Starke Kundenauthentifizierung

Was Internet-Unternehmen über die europäische Vorgabe wissen müssen

  1. Einführung
  2. Was bedeutet starke Kundenauthentifizierung?
    1. Wann ist eine starke Kundenauthentifizierung vorgeschrieben?
    2. So funktioniert die Authentifizierung von Zahlungen
    3. Ausnahmen von der starken Kundenauthentifizierung
    4. Was passiert, wenn eine Ausnahme verweigert wird?
    5. So unterstützt Stripe Sie bei der starken Kundenauthentifizierung

In diesem Leitfaden schauen wir uns diese als „starke Kundenauthentifizierung“ (Strong Customer Authentication, SCA) bekannten Anforderungen genauer an und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst reibungslos zu gestalten.

Zudem haben wir einen Leitfaden erstellt, damit Sie ermitteln können, wann Sie einen zusätzlichen Authentifizierungsschritt in Ihre Customer Journey aufnehmen sollten. Besuchen Sie unsere Website, um weitere Informationen zu den SCA-konformen Produkten von Stripe zu erhalten.

Was bedeutet starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen und kontaktlose Offline-Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, müssen Sie einen zusätzlichen Authentifizierungsschritt in Ihren Bezahlvorgang einbauen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

Die Originalfassung der SCA-Anforderungen finden Sie in den Technischen Regulierungsstandards (engl. Regulatory Technical Standards, kurz: RTS).

Wann ist eine starke Kundenauthentifizierung vorgeschrieben?

Die starke Kundenauthentifizierung gilt für kundenseitig veranlasste Online-Zahlungen innerhalb Europas, also für die meisten Kartenzahlungen und alle Banküberweisungen. Wiederkehrende Lastschriftzahlungen erfordern hingegen keine Authentifizierung, da sie händlerseitig veranlasst werden.

Im Falle von Online-Kartenzahlungen gelten die Vorschriften ausschließlich für Zahlungen, bei denen sowohl die Geschäfts- als auch die Karteninhaberbank im Europäischen Wirtschaftsraum (EWR) ansässig ist.

So funktioniert die Authentifizierung von Zahlungen

Bislang erfolgt die Authentifizierung von Online-Kartenzahlungen meist per 3D Secure. Dieser Authentifizierungsstandard wird von der überwiegenden Mehrheit der europäischen Kartenanbieter unterstützt. Bei dem Verfahren wird der Bezahlvorgang meist um einen zusätzlichen Schritt ergänzt, bei dem die Karteninhaber von ihrer Bank aufgefordert werden, zusätzliche Angaben zu machen, damit die Zahlung durchgeführt werden kann (z. B. mithilfe eines einmaligen Codes, der an das Mobiltelefon gesendet wird oder per Fingerabdruck in der Banking-App).

3D Secure 2 ist die vorrangige Methode für die Authentifizierung von Online-Kartenzahlungen und die Erfüllung der SCA-Anforderungen. Die überarbeitete Version sieht ein verbessertes Nutzererlebnis vor, durch das einige Hürden abgebaut werden sollen, die die Authentifizierung im Bezahlvorgang verursacht.

Bei Offline-Kartenzahlungen werden die Authentifizierungsvorgaben meist durch die Eingabe der PIN erfüllt.

Andere Kartenzahlungsmethoden wie Apple Pay oder Google Pay unterstützen bereits Zahlungsvorgänge mit einer eingebauten (biometrischen oder passwortgestützten) Authentifizierungsebene. Sie eignen sich somit hervorragend, um reibungslose Bezahlvorgänge zu gewährleisten und zugleich die neuen Anforderungen zu erfüllen.

Wir gehen zudem davon aus, dass viele in Europa verbreitete Zahlungsmethoden wie iDEAL, Bancontact oder Multibanco die neuen SCA-Vorschriften ohne größere Beeinträchtigungen des Nutzererlebnisses umsetzen werden.

