Die PSD2 auf der Zielgeraden 

Verschärfte Sicherheitsvorschriften bei elektronischen Zahlungen

Von BS Payone

Seit Januar 2018 entfaltet die zweite Zahlungsdiensterichtlinie (PSD2) der EU-Kommission schrittweise ihre Wirkung im europäischen Zahlungsverkehrsmarkt. Am 14. September 2019 tritt die Regulierung vollends in Kraft: Ab diesem Stichtag sind Online-Händler dazu verpflichtet, eine starke Kundenauthentifizierung (SCA) im elektronischen Zahlungsverkehr umzusetzen. Die Hintergründe, Herausforderungen und Potenziale im Überblick.

Europäische Zahlungsdiensterichtlinien: Für barrierefreie Zahlungen in der EU

Die PSD2 ist eine erweiterte Auflage der PSD aus dem Jahr 2007. Ziel beider Richtlinien ist die Schaffung eines zusammenhängenden Wirtschaftsraums für europäische Finanzdienstleistungen. Während sich die erste PSD-Richtlinie primär auf die Standardisierung der zugrunde liegenden Infrastruktur (SEPA) konzentrierte, zielt die PSD2 auf die Erhöhung der Sicherheitsanforderungen sowie des Wettbewerbs zwischen den Akteuren im Zahlungsverkehr ab. Endkunden sollen von Innovationen, verschärften Sicherheitsanforderungen sowie verbesserten Haftungs- und Transparenzregeln der Richtlinie profitieren.

Seit Januar 2018 wurden bereits zwei zentrale Vorhaben der PSD2 umgesetzt: Banken wurden verpflichtet, technische Schnittstellen für Drittanbieter zu öffnen und verschärfte, insbesondere Verbraucherrechte stärkende Haftungsregeln zu befolgen. Nach 18-monatiger Frist tritt die PSD2 am 14. September 2019 vollends in Kraft, mit direkten Auswirkungen auf das Tagesgeschäft von Shop-Betreibern: Bis zu diesem Stichtag sind die Neuregelungen zur starken Kundenauthentifizierung technisch umzusetzen.

Die neuen Sicherheitsanforderungen an elektronische Zahlungen

Die Regelungen zur starken Kundenauthentifizierung schreiben vor, dass elektronische Zahlungen ab dem 14. September 2019 durch eine Zwei-Faktor-Authentifizierung (2FA) abgesichert werden müssen. Dabei sind zur Freigabe einer Bezahlung mindestens zwei unabhängige Faktoren aus den drei Kategorien Wissen (z.B. Passwort, PIN), Besitz (z.B. Bezahlkarte, Smartphone) oder Inhärenz (z.B. Fingerabdruck, Gesichtserkennung) notwendig. Die 2FA soll sicherstellen, dass es sich beim bezahlenden Nutzer auch tatsächlich um den Kontoinhaber handelt. Ziel: Reduzierung von Betrugsrisiken.

Dabei werden in der Richtlinie unter dem Begriff elektronische Zahlungen Bezahlverfahren zusammengefasst, die speziell für das Bezahlen im E-Commerce entwickelt wurden. Die Definition umfasst unter anderem die Zahlungsarten PayPal, Sofortüberweisung oder Kreditkartenzahlungen nach dem 3D Secure-Verfahren. Davon abzugrenzen sind klassische Zahlungen, wie die beleghafte Überweisung, die Zahlung auf Vorkasse oder die elektronische Lastschrift. Die Regelungen zur starken Kundenauthentifizierung betreffen damit primär Onlinezahlungen.

