Starke Kundenauthen­tifizierung

Was Internet-Unternehmen über die europäische Vorgabe wissen müssen

  1. Einführung
  2. Was bedeutet Starke Kundenauthentifizierung?
    1. Wann ist eine starke Kundenauthentifizierung vorgeschrieben?
    2. So funktioniert die Authentifizierung von Zahlungen
    3. Ausnahmen von der Starken Kundenauthentifizierung
    4. Was passiert, wenn eine Ausnahme verweigert wird?
    5. So unterstützt Stripe Sie bei der Starken Kundenauthentifizierung

In diesem Leitfaden werfen wir einen genaueren Blick auf die Anforderungen für die „Starke Kundenauthentifizierung“ (SCA), auch Zwei-Faktor-Authentifizierung (2FA) genannt, und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst nahtlos zu gestalten.

Wir haben darüber hinaus einen Leitfaden erstellt, damit Sie ermitteln können, wann Sie einen zusätzlichen Authentifizierungsschritt in Ihre Customer Journey aufnehmen sollten. Besuchen Sie unsere Website, um weitere Informationen zu den SCA-konformen Produkten von Stripe zu erhalten.

Was bedeutet Starke Kundenauthentifizierung?

Die Starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine europäische Vorgabe, um Betrug zu reduzieren und Online-Zahlungen sowie kontaktlose Offline-Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, müssen Sie einen zusätzlichen Authentifizierungsschritt in Ihren Bezahlvorgang einbauen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

Die Originalfassung der SCA-Anforderungen finden Sie in den Technischen Regulierungsstandards (engl. Regulatory Technical Standards, kurz: RTS).

Wann ist eine starke Kundenauthentifizierung vorgeschrieben?

Die Starke Kundenauthentifizierung gilt für kundenseitig veranlasste Online-Zahlungen innerhalb Europas, also für die meisten Kartenzahlungen und alle Banküberweisungen. Wiederkehrende Lastschriftzahlungen erfordern hingegen keine Authentifizierung, da sie händlerseitig veranlasst werden.

Bei Online-Kartenzahlungen gelten diese Anforderungen für Transaktionen, bei denen sich sowohl das Unternehmen als auch die Bank der Karteninhaberin/des Karteninhabers im Europäischen Wirtschaftsraum (EWR) befinden.

So funktioniert die Authentifizierung von Zahlungen

Bislang erfolgt die Authentifizierung von Online-Kartenzahlungen meist per 3D Secure. Dieser Authentifizierungsstandard wird von der überwiegenden Mehrheit der europäischen Kartenanbieter unterstützt. Bei dem Verfahren wird der Bezahlvorgang meist um einen zusätzlichen Schritt ergänzt, bei dem die Karteninhaber/innen von ihrer Bank aufgefordert werden, zusätzliche Angaben zu machen, damit die Zahlung durchgeführt werden kann (z. B. mithilfe eines einmaligen Codes, der an das Mobiltelefon gesendet wird oder per Fingerabdruck in der Banking-App).

3D Secure 2 ist die vorrangige Methode für die Authentifizierung von Online-Kartenzahlungen und die Erfüllung der SCA-Anforderungen. Die überarbeitete Version sieht ein verbessertes Nutzererlebnis vor, in welchem einige der Hürden abgebaut werden, die die Authentifizierung im Bezahlvorgang verursacht.

Bei Offline-Kartenzahlungen werden die Authentifizierungsvorgaben meist durch die Eingabe der PIN erfüllt.

Andere Kartenzahlungsmethoden wie Apple Pay oder Google Pay unterstützen bereits Zahlungsvorgänge mit einer eingebauten (biometrischen oder passwortgestützten) Authentifizierungsebene. Sie eignen sich somit hervorragend, um reibungslose Bezahlvorgänge zu gewährleisten und zugleich die neuen Anforderungen zu erfüllen.

Wir gehen zudem davon aus, dass viele in Europa verbreitete Zahlungsmethoden wie iDEAL, Bancontact oder Multibanco die neuen SCA-Vorschriften ohne größere Beeinträchtigungen des Nutzererlebnisses umsetzen werden.

