Starke Kundenauthentifizierung

Was Internet-Unternehmen über die neue europäische Vorgabe wissen müssen

Zuletzt aktualisiert am 18. Oktober 2019

Einführung

Im Rahmen der zweiten Richtlinie über Zahlungsdienste (PSD2) wurden in Europa am 14. September 2019 neue Anforderungen für die Authentifizierung von Online-Zahlungen eingeführt. Wir gehen davon aus, dass diese Vorgaben bis spätestens 31. Dezember 2020 vollständig umgesetzt werden.

In diesem Leitfaden schauen wir uns diese als „starke Kundenauthentifizierung“ (SCA) bekannten Anforderungen genauer an und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst reibungslos zu gestalten.

Wir haben einen gesonderten Leitfaden veröffentlicht, in dem Informationen zum Erstellen von Zahlungsabläufen für eine starke Kundenauthentifizierung gegeben werden, damit Sie erkennen können, wann Sie eine Authentifizierung in die Customer Journey aufnehmen sollten. Besuchen Sie unsere Seite für weitere Informationen zu den SCA-bereiten Produkten von Stripe.

Was bedeutet starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine neue europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, müssen Sie einen zusätzlichen Authentifizierungsschritt in Ihren Bezahlvorgang einbauen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

Etwas, das der Kunde/die Kundin WEISS (z. B. Passwort oder PIN)
Etwas, das der Kunde/die Kundin BESITZT (z. B. Telefon oder Hardware-Token)
Etwas, das der Kunde/die Kundin IST (z. B. Fingerabdruck oder Gesichtserkennung)

Die genauen SCA-Anforerdungen sind in den Technischen Regulierungsstandards oder TRS.) aufgeführt, falls sie diese nachlesen möchten.

Banken werden Zahlungen, die eine starke Kundenauthentifizierung erfordern und diese Kriterien nicht erfüllen, ablehnen müssen. Obwohl die Vorgabe am 14. September 2019 eingeführt wurde, gehen wir davon aus, dass die Anforderungen erst am 31. Dezember 2020 vollständig von den Aufsichtsbehörden durchgesetzt werden.

Wann ist eine starke Kundenauthentifizierung erforderlich?

Starke Kundenauthentifizierung wird für von Endkunden initiierte Online-Zahlungen innerhalb Europas angewendet. Daher müssen die meisten Kartenzahlungen und alle Banküberweisungen die SCA durchlaufen. Wiederkehrende Lastschriftzahlungen sind hingegen Händler-initiiert und somit von diesem Prozess nicht betroffen. Mit Ausnahme von kontaktlosen Zahlungen, sind auch persönliche Kartenzahlungen nicht von der neuen Vorgabe betroffen.

Im Fall von Online-Kartenzahlungen werden diese Vorgaben Transaktionen betreffen, bei denen sich sowohl das Unternehmen als auch die Bank des Karteninhabers im Europäischen Wirtschaftsraum (EEA) befinden. Wir gehen davon aus, dass SCA unabhängig vom Ausgang der Brexit-Verhandlungen auch im Vereinigten Königreich eingeführt wird.

Eine Zahlung authentifizieren

Die derzeit am häufigsten verwendete Methode zur Authentifizierung einer Online-Zahlung ist 3D Secure - ein von den allermeisten europäischen Karten unterstützter Authentifizierungsstandard. In der Regel wird durch 3D Secure ein zusätzlicher Schritt nach dem Bezahlvorgang hinzugefügt, bei dem der Karteninhaber/die Karteninhaberin von seiner/ihrer Bank dazu aufgefordert wird, weitere Informationen für die Zahlung anzugeben (beispielsweise ein einmaliger Code, der an das Handy gesendet wird oder eine Authentifizierung durch Fingerabdruck über die mobile Banking-App des Kunden/der Kundin).

3D Secure 2 - die neue Version des Authentifizierungsprotokolls, die 2019 eingeführt wird - wird zur Hauptmethode für die Authentifizierung von Online-Kartenzahlungen sowie das Erfüllen der neuen SCA-Anforderungen. Diese neue Version bringt ein verbessertes Nutzererlebnis mit sich, indem sie den Authentifizierungsvorgang beim Bezahlen vereinfacht.

Andere Karten-basierte Zahlungsmethoden, wie Apple Pay oder Google Pay, unterstützen bereits jetzt Bezahlvorgänge mit eingebautem Authentifizierungsschritt (biometrisch oder über ein Passwort). Auf diese Weise können Unternehmen einen reibungslosen Bezahlprozess anbieten und gleichzeitig die neuen Anforderungen erfüllen.