Ausnahmen der starken Kundenauthentifizierung

Grundsätzlich gilt: Umso mehr Maßnahmen zur Kundenauthentifizierung getroffen werden, desto komplexer wird der Bezahlprozess für den Nutzer. Um Sicherheit und Convenience im Einkaufserlebnis in ein angemessenes Verhältnis zu setzen, gibt es Ausnahmen von der Pflicht zur starken Kundenauthentifizierung. Sie ist für folgende Zahlungssituationen gelockert bzw. gänzlich aufgehoben:

  • Geringer Wert: Zahlungen bis 30€ müssen grundsätzlich nicht durch 2FA-Verfahren abgesichert werden. Falls jedoch seit der letzten Durchführung einer starken Kundenauthentifizierung ein kumulierter Betrag von 100€ oder mehr als fünf Transaktionen über dasselbe Zahlungsmittel verarbeitet wurden, ist eine 2FA durchzuführen.
  • Wiederkehrende Zahlungen: Wiederkehrende Transaktionen derselben Höhe, wie zum Beispiel Abonnements, sind ab der zweiten Transaktion von der starken Kundenauthentifizierung befreit.
  • Whitelist-Empfänger: Kunden können zukünftig eine sogenannte Whitelist mit vertrauenswürdigen Empfängern bei ihrer Bank erstellen. Für Bezahlvorgänge bei derartig gelisteten Händlern besteht keine Pflicht zur starken Kundenauthentifizierung.
  • Telephone & Mail Orders (MOTO): MOTO-Transaktionen gelten laut Definition der PSD2 nicht als elektronische Zahlungen und sind daher von der starken Kundenauthentifizierung ausgenommen.
  • Globale Transaktionen: Sobald entweder die kartenausgebende (Issuer) oder die kartenakzeptierende Bank (Acquirer) nicht in Europa ansässig sind, fällt eine Zahlung nicht unter die Regelungen der PSD2.

Die aufgezählten Ausnahmen vereinfachen zwar die Bezahlprozesse für Nutzer, ihre technische Umsetzung stellt Online-Händler jedoch vor selbstständig kaum zu bewältigende Herausforderungen. So ist beispielsweise bei Zahlungen unter 30€ für den Händler nicht ersichtlich, ob im Vorfeld der Zahlung bereits mehr als fünf Transaktionen stattfanden und daher eine starke Kundenauthentifizierung durchgeführt werden muss. Das diesbezügliche Monitoring von Zahlungsmitteln fällt in den Zuständigkeitsbereich von Zahlungsdienstleistern.

Verantwortlichkeiten und Potenziale: Kooperation zwischen Shop-Betreibern und Zahlungsdienstleistern

Grundsätzlich sind Zahlungsdienstleister für die Umsetzung der neuen Regelungen zur starken Kundenauthentifizierung verantwortlich: Über die genannten Ausnahmefälle hinaus sind Verfahren einzusetzen, die eine Sicherstellung der Identität des zahlenden Gastes ermöglichen. Zahlungsdienstleister müssen die Auslieferung und Verarbeitung der technischen Daten für die korrekte Abbildung der SCA-Anforderungen sicherstellen. Da die Anbindungen von Buchungsstrecken meist über technische Schnittstellen realisiert werden, besteht der Aufwand vor allem in der Erweiterung dieser Schnittstellen.

Weil in diesem Szenario die 2FA allein vom Zahlungsdienstleister vorgenommen wird, ergibt sich wenig Spielraum für Online-Händler. Die Herausforderung der Webseitenbetreiber besteht auf der einen Seite darin, die für den Nutzer erforderlichen Schritte auf die User Experience abzustimmen und die Komplexität bestmöglich zu reduzieren. Gerade in der Anfangszeit erhöht sich das Risiko sinkender Conversion-Rates bei der Verwendung entsprechender Zahlungsarten. Auf der anderen Seite bietet die Einführung der 2FA einen gewichtigen Vorteil für Online-Händler: Durch die Authentifizierung verringert sich das Risiko von Zahlungsausfällen und damit auch Debatten um Haftungsfragen bei vermeintlich betrügerischen Transaktionen. Für Online-Händler gilt es, die Faktoren Zahlungssicherheit und Komfort für die Nutzer gegeneinander aufzuwiegen.

Autor

BS PAYONE ist einer der führenden Payment-Anbieter Europas und versteht sich als Partner des Handels. Für unsere rund 365.000 Kunden wickeln wir mehr als 2,5 Milliarden Transaktionen pro Jahr ab. Am POS, online oder mobil – wir helfen Händlern und Dienstleistern bei den immer komplexer werdenden Herausforderungen in Bezug auf Bezahlprozesse und Vertriebskanäle.

Tel. +49 761 36889 0
Mail. [email protected]