Ausnahmen von der starken Kundenauthentifizierung

Den neuen Vorschriften zufolge können bestimmte Formen risikoarmer Zahlungen von der starken Kundenauthentifizierung ausgenommen werden. Zahlungsdienstleister wie Stripe können diese Ausnahmen während der Zahlungsabwicklung anfordern. Die Karteninhaberbank erhält in diesem Fall eine entsprechende Aufforderung. Daraufhin prüft sie das Risikoniveau der Transaktion und entscheidet, ob eine Ausnahme gemacht werden kann oder ob eine Authentifizierung zwingend erforderlich ist.

Der zusätzliche Authentifizierungsschritt kann Ihren Bezahlvorgang komplizierter machen und dazu führen, dass mehr Kunden ihren Einkauf frühzeitig abbrechen. Durch die Ausnahmeregelung für risikoarme Zahlungen sind weniger Authentifizierungsschritte erforderlich, sodass Ihr Bezahlvorgang entlastet wird. Mit unseren neuen SCA-konformen Zahlungsprodukten profitieren Sie von der Ausnahmeregelung, wann immer dies möglich ist, und steigern damit Ihre Konversion.

Und das sind die wichtigsten Ausnahmeregelungen für Onlinehändler:

Risikoarme Zahlungen

Zahlungsanbieter (wie Stripe) sind berechtigt, mithilfe von Risikoanalysen in Echtzeit zu ermitteln, ob die SCA-Vorschriften zwingend angewendet werden müssen. Dies ist jedoch nur möglich, wenn die Betrugsquoten des Zahlungsdienstleisters bzw. der Bank bei Kartenzahlungen die folgenden Grenzwerte nicht überschreiten:

  • 0,13 % für die Befreiung von Zahlungen unter 100 EUR
  • 0,06 % für die Befreiung von Zahlungen unter 250 EUR
  • 0,01 % für die Befreiung von Zahlungen unter 500 EUR

Die Grenzwerte sind gegebenenfalls in die entsprechende Währung umzurechnen.

Liegt lediglich die Betrugsquote des Zahlungsanbieters unterhalb des Grenzwerts und die der Bank des Karteninhabers liegt darüber, ist davon auszugehen, dass die Bank die Befreiung ablehnt und eine Authentifizierung verlangt.

Dies ist eine der nützlichsten Ausnahmen für Unternehmen und sie von Banken am ehesten unterstützt wird. Die umfassende Echtzeit-Risikobewertung von Stripe Radar ermöglicht es uns, diese Ausnahme für unsere Nutzer/innen zu unterstützen.

Zahlungen unter 30 EUR

Eine weitere Ausnahmeregelung gilt für kleinere Beträge, womit Zahlungen unter 30 EUR gemeint sind. In diesem Fall sind die Banken jedoch verpflichtet, eine Authentifizierung zu verlangen, wenn die Ausnahmeregelung seit der letzten erfolgreichen Authentifizierung des Karteninhabers bereits fünfmal geltend gemacht wurde oder sich die zuvor ausgenommenen Zahlungen in der Summe auf mehr als 100 EUR belaufen. Die Bank des Karteninhabers erfasst, wie oft die Ausnahmeregelung bereits in Anspruch genommen wurde und entscheidet, ob eine Authentifizierung erforderlich ist.

Aufgrund der strengen Auflagen für diese Ausnahme erwarten wir, dass die Ausnahme für Transaktionen mit geringem Risiko für die meisten Zahlungen relevanter sein wird. Wir werden diese Ausnahme jedoch trotzdem für unsere Nutzer/innen unterstützen.

Abonnements in fester Höhe

Diese Ausnahmeregelung greift nur bei wiederkehrenden Kundenzahlungen in derselben Höhe an ein und dasselbe Unternehmen. Bei der ersten Zahlung sind die SCA-Vorschriften jedoch stets zu erfüllen. Alle weiteren Buchungen können dann von der Authentifizierungspflicht befreit werden.

Wir gehen davon aus, dass diese Ausnahme für Abo-Unternehmen nützlich sein und von europäischen Banken weitgehend unterstützt wird, und werden sie daher für Stripe-Nutzer/innen aktivieren. Wenn Sie zum Erstellen von Abos Stripe Billing verwenden, werden wir die Ausnahme in relevanten Fällen automatisch anwenden, sodass wir bei Authentifizierungsanforderungen helfen können, falls diese von der Bank des Kunden/der Kundin nicht genehmigt werden.

