Starke Kundenauthentifizierung

Was Internet-Unternehmen über die neue europäische Vorgabe wissen müssen

Zuletzt aktualisiert am 4. Mai 2020

Einleitung

Am 14. September 2019 wurden neue Anforderungen zur Authentifizierung von Online-Zahlungen in Europa als Teil der [zweiten Zahlungsdiensterichtlinie (PSD2)](https://en.wikipedia.org/wiki/Payment_Services_Directive#Revised_Directive_on_Payment_Services_(PSD2) eingeführt. Diese Anforderungen werden voraussichtlich im Laufe der Jahre 2020 und 2021 umgesetzt.

In diesem Leitfaden schauen wir uns diese als „starke Kundenauthentifizierung“ (SCA) bekannten Anforderungen genauer an und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst nahtlos zu gestalten.

Wir haben eine gesonderte Seite veröffentlicht, auf der wir die neuesten Informationen zur zeitlichen Umsetzung der starken Kundenauthentifizierung (SCA) mitteilen. Zudem haben wir einen Leitfaden erstellt, damit Sie erkennen können, wann Sie eine Authentifizierung in die Customer Journey aufnehmen sollten. Besuchen Sie unsere Seite für weitere Informationen zu den Produkten von Stripe, die die starke Kundenauthentifizierung unterstützen.

Was bedeutet starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine neue europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, müssen Sie einen zusätzlichen Authentifizierungsschritt in Ihren Bezahlvorgang einbauen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

Etwas, das der Kunde/die Kundin WEISS (z. B. Passwort oder PIN)
Etwas, das der Kunde/die Kundin BESITZT (z. B. Telefon oder Hardware-Token)
Etwas, das der Kunde/die Kundin IST (z. B. Fingerabdruck oder Gesichtserkennung)

(Wenn Sie die Anforderungen zur starken Kundenauthentifizierung (SCA) im Original lesen möchten, sind diese in den regulatorischen technischen Standards bzw. den RTS dargelegt.

Banken werden Zahlungen, für die eine starke Kundenauthentifizierung (SCA) erforderlich ist und die diese Kriterien nicht erfüllen, ablehnen müssen. Obwohl die Verordnung bereits am 14. September 2019 eingeführt wurde, werden diese Anforderungen voraussichtlich erst vollständig im Laufe der Jahre 2020 und 2021 umgesetzt werden.

Wann ist eine starke Kundenauthentifizierung erforderlich?

Die starke Kundenauthentifizierung gilt für alle „vom Kunden initiierte“ Online-Zahlungen innerhalb Europas. Daher müssen die meisten Kartenzahlungen und alle Banküberweisungen die starke Kundenauthentifizierung durchlaufen. Wiederkehrende Lastschriftzahlungen werden hingegen als „vom Händler initiiert“ angesehen und setzen keine Authentifizierung voraus. Mit Ausnahme des kontaktlosen Bezahlens sind auch persönliche Kartenzahlungen nicht von dieser neuen Verordnung betroffen.

Im Fall von Online-Kartenzahlungen werden diese Vorgaben Transaktionen betreffen, bei denen sich sowohl die Bank des Unternehmens als auch die des Karteninhabers/der Karteninhaberin im Europäischen Wirtschaftsraum (EWR) befinden. (Wir gehen davon aus, dass die SCA-Verordnung im Vereinigten Königreich unabhängig vom Ausgang der Brexit-Verhandlungen umgesetzt werden wird.)

Eine Zahlung authentifizieren

Die zurzeit am häufigsten verwendete Methode zur Authentifizierung einer Online-Zahlung ist 3D Secure. Bei 3D Secure handelt es sich um einen Authentifizierungsstandard, der von den allermeisten europäischen Karten unterstützt wird. In der Regel wird dadurch ein zusätzlicher Schritt nach dem Bezahlvorgang hinzugefügt, bei dem der Karteninhaber/die Karteninhaberin von seiner/ihrer Bank zum Abschließen der Zahlung dazu aufgefordert wird, zusätzliche Informationen zu übermitteln (z. B. durch einen einmaligen Code, der an das Handy gesendet wird oder eine Authentifizierung durch Fingerabdruck über eine mobile Banking-App).

3D Secure 2 – die neue Version des im Jahr 2019 eingeführten Authentifizierungsprotokolls – wird als Hauptmethode für die Authentifizierung von Online-Kartenzahlungen und zum Erfüllen der SCA-Anforderungen eingesetzt. Diese neue Version bringt ein verbessertes Nutzererlebnis mit sich und macht den Bezahlvorgang trotz der Authentifizierung mühelos.

Andere Karten-basierte Zahlungsmethoden wie Apple Pay oder Google Pay unterstützen bereits jetzt Bezahlvorgänge mit integriertem Authentifizierungsschritt (sowohl biometrisch als auch per Passwort). Diese Abläufe sind eine großartige Chance für Unternehmen, ihren Kunden und Kundinnen einen nahtlosen Bezahlvorgang anzubieten und gleichzeitig die neuen Anforderungen zu erfüllen.

