Einkauf zu sorgen.

Im Detail bedeutet dies für alle europäischen Onlinehändler: Alle Kreditkarten-Zahlungstransaktionen müssen „stark“ abgesichert sein und zweifach überprüfen, ob der Käufer tatsächlich der Karteninhaber ist. Dieses Verfahren wird Zwei-Faktor-Authentifizierung genannt.

Die Anforderungen an die starke Kundenauthentifizierung (SCA: Strong Customer Authentification) sollen die Sicherheit der elektronischen Zahlungen erhöhen und so vor Betrug beim Online-Einkauf schützen. Seit dem 1. Januar 2021 muss SCA für alle E-Commerce-Transaktionen angewendet werden, es sei denn, es gilt eine Ausnahme. 

Was ist eine starke Kundenauthentifizierung?

Bei einer starken Authentifizierung wird die Identität durch zwei Faktoren nachgewiesen. Diese Faktoren sind in Kategorien eingeteilt. Grundsätzlich gilt: Die verwendeten Faktoren müssen aus unterschiedlichen Kategorien stammen.

Die derzeit üblichen Kategorien sind:

  • Wissen: Dazu zählen Passwörter oder eine PIN
  • Besitz: Beispielsweise eine Kreditkarte oder ein Smartphone
  • Inhärenz (Eigenschaften oder Verhalten): Dazu gehören z.B. Fingerabdrücke und Gesichtserkennung

Beispiel: Das früher oft verwendete Verfahren die Kreditkartennummer mit dem Sicherheitscode auf der Rückseite der Karte abzusichern, entspricht nicht der Vorgabe der starken Authentifizierung. Denn sowohl Kreditkartennummer als auch Prüfziffer zählen zur Kategorie Besitz.
Folge: Zusätzlich zur Kreditkartennummer muss ein weiterer Faktor, z.B. Passwort, PIN oder TAN bzw. ein Fingerabdruck verwendet werden, da diese Faktoren in der Kategorie Wissen bzw. Inhärenz stehen.

Die Zwei-Faktor-Authentifizierung ist kein neues Verfahren an sich. Neu ist, dass Ihr Einsatz erstmals bei allen elektronischen Zahlungen verpflichtend ist.

Was bedeutet das für Online-Händler im Detail?

  • Führen Sie die Sicherheitsprüfung bzw. das Sicherheitsverfahren 3D Secure ein. Dies gilt für alle Online-Zahlungen mit Kreditkarte, z.B: MasterCard Identity Check (früher SecureCode) bzw. Visa Secure (Verified by Visa), Amex Safe Key.
  • Aktivieren Sie im ipayment Konfigurations-Menü unter Anwendungen > Sicherheitseinstellungen die Option 3D Secure Prüfung durchführen.
  • Für Neueinrichtungen schalten wir für Sie 3D Secure standardmäßig an. Voraussetzung: Der Shop muss die 3D Secure Weiterleitung unterstützen. Prüfen Sie, ob der Haken  bei 3D Secure ggf. gesetzt werden muss:
    • - Klicken Sie dazu im ipayment Admin-Menü auf Zahlungsarten.
    • - Wählen Sie nun einen Zahlungsanbieter aus und klicken Sie auf Bearbeiten.
    • - Setzen Sie auf der der Detailseite zur Zahlungsart den entsprechenden Haken  bei 3D Secure.
  • Informieren Sie Ihre Kunden, damit diese bestmöglich auf das Verfahren vorbereitet sind. So minimieren Sie Ihre Kaufabbruchraten und vermeiden frustrierte Käufer bei Kartenzahlungen.

Die bestehende Schnittstelle Shop > ipayment ist wie gewohnt weiter nutzbar.

Das neue 3D-Secure-Verfahren

Mit dem 3D Secure Verfahren 2 (3DS2) wurde ein neuer, von EMVCo und den großen Kreditkartensystemen eingeführter, Standard auf den Markt gebracht. Er führt durch ein breites Datenspektrum, biometrische Authentifizierung sowie eine verbesserte, einheitliche Online-Erfahrung einen neuen Ansatz bei der Authentifizierung ein. Das bisher verwendete 3D Secure Verfahren 1 wird parallel weiter betrieben.