Händlerseitig veranlasste Transaktionen (einschl. Abonnements in variabler Höhe)

Zahlungen, die mit gespeicherten Karten ohne aktives Eingreifen des Kunden („off-session“) getätigt werden, können als händlerseitig veranlasste Transaktionen eingestuft werden. Diese fallen aus technischen Gründen nicht in den Geltungsbereich der SCA-Richtlinie. In der Praxis werden sie wie Ausnahmefälle behandelt. Und wie bei allen Ausnahmen ist es Aufgabe der Bank, über die Notwendigkeit einer Authentifizierung zu entscheiden.

Für händlerseitig veranlasste Transaktionen müssen Sie die betreffende Karte entweder beim Speichern oder bei der ersten Zahlung authentifizieren. Und Sie benötigen eine Einwilligung des Kunden („Mandat“), um die Karte zu einem späteren Zeitpunkt belasten zu können.

Dies ist ein wichtiges Anwendungsszenario für Geschäftsmodelle, die auf verspäteten Zahlungen beruhen, variable Beträge für Abos berechnen oder Add-Ons in Rechnung stellen. Wir gehen davon aus, dass er von den meisten europäischen Banken unterstützt und akzeptiert wird, wenn die Transaktion von der Bank als risikoarm eingestuft wird.

Mit der neuen Stripe-API können Sie eine Karte authentifizieren, wenn diese für spätere Nutzung gespeichert wird und nachfolgende Zahlungen als „vom Händler initiierte Zahlungen“ kennzeichnen.

Vertrauenswürdige Zahlungsempfänger

Bei der Authentifizierung können Kundinnen und Kunden vertrauenswürdige Unternehmen auf eine Zulassungsliste setzen, um sich nicht bei jedem künftigen Einkauf authentifizieren zu müssen. Diese Unternehmen gelten bei der Kundenbank bzw. beim zuständigen Zahlungsdienstleister dann als „vertrauenswürdige Zahlungsempfänger“.

Zulassungslisten können Wiederholungskäufe und Abonnements für die Kundinnen und Kunden angenehmer machen, werden von den Banken bislang aber kaum angeboten. Wir unterstützen diese Ausnahmeregelung trotz der Zögerlichkeit der Banken – sofern sie verfügbar ist.

Telefonverkauf

Per Telefon erfasste Kartendaten fallen nicht in den Geltungsbereich der SCA und erfordern demnach keine Authentifizierung. Entsprechende Zahlungen werden auch als „Versandhandels- und Telefonbestellungen“ (engl. „Mail Order and Telephone Orders“, kurz MOTO) bezeichnet. Genau wie ausgenommene Zahlungen müssen auch diese MOTO-Transaktionen als solche gekennzeichnet werden. Und auch hier hat die Bank des Karteninhabers das letzte Wort, wenn es um die Annahme oder Ablehnung der Zahlung geht.

Dies ist ein wichtiges Anwendungsszenario für alle Unternehmen, die Zahlungen per Telefon annehmen. Wir gehen davon aus, dass er von den Banken weitgehend unterstützt wird. Über das Stripe-Dashboard erstellte Zahlungen werden automatisch als MOTO-Zahlungen gekennzeichnet.

Wenn Ihr Unternehmen PCI-konform ist und Sie ein eigenes System zur Annahme von Telefonaufträgen erstellt haben, können Sie mithilfe unserer neuen Zahlungs-APIs eine Zahlung als MOTO kennzeichnen. Bitte kontaktieren Sie uns, um diese Funktion in Ihrem Stripe-Konto zu aktivieren und auf die entsprechende technische Dokumentation zuzugreifen.

Unternehmenszahlungen

Diese Ausnahme bezieht sich auf Zahlungen, die mit „hinterlegten“ Karten getätigt werden (etwa wenn eine Firmenkarte für Reisespesen direkt bei einem Online-Reisebüro verwahrt wird). Und auch Firmenzahlungen mit virtuellen Kartennummern (die ebenfalls in der Reisebranche verwendet werden) fallen unter diese Ausnahmeregelung.

