PSD2 und starke Kundenauthentifizierung – alles, was Du zum Thema wissen musst

PSD2_Amazon_Pay-Blog-860x325-px

Der Begriff PSD2 ist verstärkt in den Nachrichten zu hören, denn zum 14. September treten wichtige Neuerungen in Kraft. Unser Partner Amazon Pay erklärt Dir, was PSD2 konkret bedeutet – und wie sich die Überarbeitung der Zahlungsdienst-Richtlinie auf Deinen Onlineshop auswirkt.

PSD2 ist eine Überarbeitung der ersten Zahlungsdienst-Richtlinie und ersetzt diese. Die Richtlinie regelt Zahlungsdienste innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) und soll eine offenere und konkurrenzfähigere Zahlungsverkehrslandschaft gewährleisten. PSD2 hat unter anderem die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) eingeführt – eine neue Sicherheitsebene für alle Online-Transaktionen mit Kredit- und Debitkarten, die ab dem 14. September 2019 verpflichtend wird.

Durch den zusätzlichen Verifizierungsschritt authentifizieren Banken und Kartenaussteller künftig den Karteninhaber, um sicherzustellen, dass die Zahlung legitim ist. Zahlungen, die ab dem Stichtag die vorgeschriebenen Verifizierungskriterien nicht aufweisen, können abgelehnt werden.

Wie funktioniert SCA im Detail?

SCA wird auf vom Kunden initiierte Online-Kartenzahlungen angewendet, bei denen sich sowohl die Bank des Unternehmens als auch die des Karteninhabers in der EWR-Region befinden. Damit betrifft die neue Richtlinie alle Unternehmen, die Online-Zahlungen innerhalb der EU akzeptieren.

Während des Bestellvorgangs können Kunden auf die Webseite ihrer Bank oder ihres Kartenausstellers weitergeleitet und gebeten werden, dort die Verifizierung durchzuführen. Dabei müssen mindestens zwei der unten beschriebenen drei möglichen Faktoren verwendet werden:

  • Etwas, das dem Kunden bekannt ist – beispielsweise ein Passwort
  • Etwas, das der Kunde besitzt – beispielsweise ein Token oder ein Mobiltelefon
  • Etwas, das für den Kunden steht oder das für diese Person eindeutig ist – beispielsweise ein Fingerabdruck

Die genaue Art der Sicherheitsabfrage und wie sie abgeschlossen werden kann, wird von der jeweiligen Bank festgelegt.

Was bedeutet SCA für Dich und Deinen Onlineshop?

Kartenzahlungen, die die Authentifizierungskriterien nicht erfüllen, können von der kartenausgebenden Bank abgelehnt werden. Du solltest also unbedingt sicherstellen, dass Dein Checkout und alle darin aktivierten Zahlungsarten die neuen Sicherheitsabfragen handhaben können.

PSD2_Blogbeitrag

Gibt es bei SCA Ausnahmeregelungen?

Transaktionen mit geringem Risiko können von der SCA-Verifizierung ausgenommen sein. Für Dich als Shopbetreiber ist es wichtig, diese Ausnahmeregelungen anzuwenden, um eine hohe Konversionsrate in Deinem Shop aufrecht zu erhalten.

Das Hinzufügen von Authentifizierungsfragen zum Checkout bedeutet, diesen um einen zusätzlichen Schritt zu verlängern, was zu höheren Warenkorbabbrüchen führen kann. Durch die Anwendung von Ausnahmen kann die Anzahl der Authentifizierungsdialoge reduziert werden, mit denen der Kunde konfrontiert wird. Dies wiederum kann zu einem besseren Checkout-Erlebnis beitragen.

Vergewissere Dich daher, dass die Zahlarten, die Du in Deinem Shop aktiviert hast, Ausnahmen anwenden.

Der Bezahldienst von Amazon Pay beispielsweise kann den gesamten SCA-Authentifizierungsprozess darstellen. Amazon Pay wendet automatisch alle sinnvollen, für jeden Unternehmenstyp und jede Transaktion zur Verfügung stehenden Ausnahmen an. Zusätzlich kann der Bezahldienst Kunden, die ihre Kartentransaktionen nicht validieren können oder möchten, direkt zu alternativen Zahlungsmitteln – wie Lastschrift – weiterleiten und so den Kaufabbruch verhindern.

Die neuen Funktionen stehen allen Händlern zur Verfügung, die Amazon Pay in ihren Shop integrieren. Solltest Du bereits Amazon Pay eingebunden haben, ist allerdings ein Update des Plugins erforderlich, um Authentifizierungsdialoge anzeigen zu können. Hier erfährst Du mehr zum Update.

Ich habe gehört, starke Kundenauthentifizierung kommt vorerst nicht. Ist das richtig?

Es ist richtig, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), so wie auch andere europäische Finanzaufsichtsbehörden, eine Erklärung veröffentlicht hat, die eine Erleichterung bei der starken Kundenauthentifizierung ermöglicht. Diese Erleichterung ist jedoch zeitlich begrenzt und gilt ausschließlich für Unternehmen mit Sitz in Deutschland. Für Karten, die in anderen Ländern ausgestellt wurden, können Banken und Kartenaussteller weiterhin eine Authentifizierung verlangen, selbst wenn diese in Shops von Händlern mit Sitz in Deutschland verwendet werden.

Zudem besagt die BaFin-Erklärung, dass auch weiterhin ab dem 14. September die starke Kundenauthentifizierung notwendig wird. Mit der jetzt eingeräumten Erleichterung hat sich der Beginn der neuen Regelung nicht verschoben, die BaFin besteht lediglich temporär nicht auf deren Einhaltung. Die Aufsichtsbehörde erwartet noch immer von allen Beteiligten, dass sie ihre Infrastrukturen schnellstmöglich den neuen Anforderungen anpassen.