Starke Kundenauthentifizierung

Was Internet-Unternehmen über die neue europäische Vorgabe wissen müssen

Letzte Aktualisierung am 12. Mai 2021

Einleitung

Am 14. September 2019 wurden neue Anforderungen zur Authentifizierung von Online-Zahlungen in Europa als Teil der zweiten Zahlungsdiensterichtlinie (PSD2) eingeführt. Diese Anforderungen werden voraussichtlich im Laufe der Jahre 2020 und 2021 umgesetzt.

In diesem Leitfaden schauen wir uns diese als „starke Kundenauthentifizierung“ (Strong Customer Authentication, SCA) bekannten Anforderungen genauer an und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst reibungslos zu gestalten.

Wir haben eine eigene Seite eingerichtet, auf der wir aktuelle Informationen zum Umsetzungszeitplan der starken Kundenauthentifizierung (SCA) veröffentlichen. Zudem haben wir einen Leitfaden erstellt, damit Sie ermitteln können, wann Sie einen zusätzlichen Authentifizierungsschritt in Ihre Customer Journey aufnehmen sollten. Besuchen Sie unsere Website, um weitere Informationen zu den SCA-konformen Produkten von Stripe zu erhalten.

Was bedeutet starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine neue europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen und kontaktlose Offline-Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, müssen Sie einen zusätzlichen Authentifizierungsschritt in Ihren Bezahlvorgang einbauen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

Etwas, das der Kunde/die Kundin WEISS (z. B. Passwort oder PIN)
Etwas, das der Kunde/die Kundin BESITZT (z. B. Telefon oder Hardware-Token)
Etwas, das der Kunde/die Kundin IST (z. B. Fingerabdruck oder Gesichtserkennung)

(Die Originalfassung der SCA-Anforderungen finden Sie in den Technischen Regulierungsstandards (engl. Regulatory Technical Standards, kurz: RTS).)

Die Banken sind demnach verpflichtet, Zahlungen abzulehnen, bei denen eine starke Kundenauthentifizierung vorgeschrieben aber nicht gegeben ist. Die neue Regulierungsvorschrift wurde bereits am 14. September 2019 verabschiedet. Derzeit gehen wir davon aus, dass sie von den zuständigen Aufsichtsbehörden im Laufe der Jahre 2020 und 2021 durchgesetzt werden wird.

Wann ist eine starke Kundenauthentifizierung vorgeschrieben?

Die starke Kundenauthentifizierung gilt für kundenseitig veranlasste Online-Zahlungen innerhalb Europas, also für die meisten Kartenzahlungen und alle Banküberweisungen. Wiederkehrende Lastschriftzahlungen erfordern hingegen keine Authentifizierung, da sie händlerseitig veranlasst werden.

Im Falle von Online-Kartenzahlungen gelten die neuen Vorschriften ausschließlich für Zahlungen, bei denen sowohl die Geschäfts- als auch die Karteninhaberbank im Europäischen Wirtschaftsraum (EWR) ansässig ist. (Wir gehen davon aus, dass die SCA-Richtlinie ungeachtet der Brexit-Entscheidung auch im Vereinigten Königreich Anwendung finden wird.)

So funktioniert die Authentifizierung von Zahlungen

Bislang erfolgt die Authentifizierung von Online-Kartenzahlungen meist per 3D Secure. Dieser Authentifizierungsstandard wird von der überwiegenden Mehrheit der europäischen Kartenanbieter unterstützt. Bei dem Verfahren wird der Bezahlvorgang meist um einen zusätzlichen Schritt ergänzt, bei dem die Karteninhaber von ihrer Bank aufgefordert werden, zusätzliche Angaben zu machen, damit die Zahlung durchgeführt werden kann (z. B. mithilfe eines einmaligen Codes, der an das Mobiltelefon gesendet wird oder per Fingerabdruck in der Banking-App).

3D Secure 2 – die Neufassung des Authentifizierungsprotokolls, die 2019 eingeführt wird – wird sich zur vorrangigen Methode für die Authentifizierung von Online-Kartenzahlungen und die Erfüllung der neuen SCA-Anforderungen entwickeln. Die überarbeitete Version sieht ein verbessertes Nutzererlebnis vor, durch das einige Hürden abgebaut werden sollen, die die Authentifizierung im Bezahlvorgang verursacht.

Bei Offline-Kartenzahlungen werden die Authentifizierungsvorgaben meist durch die Eingabe der PIN erfüllt.

Andere Kartenzahlungsmethoden wie Apple Pay oder Google Pay unterstützen bereits Zahlungsvorgänge mit einer eingebauten (biometrischen oder passwortgestützten) Authentifizierungsebene. Sie eignen sich somit hervorragend, um reibungslose Bezahlvorgänge zu gewährleisten und zugleich die neuen Anforderungen zu erfüllen.

