Starke Kundenauthentifizierung

Was Internet-Unternehmen über die neue europäische Vorgabe wissen müssen

Zuletzt aktualisiert am 18. Oktober 2019

Einführung

Im Rahmen der zweiten Richtlinie über Zahlungsdienste (PSD2) wurden in Europa am 14. September 2019 neue Anforderungen für die Authentifizierung von Online-Zahlungen eingeführt. Wir gehen davon aus, dass diese Vorgaben bis spätestens 31. Dezember 2020 vollständig umgesetzt werden.

In diesem Leitfaden schauen wir uns diese als „starke Kundenauthentifizierung“ (SCA) bekannten Anforderungen genauer an und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst reibungslos zu gestalten.

Wir haben einen gesonderten Leitfaden veröffentlicht, in dem Informationen zum Erstellen von Zahlungsabläufen für eine starke Kundenauthentifizierung gegeben werden, damit Sie erkennen können, wann Sie eine Authentifizierung in die Customer Journey aufnehmen sollten. Besuchen Sie unsere Seite für weitere Informationen zu den SCA-bereiten Produkten von Stripe.

Was bedeutet starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine neue europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, müssen Sie einen zusätzlichen Authentifizierungsschritt in Ihren Bezahlvorgang einbauen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

Etwas, das der Kunde/die Kundin WEISS (z. B. Passwort oder PIN)
Etwas, das der Kunde/die Kundin BESITZT (z. B. Telefon oder Hardware-Token)
Etwas, das der Kunde/die Kundin IST (z. B. Fingerabdruck oder Gesichtserkennung)

Die genauen SCA-Anforderungen sind in den Technischen Regulierungsstandards oder TRS.) aufgeführt, falls sie diese nachlesen möchten.

Banken werden Zahlungen, die eine starke Kundenauthentifizierung erfordern und diese Kriterien nicht erfüllen, ablehnen müssen. Obwohl die Vorgabe am 14. September 2019 eingeführt wurde, gehen wir davon aus, dass die Anforderungen erst am 31. Dezember 2020 vollständig von den Aufsichtsbehörden durchgesetzt werden.

Wann ist eine starke Kundenauthentifizierung erforderlich?

Starke Kundenauthentifizierung wird für von Endkunden/Endkundinnen initiierte Online-Zahlungen innerhalb Europas angewendet. Daher müssen die meisten Kartenzahlungen und alle Banküberweisungen die SCA durchlaufen. Wiederkehrende Lastschriftzahlungen sind hingegen vom Händler initiiert und somit von diesem Prozess nicht betroffen. Mit Ausnahme von kontaktlosen Zahlungen sind auch persönliche Kartenzahlungen nicht von der neuen Vorgabe betroffen.

Im Fall von Online-Kartenzahlungen werden diese Vorgaben Transaktionen betreffen, bei denen sich sowohl das Unternehmen als auch die Bank des Karteninhabers/der Karteninhaberin im Europäischen Wirtschaftsraum (EWR) befinden. Wir gehen davon aus, dass SCA unabhängig vom Ausgang der Brexit-Verhandlungen auch im Vereinigten Königreich eingeführt wird.

Eine Zahlung authentifizieren

Die zurzeit am häufigsten verwendete Methode zur Authentifizierung einer Online-Zahlung ist 3D Secure – ein von den allermeisten europäischen Karten unterstützter Authentifizierungsstandard. In der Regel wird durch 3D Secure ein zusätzlicher Schritt nach dem Bezahlvorgang hinzugefügt, bei dem der Karteninhaber/die Karteninhaberin von seiner/ihrer Bank dazu aufgefordert wird, weitere Informationen für die Zahlung anzugeben (beispielsweise ein einmaliger Code, der an das Handy gesendet wird oder eine Authentifizierung durch Fingerabdruck über die mobile Banking-App des Kunden/der Kundin).

3D Secure 2 – die neue Version des Authentifizierungsprotokolls, die 2019 eingeführt wird – wird zur Hauptmethode für die Authentifizierung von Online-Kartenzahlungen sowie das Erfüllen der neuen SCA-Anforderungen. Diese neue Version bringt ein verbessertes Nutzererlebnis mit sich, indem sie den Authentifizierungsvorgang beim Bezahlen vereinfacht.

Andere Karten-basierte Zahlungsmethoden, wie Apple Pay oder Google Pay unterstützen bereits jetzt Bezahlvorgänge mit eingebautem Authentifizierungsschritt (biometrisch oder über ein Passwort). Auf diese Weise können Unternehmen einen reibungslosen Bezahlprozess anbieten und gleichzeitig die neuen Anforderungen erfüllen.

Wir erwarten außerdem, dass viele große europäische Zahlungsanbieter wie iDEAL, Bancontact oder Multibanco die neuen SCA-Vorgaben implementieren, ohne dass sich viel an ihrem Nutzererlebnis ändert.