Ausnahmen von der Starken Kundenauthentifizierung

Den neuen Vorschriften zufolge können bestimmte Formen risikoarmer Zahlungen von der Starken Kundenauthentifizierung ausgenommen werden. Zahlungsdienstleister wie Stripe können diese Ausnahmen während der Zahlungsabwicklung anfordern. Die Karteninhaberbank erhält in diesem Fall eine entsprechende Aufforderung. Daraufhin prüft sie das Risikoniveau der Transaktion und entscheidet, ob eine Ausnahme gemacht werden kann oder ob eine Authentifizierung zwingend erforderlich ist.

Der zusätzliche Authentifizierungsschritt kann Ihren Bezahlvorgang komplizierter machen und dazu führen, dass mehr Kundinnen und Kunden ihren Einkauf frühzeitig abbrechen. Durch die Ausnahmeregelung für risikoarme Zahlungen sind weniger Authentifizierungsschritte erforderlich, sodass Ihr Bezahlvorgang entlastet wird. Mit unseren neuen SCA-konformen Zahlungsprodukten profitieren Sie von der Ausnahmeregelung, wann immer dies möglich ist, und steigern damit Ihre Konversionsrate.

Dies sind die wichtigsten Ausnahmeregelungen für Onlinehändler/innen:

Risikoarme Zahlungen

Zahlungsanbieter (wie Stripe) sind berechtigt, mithilfe von Risikoanalysen in Echtzeit zu ermitteln, ob die SCA-Vorschriften zwingend angewendet werden müssen. Das ist jedoch nur möglich, wenn die Betrugsquoten des Zahlungsdienstleisters bzw. der Bank bei Kartenzahlungen die folgenden Grenzwerte nicht überschreiten:

  • 0,13 % für die Befreiung von Zahlungen unter 100 EUR
  • 0,06 % für die Befreiung von Zahlungen unter 250 EUR
  • 0,01 % für die Befreiung von Zahlungen unter 500 EUR

Die Grenzwerte sind gegebenenfalls in die entsprechende Währung umzurechnen.

Liegt lediglich die Betrugsquote des Zahlungsanbieters unterhalb des Grenzwerts und die der Bank des Karteninhabers/der Karteninhaberin liegt darüber, ist davon auszugehen, dass die Bank die Befreiung ablehnen und eine Authentifizierung verlangen wird.

Dies ist eine der nützlichsten Ausnahmen für Unternehmen und sie wird von Banken am ehesten unterstützt. Die umfassende Echtzeit-Risikobewertung von Stripe Radar ermöglicht es uns, diese Ausnahme für unsere Nutzer/innen umzusetzen.

Zahlungen unter 30 €

Eine weitere Ausnahmeregelung gilt für kleinere Beträge, womit Zahlungen unter 30 € gemeint sind. In diesem Fall sind die Banken jedoch verpflichtet, eine Authentifizierung zu verlangen, wenn die Ausnahmeregelung seit der letzten erfolgreichen Authentifizierung des Karteninhabers bereits fünfmal geltend gemacht wurde oder sich die zuvor ausgenommenen Zahlungen in der Summe auf mehr als 100 € belaufen. Die Bank des Karteninhabers/der Karteninhaber/in erfasst, wie oft die Ausnahmeregelung bereits in Anspruch genommen wurde und entscheidet, ob eine Authentifizierung erforderlich ist.

Aufgrund der strengen Auflagen dieser Ausnahme kann sie für Transaktionen mit geringem Risiko für die meisten Zahlungen relevanter sein. Wir werden diese Ausnahme jedoch trotzdem für unsere Nutzer/innen unterstützen.

Abonnements in fester Höhe

Diese Ausnahmeregelung greift, wenn der Kunde/die Kunde wiederkehrender Zahlungen in gleicher Höhe an dasselbe Unternehmen leistet. Bei der ersten Zahlung sind die SCA-Vorschriften jedoch stets zu erfüllen. Alle weiteren Buchungen können dann von der Authentifizierungspflicht befreit werden.