Wir gehen zudem davon aus, dass viele in Europa verbreitete Zahlungsmethoden wie iDEAL, Bancontact oder Multibanco die neuen SCA-Vorschriften ohne größere Beeinträchtigungen des Nutzererlebnisses umsetzen werden.

Ausnahmen von der starken Kundenauthentifizierung

Den neuen Vorschriften zufolge können bestimmte Formen risikoarmer Zahlungen von der starken Kundenauthentifizierung ausgenommen werden. Zahlungsdienstleister wie Stripe können diese Ausnahmen während der Zahlungsabwicklung anfordern. Die Karteninhaberbank erhält in diesem Fall eine entsprechende Aufforderung. Daraufhin prüft sie das Risikoniveau der Transaktion und entscheidet, ob eine Ausnahme gemacht werden kann oder ob eine Authentifizierung zwingend erforderlich ist.

Der zusätzliche Authentifizierungsschritt kann Ihren Bezahlvorgang komplizierter machen und dazu führen, dass mehr Kunden ihren Einkauf frühzeitig abbrechen. Durch die Ausnahmeregelung für risikoarme Zahlungen sind weniger Authentifizierungsschritte erforderlich, sodass Ihr Bezahlvorgang entlastet wird. Mit unseren neuen SCA-konformen Zahlungsprodukten profitieren Sie von der Ausnahmeregelung, wann immer dies möglich ist, und steigern damit Ihre Konversion.

Und das sind die wichtigsten Ausnahmeregelungen für Onlinehändler:

Risikoarme Zahlungen

Zahlungsanbieter (wie Stripe) sind berechtigt, mithilfe von Risikoanalysen in Echtzeit zu ermitteln, ob die SCA-Vorschriften zwingend angewendet werden müssen. Dies ist jedoch nur möglich, wenn die Betrugsquoten des Zahlungsdienstleisters bzw. der Bank bei Kartenzahlungen die folgenden Grenzwerte nicht überschreiten:

  • 0,13 % für die Befreiung von Zahlungen unter 100 EUR
  • 0,06 % für die Befreiung von Zahlungen unter 250 EUR
  • 0,01 % für die Befreiung von Zahlungen unter 500 EUR

Die Grenzwerte sind gegebenenfalls in die entsprechende Währung umzurechnen.

Liegt lediglich die Betrugsquote des Zahlungsanbieters unterhalb des Grenzwerts und die der Bank des Karteninhabers liegt darüber, ist davon auszugehen, dass die Bank die Befreiung ablehnt und eine Authentifizierung verlangt.

Zahlungen unter 30 EUR

Eine weitere Ausnahmeregelung gilt für kleinere Beträge, womit Zahlungen unter 30 EUR gemeint sind. In diesem Fall sind die Banken jedoch verpflichtet, eine Authentifizierung zu verlangen, wenn die Ausnahmeregelung seit der letzten erfolgreichen Authentifizierung des Karteninhabers bereits fünfmal geltend gemacht wurde oder sich die zuvor ausgenommenen Zahlungen in der Summe auf mehr als 100 EUR belaufen. Die Bank des Karteninhabers erfasst, wie oft die Ausnahmeregelung bereits in Anspruch genommen wurde und entscheidet, ob eine Authentifizierung erforderlich ist.

Abonnements in fester Höhe

Diese Ausnahmeregelung greift nur bei wiederkehrenden Kundenzahlungen in derselben Höhe an ein und dasselbe Unternehmen. Bei der ersten Zahlung sind die SCA-Vorschriften jedoch stets zu erfüllen. Alle weiteren Buchungen können dann von der Authentifizierungspflicht befreit werden.

Händlerseitig veranlasste Transaktionen (einschl. Abonnements in variabler Höhe)

Zahlungen, die mit gespeicherten Karten ohne aktives Eingreifen des Kunden („off-session“) getätigt werden, können als händlerseitig veranlasste Transaktionen eingestuft werden. Diese fallen aus technischen Gründen nicht in den Geltungsbereich der SCA-Richtlinie. In der Praxis werden sie wie Ausnahmefälle behandelt. Und wie bei allen Ausnahmen ist es Aufgabe der Bank, über die Notwendigkeit einer Authentifizierung zu entscheiden.

Für händlerseitig veranlasste Transaktionen müssen Sie die betreffende Karte entweder beim Speichern oder bei der ersten Zahlung authentifizieren. Und Sie benötigen eine Einwilligung des Kunden („Mandat“), um die Karte zu einem späteren Zeitpunkt belasten zu können.