Wir gehen ebenfalls davon aus, dass viele in Europa beliebte Zahlungsmethoden, wie z. B. iDEAL, Bancontact oder Multibanco die neue SCA-Verordnung umsetzen werden, ohne dass sich viel an dem Nutzererlebnis ändern wird.

Ausnahmen von der starken Kundenauthentifizierung

Im Rahmen dieser Verordnung können bestimmte Arten von Zahlungen mit geringem Risiko auch von der starken Kundenauthentifizierung befreit werden. Zahlungsdienstleister wie Stripe können diese Ausnahmen während der Zahlungsabwicklung anfordern. Die Bank des Karteninhabers/der Karteninhaberin erhält dann eine Anfrage, prüft das Risiko der Transaktion und entscheidet schlussendlich, ob die Ausnahme genehmigt wird oder ob die Authentifizierung dennoch erforderlich ist.

Das Einbauen der Authentifizierung in Ihren Bezahlvorgang bedeutet einen zusätzlichen Schritt, der Störungen verursachen und so zu einer erhöhten Kundenabwanderung führen kann. Durch Ausnahmen für Zahlungen mit geringem Risiko müssen weniger Authentifizierungen eines Kunden/einer Kundin durchgeführt werden, wodurch wiederum weniger Störungen auftreten. Wir haben unsere neuen Zahlungsprodukte so gestaltet, dass sie die starke Kundenauthentifizierung unterstützen. Dadurch können Sie Ausnahmen nach Möglichkeit beantragen und Ihre Konversion schützen.

Die für Internetunternehmen relevantesten Ausnahmen sind:

Transaktionen mit geringem Risiko

Zahlungsdienstleister (wie Stripe) dürfen eine Risikoanalyse in Echtzeit durchführen und so bestimmen, ob die starke Kundenauthentifizierung für eine Transaktion erforderlich ist. Dies ist unter Umständen nur dann möglich, wenn die Gesamtbetrugsraten eines Zahlungsdienstleisters oder einer Bank für Kartenzahlungen unter den folgenden Schwellenwerten liegen:

  • 0,13 % für Ausnahmen von Transaktionen unter 100 €
  • 0,06 % für Ausnahmen von Transaktionen unter 250 €
  • 0,01 % für Ausnahmen von Transaktionen unter 500 €

Diese Schwellenwerte werden gegebenenfalls in lokale Gegenwerte umgerechnet.

Wenn lediglich die Betrugsrate des Zahlungsdienstleisters unterhalb dieses Schwellenwerts liegt, die der Bank des Karteninhabers/der Karteninhaberin jedoch nicht, gehen wir davon aus, dass die Bank in diesen Fällen eine Ausnahme ablehnen und eine Authentifizierung anfordern wird.

Zahlungen bis zu 30 €

Diese stellen eine weitere mögliche Ausnahme für Zahlungen mit geringen Beträgen dar. Transaktionen von bis zu 30 € werden als Transaktionen von „geringem Wert“ angesehen und können von der starken Kundenauthentifizierung ausgenommen werden. Banken werden jedoch eine Authentifizierung anfordern müssen, wenn die Ausnahmeregelung für eine bestimmte Karte seit der letzten erfolgreichen Authentifizierung des Karteninhabers/der Karteninhaberin mehr als fünfmal verwendet wurde oder die Summe der vorherigen Ausnahme-Zahlungen 100 € überschreitet. Es liegt an der Bank des Karteninhabers/der Karteninhaberin, zu prüfen, wie häufig die Ausnahme angewendet wurde und zu entscheiden, ob eine Authentifizierung notwendig ist.

Abonnements mit festem Betrag

Diese Ausnahme kann angewendet werden, wenn der Kunde/die Kundin eine Reihe wiederkehrender Zahlungen in gleichbleibender Höhe an dasselbe Unternehmen tätigt. Die starke Kundenauthentifizierung wird nur für die erste Zahlung des Kunden/der Kunden erforderlich. Für spätere Zahlungen kann jedoch eine Ausnahme von der starken Kundenauthentifizierung (SCA) erlangt werden.

Vom Händler initiierte Transaktionen (einschließlich Abonnements mit variablen Beträgen)

Zahlungen mit gespeicherten Karten ohne Anwesenheit des Kunden/der Kundin (manchmal als „Off-Session“ bezeichnet) können sich ebenfalls als vom Händler initiierte Transaktionen qualifizieren. Diese Zahlungen sind theoretisch von der starken Kundenauthentifizierung nicht betroffen. In der Praxis wird eine „vom Händler initiierte Zahlung“ einem Antrag auf Befreiung gleichkommen. Und wie bei jeder anderen Ausnahme wird die Entscheidung, ob eine Authentifizierung für eine Transaktion erforderlich ist, bei der Bank liegen.

Für vom Händler initiierte Transaktionen müssen Sie die gewünschte Karte entweder beim Speichern oder bei der ersten Zahlung authentifizieren. Schlussendlich benötigen Sie noch eine Kundengenehmigung (auch als „Mandat“ bezeichnet), um die Kundenkarte später belasten zu können.