Wir gehen davon aus, dass diese Ausnahme aufgrund ihres engen Anwendungsbereichs kaum außerhalb der Reisebranche angewendet wird. Sie kann nur von der Bank des Karteninhabers beantragt werden, da weder das Unternehmen noch Zahlungsanbieter wie Stripe erkennen können, ob eine Karte zu diesen Kategorien zählt.

Was passiert, wenn eine Ausnahme verweigert wird?

Ausnahmeregelungen können sehr praktisch sein. Trotzdem sollte man bedenken, dass letztlich die Bank des Karteninhabers entscheidet, ob sie eine Ausnahme macht oder nicht. Die Banken können zudem neue Ablehnungscodes für Zahlungen ausgeben, die aufgrund einer fehlenden Authentifizierung scheitern. Diese Zahlungen müssen dem Kunden bzw. der Kundin dann nebst einer SCA-Aufforderung erneut vorgelegt werden. Die SCA-konformen Produkte von Stripe veranlassen diese zusätzliche Authentifizierung automatisch, wenn sie von der Bank verlangt wird.

Wenn auch Ihr Unternehmen von den neuen SCA-Vorschriften betroffen ist, sollten Sie Vorkehrungen für den Fall treffen, dass ein Ausnahmeantrag abgelehnt wird und Ihre Kunden sich authentifizieren müssen. Das gilt vor allem dann, wenn Sie Kundenzahlungen außerhalb Ihres gewöhnlichen Bezahlvorgangs („off-session“) veranlassen und Ihre Kunden Ihre Website oder App öffnen müssen, um sich zu authentifizieren. Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden zur Anpassung von Bezahlvorgängen an die SCA-Vorgaben.

So unterstützt Stripe Sie bei der starken Kundenauthentifizierung

Die Änderungen, die durch die neue Vorschrift verursacht werden, werden den Onlinehandel in Europa tiefgreifend verändern. Die Konversionsrate betroffener Unternehmen, die nicht adäquat vorbereitet sind, kann im Zuge der SCA-Umsetzung deutlich zurückgehen.

Neben der Unterstützung neuer Authentifizierungsverfahren wie 3D Secure 2 erachten wir den richtigen Umgang mit den vorgesehenen Ausnahmeregelungen als Schlüsselvoraussetzung für erstklassige, reibungslose Zahlungserlebnisse. Unsere neuen Zahlungsprodukte sind optimal auf die diversen aufsichtsrechtlichen Vorgaben und die Regeln der Banken und Kartennetzwerke eingestellt und wenden bei risikoarmen Zahlungen die entsprechenden Ausnahmen an. So wird 3D Secure immer nur dann verlangt, wenn dies unbedingt erforderlich ist. Und da wir die SCA-Logik in Echtzeit anpassen können, sind wir auch auf künftige Änderungen der Vorschriften eingestellt. Dabei berücksichtigen wir natürlich stets den Durchsetzungszeitplan im jeweiligen Land.

Wir haben eine vollkommen neue Zahlungs-API veröffentlicht, die mithilfe der SCA-Logik von Stripe die richtigen Ausnahmen anfordert und 3D Secure nur dann verlangt, wenn dies notwendig ist. Unser neues Checkout und Stripe Billing bauen beide auf dieser API auf und können 3D Secure bei Bedarf automatisch anwenden.

Hier finden Sie weitere Informationen zu den SCA-konformen Produkten von Stripe. Bei Fragen und Rückmeldungen können Sie uns jederzeit kontaktieren!

Startklar? Kontaktieren Sie uns oder erstellen Sie ein Konto.

Erstellen Sie ein Konto und beginnen Sie direkt mit der Annahme von Zahlungen, ohne Verträge abschließen oder Bankdaten angeben zu müssen. Oder kontaktieren Sie uns – gerne erstellen wir ein Paket für Sie, das genau auf Ihr Unternehmen abgestimmt ist.