Wir erwarten außerdem, dass viele große europäische Zahlungsanbieter, wie iDEAL, Bancontact oder Multibanco, die neuen SCA-Vorgaben implementieren, ohne dass sich viel an ihrem Nutzererlebnis ändert.

Ausnahmen von der starken Kundenauthentifizierung

Unter dieser neuen Richtlinie können bestimmte Zahlungen mit geringem Risiko von der SCA befreit werden. Zahlungsanbieter wie Stripe werden diese Ausnahmen während der Zahlungsabwicklung anfordern können. Die Bank des Karteninhabers erhält dann eine Anfrage, prüft die Risikostufe der Transaktion und entscheidet schließlich, ob die Ausnahme genehmigt wird oder ob die Authentifizierung doch erforderlich ist.

Das Einbauen der Authentifizierung in Ihren Bezahlvorgang ist ein zusätzlicher Schritt, der Störungen verursachen und so zu Kundenabgang führen kann. Durch Ausnahmen für Zahlungen mit geringem Risiko können Sie die Anzahl der Authentifizierungen reduzieren und so Störungen vorbeugen. Wir haben unsere neuen SCA-bereiten Zahlungsprodukte so entwickelt, dass Sie die Ausnahmen wann immer möglich beantragen können, um Ihre Conversion zu schützen.

Die für Internet-Unternehmen relevantesten Ausnahmen sind:

Transaktionen mit geringem Risiko

Zahlungsanbieter wie Stripe werden eine Echtzeit-Risikoanalyse durchzuführen können, um zu bestimmen, ob SCA für eine Zahlung erforderlich ist. Dies ist unter Umständen nur dann möglich, wenn die Gesamtbetrugsraten eines Zahlungsanbieters oder einer Bank für Kartenzahlungen unter den folgenden Schwellenwerten liegen:

  • 0,13 % für Ausnahmen von Zahlungen bis zu 100 €
  • 0,06 % für Ausnahmen von Zahlungen bis zu 250 €
  • 0,01 % für Ausnahmen von Zahlungen bis zu 500 €

Diese Schwellenwerte werden gegebenenfalls in lokale Gegenwerte umgerechnet.

Wenn nur die Betrugsrate des Zahlungsanbieters unterhalb des Schwellenwerts liegt, jedoch nicht die der Bank des Karteninhabers, gehen wir davon aus, dass die Bank in diesen Fällen eine Ausnahme von der Authentifizierung verweigern wird.

Zahlungen bis zu 30 €

Diese stellen eine weitere mögliche Ausnahme dar. Transaktionen von bis zu 30 € werden als Zahlungen von „geringem Wert“ erachtet und können von der SCA ausgenommen werden. Banken werden jedoch eine Authentifizierung fordern müssen, wenn die Ausnahmeregelung für eine bestimmte Karte mehr als fünfmal verwendet wurde oder die Summer der vorherigen Ausnahme-Zahlungen 100 € überschreitet. Es liegt an der Bank des Karteninhabers, zu prüfen, wie häufig die Ausnahme angewendet wurde und zu entscheiden, ob eine Authentifizierung notwendig ist.

Abos mit festem Betrag

Diese Ausnahme kann genehmigt werden, wenn der Kunde/die Kundin wiederkehrende Zahlungen an dasselbe Unternehmen tätigt. SCA wird nur für die erste Zahlung erforderlich sein und für nachfolgende Zahlungen kann eine Ausnahme erlangt werden.

Händler-initiierte Transaktionen (inklusive Abos mit variablen Beträgen)

Zahlungen mit gespeicherten Karten ohne Anwesenheit des Kunden/der Kundin (manchmal als „Off-Session“ bezeichnet) können sich ebenfalls als Händler-initiierte Transaktionen qualifizieren. Diese Zahlungen sind theoretisch von der SCA überhaupt nicht betroffen. In der Praxis wird eine „Händler-initiierte Zahlung“ einem Antrag auf Befreiung gleichkommen. Und wie bei jeder anderen Ausnahme wird die Entscheidung, ob eine Authentifizierung erforderlich ist, bei der Bank liegen.

Für Händler-initiierte Transaktionen müssen Sie die Karte entweder beim Speichern oder bei der ersten Zahlung authentifizieren. Schließlich benötigen Sie eine Kundengenehmigung (auch als „Mandat“ bezeichnet), um seine/ihre Karte später belasten zu können.