Ausnahmen von der starken Kundenauthentifizierung

Im Rahmen dieser neuen Richtlinie können bestimmte Zahlungen mit geringem Risiko von der SCA befreit werden. Zahlungsanbieter wie Stripe werden diese Ausnahmen während der Zahlungsabwicklung anfordern können. Die Bank des Karteninhabers/der Karteninhaberin erhält dann eine Anfrage, prüft die Risikostufe der Transaktion und entscheidet schließlich, ob die Ausnahme genehmigt wird oder ob die Authentifizierung doch erforderlich ist.

Das Einbauen der Authentifizierung in Ihren Bezahlvorgang ist ein zusätzlicher Schritt, der Störungen verursachen und so zu Kundenabgang führen kann. Durch Ausnahmen für Zahlungen mit geringem Risiko können Sie die Anzahl der Authentifizierungen reduzieren und so Störungen vorbeugen. Wir haben unsere neuen Zahlungsprodukte, die die starke Kundenauthentifizierung unterstützen so entwickelt, dass Sie die Ausnahmen wann immer möglich beantragen können, um Ihre Conversion zu schützen.

Die für Internet-Unternehmen relevantesten Ausnahmen sind:

Transaktionen mit geringem Risiko

Zahlungsanbieter wie Stripe werden eine Echtzeit-Risikoanalyse durchführen können, um zu bestimmen, ob SCA für eine Zahlung erforderlich ist. Dies ist unter Umständen nur dann möglich, wenn die Gesamtbetrugsraten eines Zahlungsanbieters oder einer Bank für Kartenzahlungen unter den folgenden Schwellenwerten liegen:

  • 0,13 % für Ausnahmen von Zahlungen bis zu 100 €
  • 0,06 % für Ausnahmen von Zahlungen bis zu 250 €
  • 0,01 % für Ausnahmen von Zahlungen bis zu 500 €

Diese Schwellenwerte werden gegebenenfalls in lokale Gegenwerte umgerechnet.

Wenn nur die Betrugsrate des Zahlungsanbieters unterhalb des Schwellenwerts liegt, jedoch nicht die der Bank des Karteninhabers/der Karteninhaberin, gehen wir davon aus, dass die Bank in diesen Fällen eine Ausnahme von der Authentifizierung verweigern wird.

Zahlungen bis zu 30 €

Diese stellen eine weitere mögliche Ausnahme für Zahlungen mit geringen Beträgen dar. Transaktionen von bis zu 30 € werden als Zahlungen von „geringem Wert“ erachtet und können von der SCA ausgenommen werden. Banken werden jedoch eine Authentifizierung anfordern müssen, wenn die Ausnahmeregelung für eine bestimmte Karte seit der letzten erfolgreichen Authentifizierung des Karteninhabers/der Karteninhaberin mehr als fünfmal verwendet wurde oder die Summe der vorherigen Ausnahme-Zahlungen 100 € überschreitet. Es liegt an der Bank des Karteninhabers/der Karteninhaberin, zu prüfen, wie häufig die Ausnahme angewendet wurde und zu entscheiden, ob eine Authentifizierung notwendig ist.

Abonnements mit festem Betrag

Diese Ausnahme kann genehmigt werden, wenn der Kunde/die Kundin wiederkehrende Zahlungen an dasselbe Unternehmen tätigt. SCA wird nur für die erste Zahlung erforderlich sein und für nachfolgende Zahlungen kann eine Ausnahme erlangt werden.

Vom Händler initiierte Transaktionen (inklusive Abonnements mit variablen Beträgen)

Zahlungen mit gespeicherten Karten ohne Anwesenheit des Kunden/der Kundin (manchmal als „Off-Session“ bezeichnet) können sich ebenfalls als vom Händler initiierte Transaktionen qualifizieren. Diese Zahlungen sind theoretisch von der SCA überhaupt nicht betroffen. In der Praxis wird eine „vom Händler initiierte Zahlung“ einem Antrag auf Befreiung gleichkommen. Und wie bei jeder anderen Ausnahme wird die Entscheidung, ob eine Authentifizierung erforderlich ist, bei der Bank liegen.

Für vom Händler initiierte Transaktionen müssen Sie die Karte entweder beim Speichern oder bei der ersten Zahlung authentifizieren. Schließlich benötigen Sie eine Kundengenehmigung (auch als „Mandat“ bezeichnet), um seine/ihre Karte später belasten zu können.