Vertrauenswürdige Begünstigte

Beim Abschluss einer Zahlungsauthentifizierung erhalten Kunden/Kundinnen eventuell die Möglichkeit, ein Unternehmen, dem sie vertrauen, auf eine Whitelist zu setzen, sodass der Authentifizierungsvorgang für künftige Einkäufe umgangen werden kann. Diese Unternehmen werden dann in eine von der Bank des Kunden/der Kundin oder vom Zahlungsanbieter verwaltete Liste sogenannter „vertrauenswürdiger Begünstigter“ eingetragen.

Telefonverkäufe

Über das Telefon eingezogene Kartenangaben sind nicht von der starken Kundenauthentifizierung betroffen und bedürfen somit keiner Authentifizierung. Diese Art von Zahlungen werden auch als „Versand-/Telefonbezahlung“ (Mail Order and Telephone Order, kurz MOTO) bezeichnet. Ähnlich wie andere Zahlungsausnahmen müssen diese MOTO-Bestellungen als solche gekennzeichnet werden – auch hier entscheidet die Bank des Karteninhabers/der Karteninhaberin, ob die Transaktion angenommen oder abgelehnt wird.

Unternehmenszahlungen

Diese Ausnahme betrifft Zahlungen, die mit Reisestellenkarten getätigt werden (z. B. Unternehmenskarten, die zur Deckung der Reisekosten von Mitarbeitern/Mitarbeiterinnen verwendet und direkt bei einem Online-Reisebüro aufbewahrt werden), sowie Unternehmenszahlungen, die mit (ebenfalls im Reisesektor verwendeten) virtuellen Kartennummern getätigt werden.

Was, wenn eine Ausnahme nicht genehmigt wird?

Obwohl die Ausnahmeregelungen sehr nützlich sein werden, muss bedacht werden, dass letztendlich die Bank des Karteninhabers/der Karteninhaberin entscheidet, ob diese Ausnahmen genehmigt werden oder nicht. Banken können neue Abweisungscodes für Zahlungen zurückgeben, die aufgrund fehlender Authentifizierung fehlgeschlagen sind. Diese Zahlungen werden dann mit der Forderung nach starker Kundenauthentifizierung an den Kunden/die Kundin zurückgeleitet. Die Produkte von Stripe, die die starke Kundenauthentifizierung unterstützen werden diese zusätzliche Authentifizierung automatisch auslösen, wenn sie von Banken gefordert wird.

Falls Ihr Unternehmen von der starken Kundenauthentifizierung betroffen ist, empfehlen wir Ihnen, eine Ausweichlösung vorzubereiten, falls Ausnahmen nicht genehmigt werden und ein Kunde/eine Kundin sich authentifizieren muss. Dies ist besonders dann wichtig, wenn Sie Ihre Kunden/Kundinnen „Off-Session“ belasten, diese also nicht aktiv am Bezahlvorgang beteiligt sind und für die Authentifizierung zu Ihrer App oder auf Ihre Website zurückkehren müssen. Weitere Informationen finden Sie in unserem Leitfaden zum Konzipieren von Zahlungsabläufen für SCA.

So unterstützt Stripe Sie dabei, die Anforderungen der starken Kundenauthentifizierung zu erfüllen

Die durch diese neue Verordnung eingeführten Änderungen werden sich stark auf den Internethandel in Europa auswirken. Wir gehen zwar davon aus, dass die neuen Anforderungen erst im Laufe der Jahre 2020 und 2021 umgesetzt werden, doch betroffene Unternehmen, die sich nicht auf diese vorbereiten, müssen möglicherweise mit einem starken Rückgang ihrer Konversionsraten rechnen.

Wir sind der Meinung, dass der erfolgreiche Einsatz von Ausnahmeregelungen neben der Unterstützung neuer Authentifizierungsmethoden wie 3D Secure 2 entscheidend für ein erstklassiges, möglichst reibungsloses Zahlungserlebnis ist. Unsere neuen Zahlungsprodukte werden für verschiedene aufsichtsrechtliche, Bank- und Kartennetzwerkregeln optimiert und wenden relevante Ausnahmen für Zahlungen mit geringem Risiko an. 3D Secure wird nur ausgelöst, wenn es erforderlich ist. Da diese Regeln ständiger Änderung unterliegen, werden wir diese SCA-Logik in Echtzeit unter Berücksichtigung des zeitlichen Umsetzungsplans eines jeden Landes warten und aktualisieren können.

Wir haben eine neue grundlegende Zahlungs-API veröffentlicht, die die SCA-Logik von Stripe verwendet, um korrekte Ausnahmeregelungen anzuwenden und bei Bedarf 3D Secure auszulösen. Das neue Stripe Checkout sowie Stripe Billing sind auf dieser API aufgebaut und können 3D Secure gegebenenfalls dynamisch anwenden.

Erfahren Sie mehr über die Produkte von Stripe, die die starke Kundenauthentifizierung unterstützen und kontaktieren Sie uns bei Fragen oder Feedback unter!

Zurück zu den Leitfäden
You’re viewing our website for Germany, but it looks like you’re in the United States.