Vertrauenswürdige Begünstigte

Beim Abschluss einer Zahlungsauthentifizierung erhalten Kunden eventuell die Möglichkeit, ein Unternehmen, dem sie vertrauen, auf eine Whitelist zu setzen, sodass der Authentifizierungsvorgang für künftige Einkäufe umgangen werden kann. Diese Unternehmen werden in eine von der Bank des Kunden/der Kundin oder vom Zahlungsanbieter verwaltete Liste sogenannter „vertrauenswürdiger Begünstigter“ eingetragen.

Telefonverkäufe

Über das Telefon eingezogene Karteninformationen sind nicht von der SCA betroffen und brauchen somit keine Authentifizierung. Diese Art von Zahlungen werden auch als „Versandhandel und telefonische Bestellungen“ bezeichnet. Ähnlich wie andere Zahlungsausnahmen, müssen diese Bestellungen nicht gekennzeichnet werden - die Bank des Karteninhabers/der Karteninhaberin entscheidet, ob die Transaktion angenommen oder abgelehnt wird.

Unternehmenszahlungen

Diese Ausnahme betrifft Zahlungen, die mit Reisestellenkarten getätigt werden (z. B. Unternehmenskarten, die zur Deckung der Reisekosten von Mitarbeitern verwendet und direkt bei einem Online-Reisebüro aufbewahrt werden), sowie Unternehmenszahlungen, die mit ebenfalls im Reisesektor verwendeten virtuellen Kartennummern getätigt werden.

Was, wenn eine Ausnahme nicht genehmigt wird?

Obwohl die Ausnahmeregelungen sehr nützlich sein werden, muss bedacht werden, dass letztendlich die Bank des Karteninhabers entscheidet, ob sie genehmigt werden oder nicht. Banken werden neue Abweisungs-Codes für Zahlungen aufgeben, die aufgrund fehlender Authentifizierung fehlgeschlagen sind. Diese Zahlungen werden dann an den Kunden/die Kunden mit Forderung nach starker Kundenauthentifizierung zurückgeleitet. Stripes SCA-bereite Produkte werden diese zusätzliche Authentifizierung automatisch auslösen, wenn sie von Banken gefordert wird.

Falls Ihr Unternehmen von der SCA betroffen ist, empfehlen wir Ihnen, eine Ausweichlösung vorzubereiten, falls Ihre Ausnahme nicht genehmigt wird und der Kunde/die Kundin sich authentifizieren muss. Dies ist besonders dann wichtig, wenn Sie Ihre Kunden „Off-Session“ belasten, sie also nicht aktiv am Bezahlvorgang beteiligt sind und für die Authentifizierung zur App oder auf die Website zurückkehren müssen. Weitere Informationen finden Sie in unserem Leitfaden zur Erstellung von Bezahlvorgängen für die starke Kundenauthentifizierung.

So unterstützt Stripe Sie bei der Vorbereitung auf die starke Kundenauthentifizierung

Die durch diese neue Regelung eingeführten Änderungen werden sich stark auf den Internethandel in Europa auswirken. Wir gehen zwar davon aus, dass die neuen Anforderungen erst am [31. Dezember 2020 vollständig durchgesetzt werden], doch betroffene Unternehmen, die sich nicht auf sie vorbereiten, könnten einen starken Rückgang ihrer Conversion-Raten erfahren, sobald europäische Banken mit der starken Kundenauthentifizierung beginnen.

Wir sind der Meinung, dass der erfolgreiche Einsatz von Ausnahmeregelungen neben Unterstützung neuer Authentifizierungsmethoden wie 3D Secure 2 entscheidend für ein erstklassiges, möglichst reibungsloses Zahlungserlebnis ist. Unsere neuen Zahlungsprodukte werden für verschiedene aufsichtsrechtliche, Bank- und Kartennetzregeln optimiert und wenden relevante Ausnahmen für Zahlungen mit geringem Risiko an. 3D Secure wird nur ausgelöst, wenn es erforderlich ist. Da diese Regeln ständiger Änderung unterliegen, werden wir diese SCA-Logik in Echtzeit unter Berücksichtigung der Umsetzungszeitplans jedes Landes aktualisieren können.

Wir haben eine neue API für grundlegende Zahlungen namens PaymentIntents veröffentlicht, die die SCA-Logik von Stripe verwendet, um korrekte Ausnahmeregelungen anzuwenden und bei Bedarf 3D Secure auszulösen. Das neue Stripe Checkout sowie Stripe Billing sind auf dieser API aufgebaut und können 3D Secure gegebenenfalls dynamisch anwenden.

Erfahren Sie mehr über die SCA-bereiten Produkte von Stripe. Kontaktieren Sie uns bitte auch bei Fragen oder Feedback!

Zurück zu den Leitfäden
You’re viewing our website for Latvia, but it looks like you’re in the United States. Switch to the United States site