Vertrauenswürdige Begünstigte

Beim Abschluss einer Zahlungsauthentifizierung erhalten Kunden/Kundinnen eventuell die Möglichkeit, ein Unternehmen, dem sie vertrauen, auf eine Whitelist zu setzen, sodass der Authentifizierungsvorgang für künftige Einkäufe umgangen werden kann. Diese Unternehmen werden dann in eine von der Bank des Kunden/der Kundin oder vom Zahlungsanbieter verwaltete Liste sogenannter „vertrauenswürdiger Begünstigter“ eingetragen.

Telefonverkäufe

Über das Telefon eingezogene Karteninformationen sind nicht von der SCA betroffen und bedürfen somit keiner Authentifizierung. Diese Art von Zahlungen werden auch als „Versandhandel und telefonische Bestellungen“ bezeichnet. Ähnlich wie andere Zahlungsausnahmen, müssen diese Bestellungen als solche gekennzeichnet werden – die Bank des Karteninhabers/der Karteninhaberin entscheidet, ob die Transaktion angenommen oder abgelehnt wird.

Unternehmenszahlungen

Diese Ausnahme betrifft Zahlungen, die mit Reisestellenkarten getätigt werden (z. B. Unternehmenskarten, die zur Deckung der Reisekosten von Mitarbeitern/Mitarbeiterinnen verwendet und direkt bei einem Online-Reisebüro aufbewahrt werden), sowie Unternehmenszahlungen, die mit ebenfalls im Reisesektor verwendeten virtuellen Kartennummern getätigt werden.

Was, wenn eine Ausnahme nicht genehmigt wird?

Obwohl die Ausnahmeregelungen sehr nützlich sein werden, muss bedacht werden, dass letztendlich die Bank des Karteninhabers/der Karteninhaberin entscheidet, ob diese Ausnahmen genehmigt werden oder nicht. Banken werden neue Abweisungs-Codes für Zahlungen aufgeben, die aufgrund fehlender Authentifizierung fehlgeschlagen sind. Diese Zahlungen werden dann mit der Forderung nach starker Kundenauthentifizierung an den Kunden/die Kundin zurückgeleitet. Die Produkte von Stripe, die die starke Kundenauthentifizierung unterstützen werden diese zusätzliche Authentifizierung automatisch auslösen, wenn sie von Banken gefordert wird.

Falls Ihr Unternehmen von der SCA betroffen ist, empfehlen wir Ihnen, eine Ausweichlösung vorzubereiten, falls Ausnahmen nicht genehmigt werden und ein Kunde/eine Kundin sich authentifizieren muss. Dies ist besonders dann wichtig, wenn Sie Ihre Kunden/Kundinnen „Off-Session“ belasten, diese also nicht aktiv am Bezahlvorgang beteiligt sind und für die Authentifizierung zu Ihrer App oder auf Ihre Website zurückkehren müssen. Weitere Informationen finden Sie in unserem Leitfaden zur Erstellung von Bezahlvorgängen für die starke Kundenauthentifizierung.

So unterstützt Stripe Sie bei der Vorbereitung auf die starke Kundenauthentifizierung

Die durch diese neue Verordnung eingeführten Änderungen werden sich stark auf den Internethandel in Europa auswirken. Wir gehen zwar davon aus, dass die neuen Anforderungen erst am 31. Dezember 2020 vollständig durchgesetzt werden, doch betroffene Unternehmen, die sich nicht auf diese vorbereiten, könnten einen starken Rückgang ihrer Conversion-Raten erfahren, sobald europäische Banken mit der starken Kundenauthentifizierung beginnen.

Wir sind der Meinung, dass der erfolgreiche Einsatz von Ausnahmeregelungen neben der Unterstützung neuer Authentifizierungsmethoden wie 3D Secure 2 entscheidend für ein erstklassiges, möglichst reibungsloses Zahlungserlebnis ist. Unsere neuen Zahlungsprodukte werden für verschiedene aufsichtsrechtliche, Bank- und Kartennetzregeln optimiert und wenden relevante Ausnahmen für Zahlungen mit geringem Risiko an. 3D Secure wird nur ausgelöst, wenn es erforderlich ist. Da diese Regeln ständiger Änderung unterliegen, werden wir diese SCA-Logik in Echtzeit unter Berücksichtigung des Umsetzungszeitplans eines jeden Landes aktualisieren können.

Wir haben eine neue grundlegende Zahlungs-API veröffentlicht, die die SCA-Logik von Stripe verwendet, um korrekte Ausnahmeregelungen anzuwenden und bei Bedarf 3D Secure auszulösen. Das neue Stripe Checkout sowie Stripe Billing sind auf dieser API aufgebaut und können 3D Secure gegebenenfalls dynamisch anwenden.

Erfahren Sie mehr über die Produkte von Stripe, die die starke Kundenauthentifizierung unterstützen. Kontaktieren Sie uns bitte bei Fragen oder Feedback!

Zurück zu den Leitfäden
You’re viewing our website for Austria, but it looks like you’re in the United States. Switch to the United States site