Vertrauenswürdige Zahlungsempfänger

Bei der Authentifizierung können Kundinnen und Kunden vertrauenswürdige Unternehmen auf eine Zulassungsliste setzen, um sich nicht bei jedem künftigen Einkauf authentifizieren zu müssen. Diese Unternehmen gelten bei der Kundenbank bzw. beim zuständigen Zahlungsdienstleister dann als „vertrauenswürdige Zahlungsempfänger“.

Telefonverkauf

Per Telefon erfasste Kartendaten fallen nicht in den Geltungsbereich der SCA und erfordern demnach keine Authentifizierung. Entsprechende Zahlungen werden auch als „Versandhandels- und Telefonbestellungen“ (engl. Mail Order and Telephone Orders, kurz MOTO) bezeichnet. Genau wie ausgenommene Zahlungen müssen auch diese MOTO-Transaktionen als solche gekennzeichnet werden. Und auch hier hat die Bank des Karteninhabers das letzte Wort, wenn es um die Annahme oder Ablehnung der Zahlung geht.

Unternehmenszahlungen

Diese Ausnahme bezieht sich auf Zahlungen, die mit „hinterlegten“ Karten getätigt werden (etwa wenn eine Firmenkarte für Reisespesen direkt bei einem Online-Reisebüro verwahrt wird). Und auch Firmenzahlungen mit virtuellen Kartennummern (die ebenfalls in der Reisebranche verwendet werden) fallen unter diese Ausnahmeregelung.

Was passiert, wenn eine Ausnahme verweigert wird?

Ausnahmeregelungen können sehr praktisch sein. Trotzdem sollte man bedenken, dass letztlich die Bank des Karteninhabers entscheidet, ob sie eine Ausnahme macht oder nicht. Die Banken können zudem neue Ablehnungscodes für Zahlungen ausgeben, die aufgrund einer fehlenden Authentifizierung scheitern. Diese Zahlungen müssen dem Kunden bzw. der Kundin dann nebst einer SCA-Aufforderung erneut vorgelegt werden. Die SCA-konformen Produkte von Stripe veranlassen diese zusätzliche Authentifizierung automatisch, wenn sie von der Bank verlangt wird.

Wenn auch Ihr Unternehmen von den neuen SCA-Vorschriften betroffen ist, sollten Sie Vorkehrungen für den Fall treffen, dass ein Ausnahmeantrag abgelehnt wird und Ihre Kunden sich authentifizieren müssen. Das gilt vor allem dann, wenn Sie Kundenzahlungen außerhalb Ihres gewöhnlichen Bezahlvorgangs („off-session“) veranlassen und Ihre Kunden Ihre Website oder App öffnen müssen, um sich zu authentifizieren. Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden zur Anpassung von Bezahlvorgängen an die SCA-Vorgaben.

So unterstützt Stripe Sie bei der starken Kundenauthentifizierung

Die Änderungen, die durch die neue Vorschrift verursacht werden, werden den Onlinehandel in Europa tiefgreifend verändern. Und auch wenn die neuen Vorgaben erst in den Jahren 2020 und 2021 durchgesetzt werden dürften, kann die Konversionsrate betroffener Unternehmen, die nicht adäquat vorbereitet sind, im Zuge der SCA-Umsetzung deutlich zurückgehen.

Neben der Unterstützung neuer Authentifizierungsverfahren wie 3D Secure 2 erachten wir den richtigen Umgang mit den vorgesehenen Ausnahmeregelungen als Schlüsselvoraussetzung für erstklassige, reibungslose Zahlungserlebnisse. Unsere neuen Zahlungsprodukte sind optimal auf die diversen aufsichtsrechtlichen Vorgaben und die Regeln der Banken und Kartennetzwerke eingestellt und wenden bei risikoarmen Zahlungen die entsprechenden Ausnahmen an. So wird 3D Secure immer nur dann verlangt, wenn dies unbedingt erforderlich ist. Und da wir die SCA-Logik in Echtzeit anpassen können, sind wir auch auf künftige Änderungen der Vorschriften eingestellt. Dabei berücksichtigen wir natürlich stets den Durchsetzungszeitplan im jeweiligen Land.

Wir haben eine vollkommen neue Zahlungs-API veröffentlicht, die mithilfe der SCA-Logik von Stripe die richtigen Ausnahmen anfordert und 3D Secure nur dann verlangt, wenn dies notwendig ist. Unser neues Checkout und Stripe Billing bauen beide auf dieser API auf und können 3D Secure bei Bedarf automatisch anwenden.

Hier finden Sie weitere Informationen zu den SCA-konformen Produkten von Stripe. Bei Fragen und Rückmeldungen können Sie uns jederzeit kontaktieren!

Zurück zu den Leitfäden
You’re viewing our website for Austria, but it looks like you’re in the United States.