Wir gehen davon aus, dass diese Ausnahme für Abo-Unternehmen nützlich ist und von europäischen Banken weitgehend unterstützt wird. Daher aktivieren wir sie für Stripe-Nutzer/innen. Wenn Sie Stripe Billing zum Erstellen von Abos verwenden, werden wir die Ausnahme in relevanten Fällen automatisch anwenden, sodass wir bei Authentifizierungsanforderungen eingreifen können, falls diese von der Bank des Kunden/der Kundin nicht genehmigt werden.

Händlerseitig veranlasste Transaktionen (einschl. Abonnements in variabler Höhe)

Zahlungen, die mit gespeicherten Karten ohne aktives Eingreifen des Kunden/der Kundin („off-session“) getätigt werden, können als händlerseitig veranlasste Transaktionen eingestuft werden. Diese fallen aus technischen Gründen nicht in den Geltungsbereich der SCA-Richtlinie. In der Praxis werden sie wie Ausnahmefälle behandelt. Und wie bei allen Ausnahmen ist es Aufgabe der Bank, über die Notwendigkeit einer Authentifizierung zu entscheiden.

Für händlerseitig veranlasste Transaktionen müssen Sie die betreffende Karte entweder beim Speichern oder bei der ersten Zahlung authentifizieren. Und Sie benötigen eine Einwilligung des Kunden/der Kundin („Mandat“), um die Karte zu einem späteren Zeitpunkt belasten zu können.

Dies ist ein wichtiges Anwendungsszenario für Geschäftsmodelle, die auf verspäteten Zahlungen beruhen, variable Beträge für Abos berechnen oder Add-ons in Rechnung stellen. Es wird von den meisten europäischen Banken unterstützt und akzeptiert, wenn die Transaktion von der Bank als risikoarm eingestuft wird.

Mit der neuen Stripe-API können Sie eine Karte authentifizieren, wenn diese für spätere Nutzung gespeichert wird und nachfolgende Zahlungen als „vom Händler initiierte Zahlungen“ kennzeichnen.

Vertrauenswürdige Zahlungsempfänger/innen

Bei der Authentifizierung können Kundinnen und Kunden vertrauenswürdige Unternehmen auf eine Zulassungsliste setzen, um sich nicht bei jedem künftigen Einkauf authentifizieren zu müssen. Diese Unternehmen gelten bei der Kundenbank bzw. beim zuständigen Zahlungsdienstleister dann als „vertrauenswürdige Zahlungsempfänger/innen“.

Zulassungslisten können Wiederholungskäufe und Abonnements für die Kundinnen und Kunden angenehmer machen, werden von den Banken bislang aber kaum angeboten. Wir unterstützen diese Ausnahmeregelung trotz der Zögerlichkeit der Banken – sofern sie verfügbar ist.

Telefonverkauf

Per Telefon erfasste Kartendaten fallen nicht in den Geltungsbereich der SCA und erfordern demnach keine Authentifizierung. Entsprechende Zahlungen werden auch als „Versandhandels- und Telefonbestellungen“ (engl. „Mail Order and Telephone Orders“, kurz MOTO) bezeichnet. Genau wie ausgenommene Zahlungen müssen auch diese MOTO-Transaktionen als solche gekennzeichnet werden. Auch hier hat die Bank des Karteninhabers/der Karteninhaberin das letzte Wort, wenn es um die Annahme oder Ablehnung der Zahlung geht.

Dies ist ein wichtiges Anwendungsszenario für alle Unternehmen, die Zahlungen per Telefon annehmen. Es wird von den Banken weitgehend unterstützt. Über das Stripe-Dashboard erstellte Zahlungen werden automatisch als MOTO-Zahlungen gekennzeichnet.

Wenn Ihr Unternehmen PCI-konform ist und Sie ein eigenes System zur Annahme von Telefonaufträgen erstellt haben, können Sie mithilfe unserer neuen Zahlungs-APIs eine Zahlung als MOTO kennzeichnen. Bitte kontaktieren Sie uns, um diese Funktion in Ihrem Stripe-Konto zu aktivieren und auf die entsprechende technische Dokumentation zuzugreifen.