Das Ziel von 3DS2 ist, dass risikobasierend geprüft wird, ob der Kunde wirklich eine Authentifizierung (SCA) durchlaufen muss. Banken können das Betrugsrisiko besser einschätzen, da mehr Daten zum Kunden zwischen Händler und Bank ausgetauscht werden als bisher. Dies können über 100 Datenpunkte sein. Zu den Daten gehören zum Beispiel Informationen zum Browser, dem genutzten Gerät (Handy, Tablet) sowie die Lieferadresse. Die Bank kann so beispielsweise abgleichen, ob die vom Händler übertragenen Daten zu den Daten passen, die sie ohnehin schon vom eigenen Kunden vorliegen hat. So soll es einfacher werden, Missbrauch zu erkennen.

Die Daten werden bei der kartenausgebenden Bank gespeichert, jedoch in der Regel nach einem Jahr gelöscht. Außerdem wird damit versucht dem Kunden ein möglichst einfaches Verfahren zur Authentifizierung anzubieten.

Der dynamische und benutzerfreundliche Prozess der Zahlungsabwicklung mit 3DS2 verbessert somit die grundsätzliche Customer Experience im Vergleich zu seinem Vorgänger und führt zu weniger möglichen Kaufabbrüchen auf Händlerseite.

Weiterhin wird das neue 3DS2 nun auch auf Smartphones unkomplizierter und sicherer funktionieren.

Die wichtigsten Ausnahmen der starken Kundenauthentifizierung

In der Zahlungsdienstrichtlinie sind unterschiedliche Ausnahmen festgelegt. Allerdings kann die Bank entscheiden, ob sie eine Ausnahme zulässt oder doch die doppelte Identifizierung fordert.

Von Händlern initiierte Transaktionen (MIT) einschließlich wiederkehrende Zahlungen und Abonnements mit variablen Beträgen
Wiederkehrende Transaktionen sind ab der zweiten Transaktion ausgenommen. Nur die erste Transaktion erfordert eine starke Kundenauthentifizierung. Beachten Sie, dass diese Transaktionen als wiederkehrende Transaktion gekennzeichnet sein müssen, um die Ausnahmeregelung nutzen zu können. Wichtig dabei ist, dass die Initial-Transaktion mit 3D Secure durchgeführt wird und dabei die Initial- als auch alle Folgetransaktionen korrekt als wiederkehrende Transaktion gekennzeichnet werden. 

Weitere Details finden Sie im ipayment Technik Handbuch im Kapitel „Wiederkehrende Zahlungen“ 

Geringes Risiko 
Auch Zahlungen, bei denen Ihre kartenausgebende Bank mit einem geringen Betrugsrisiko rechnet, können mit einer einfachen Authentifizierung durchgehen.

Versandhandels- und Telefonbestellungen (Mail Order and Telephone Orders, MOTO) 
MOTO Transaktionen gelten nicht als elektronische Zahlungen und sind daher für SCA nicht relevant. Wichtig, stellen Sie sicher, dass Ihre MOTO-Transaktionen für alle Karteninhaber Kauf- bzw. Zahlungsszenarien korrekt gekennzeichnet sind.

Wenn die Authentifizierung des Karteninhabers mit 3D Secure durchgeführt wird, sind Händler in der Regel vor betrugsbedingten Rückbuchungen geschützt. Die Haftung verlagert sich in diesen Fällen auf den Kartenherausgeber. Wendet der Händler bei der Verwendung von 3DS2 eine Ausnahme für die Transaktion an, findet keine Haftungsübertragung auf den Kartenherausgeber statt.

Hinweis

3D Secure schützt nur vor Rückbuchungen im Zusammenhang mit Betrug. Gegen Rückbuchungen aufgrund des regulären Widerrufs- und Rückgaberecht, wie z.B. Ware entspricht nicht der Beschreibung, Defekt oder Nichterhalt des Verkaufsgegenstandes, sichert 3D Secure nicht ab.