Unternehmenszahlungen

Diese Ausnahme bezieht sich auf Zahlungen, die mit „hinterlegten“ Karten getätigt werden (beispielsweise, wenn eine Firmenkarte für Reisespesen direkt bei einem Online-Reisebüro verwahrt wird). Und auch Firmenzahlungen mit virtuellen Kartennummern (,die ebenfalls in der Reisebranche verwendet werden,) fallen unter diese Ausnahmeregelung.

Wir gehen davon aus, dass diese Ausnahme aufgrund ihres engen Anwendungsbereichs kaum außerhalb der Reisebranche angewendet wird. Sie kann nur von der Bank des Karteninhabers/der Karteninhaberin beantragt werden, da weder das Unternehmen noch Zahlungsanbieter wie Stripe erkennen können, ob eine Karte zu diesen Kategorien zählt.

Was passiert, wenn eine Ausnahme verweigert wird?

Ausnahmeregelungen können sehr praktisch sein. Trotzdem sollte man bedenken, dass letztlich die Bank des Karteninhabers/der Karteninhaberin entscheidet, ob sie eine Ausnahme macht oder nicht. Die Banken können zudem neue Ablehnungscodes für Zahlungen ausgeben, die aufgrund einer fehlenden Authentifizierung scheitern. Diese Zahlungen müssen dem Kunden bzw. der Kundin dann nebst einer SCA-Aufforderung erneut vorgelegt werden. Die SCA-konformen Produkte von Stripe veranlassen diese zusätzliche Authentifizierung automatisch, wenn sie von der Bank verlangt wird.

Wenn auch Ihr Unternehmen von den neuen SCA-Vorschriften betroffen ist, sollten Sie Vorkehrungen für den Fall treffen, dass ein Ausnahmeantrag abgelehnt wird und Ihre Kundinnen und Kunden sich authentifizieren müssen. Das gilt vor allem dann, wenn Sie Kundenzahlungen außerhalb Ihres gewöhnlichen Bezahlvorgangs („off-session“) veranlassen und Ihre Kundinnen und Kunden Ihre Website oder App öffnen müssen, um sich zu authentifizieren. Weitere Informationen zu diesem Thema finden Sie in unserem Leitfaden zur Anpassung von Bezahlvorgängen an die SCA-Vorgaben.

So unterstützt Stripe Sie bei der Starken Kundenauthentifizierung

Die Änderungen, die durch die neue Vorschrift verursacht werden, werden den Onlinehandel in Europa tiefgreifend verändern. Die Konversionsrate betroffener Unternehmen, die nicht adäquat vorbereitet sind, kann im Zuge der SCA-Umsetzung deutlich zurückgehen.

Neben der Unterstützung neuer Authentifizierungsverfahren wie 3D Secure 2 erachten wir den richtigen Umgang mit den vorgesehenen Ausnahmeregelungen als Schlüsselvoraussetzung für erstklassige, reibungslose Zahlungserlebnisse. Unsere neuen Zahlungsprodukte sind optimal auf die diversen aufsichtsrechtlichen Vorgaben und die Regeln der Banken und Kartennetzwerke eingestellt und wenden bei risikoarmen Zahlungen die entsprechenden Ausnahmen an. So wird 3D Secure immer nur dann verlangt, wenn dies unbedingt erforderlich ist. Und da wir die SCA-Logik in Echtzeit anpassen können, sind wir auch auf künftige Änderungen der Vorschriften eingestellt. Dabei berücksichtigen wir natürlich stets den Durchsetzungszeitplan im jeweiligen Land.

Wir haben eine vollkommen neue Zahlungs-API veröffentlicht, die mithilfe der SCA-Logik von Stripe die richtigen Ausnahmen anfordert und 3D Secure nur dann verlangt, wenn dies notwendig ist. Unser neues Checkout und Stripe Billing bauen beide auf dieser API auf und können 3D Secure bei Bedarf automatisch anwenden.

Erfahren Sie mehr über die SCA-konformen Produkte von Stripe. Bei Fragen und Rückmeldungen können Sie uns jederzeit kontaktieren.

Startklar? Kontaktieren Sie uns oder erstellen Sie ein Konto.

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.