Die PSD2 betrifft nicht nur Banken, sondern unter anderem auch Online-Shops.
Strong Consumer Authentication (SCA) stellt eine Herausforderung dar. Es handelt sich um die Verpflichtung, Transaktionen mit mindestens zwei verschiedenen Elementen zu bestätigen, z. B. mit einem Passwort und einem Einmalcode.
Es muss sichergestellt werden, dass die neue Lösung für Ihre Kunden verfügbar ist. Es besteht jedoch die berechtigte Sorge, dass sich SCA negativ auf der Konversionsrate auswirken wird.
Die EPSM (European Association of Payment Service Providers for Merchants) hat eine Verlängerung der Frist für starke Authentifizierungsregeln um 1,5 Jahre gefordert. Die europäische Organisation, in der sich Unternehmen der Zahlungsindustrie zusammengeschlossen haben, stellte fest, dass SCA, das für die Bestätigung von Transaktionen erforderlich ist, Kunden dazu veranlassen könnte, ihre Einkäufe abzubrechen.
Die EPSM argumentierte auch, dass die Online-Shops noch nicht für solch große Änderungen bereit sind, obwohl wir uns daran erinnern sollten, dass SCA für Einkäufe gilt, die 30 Euro überschreiten.
Hat die EPSM das Problem übertrieben? Money 20/20 hat im Auftrag des Technologieunternehmens Stripe eine Studie durchgeführt, die besagt, dass im ersten Jahr der PSD2 bis zu 57 Milliarden Euro aus Online-Verkäufen in Gefahr sind.
Außerdem zeigt die Studie, dass viele Unternehmen nicht auf die bevorstehenden Veränderungen vorbereitet sind. Andere Branchendaten zeigen, dass bis zu 25-30 % der E-Commerce-Transaktionen aufgrund einer starken Kundenauthentifizierung abgelehnt werden können.
Verzögerungen bei der Umsetzung von PSD2
Die British Financial Conduct Authority (FCA) hat sich für die Berufung der EPSM ausgesprochen. Die FCA stimmte einer 18-monatigen Verzögerung bei der Einführung von SCA-Vorschriften für E-Commerce-Transaktionen zu, während die Frist für das Inkrafttreten der PSD2 auf den 14. September 2019 festgelegt war.
"Während diese Maßnahmen [SCA — Anm. d. Red.] den Betrug eindämmen werden, wollen wir sicherstellen, dass sie für die Verbraucher selbst keine wesentlichen Beeinträchtigungen mit sich bringen, daher haben wir uns auf einen Stufenplan für ihre rechtzeitige Einführung geeinigt." Begründet Jonathan Davidson, Geschäftsführer der FCA, die Entscheidung.
Die Finanzaufsichtsbehörde stellt eine unzureichende Vorbereitung auf die vollständige Umsetzung der SCA-Vorschriften für den Zahlungsverkehr fest, insbesondere im elektronischen Geschäftsverkehr.
Wo ist die PSD2 am sinnvollsten?
SCA ist am sinnvollsten in EU-Ländern, in denen der elektronische Handel noch relativ klein ist. Wenn Sie sich die Daten von eMarketer vom Mai 2019 ansehen, werden Sie feststellen, dass China mit 1.934,78 Milliarden Dollar an der Spitze der Online-Umsätze steht.
Es folgen die USA (586,92 Mrd. $), das Vereinigte Königreich (141,93 Mrd. $), dann Japan (115,40 Mrd. $) und Südkorea (103,48 Mrd. $). Deutschland und Frankreich bleiben mit 81,85 Milliarden Dollar bzw. 69,43 Milliarden Dollar auf den hinteren Plätzen.
Nicht nur die britische FCA hat sich zum Thema SCA geäußert. Die polnische Finanzaufsichtsbehörde hat die Frist für Finanzinstitute zur Umsetzung der PSD2 verlängert. Der Bedarf an einer solchen Lösung muss bis zum 14. September 2019 bei der FSA angemeldet werden.
Migrationsplan
Zu den weiteren Schritten gehören die Ausarbeitung eines "Migrationsplans" für die vollständige Übereinstimmung mit dem SCA, die Vereinbarung mit der FSA und die anschließende Umsetzung. Die European Banking Authority (EBA) hat eine Erklärung veröffentlicht, dass die Aufsichtsbehörden der EU-Länder die Umsetzung verlängern können.
Andere Branchendaten zeigen, dass bis zu 25-30 % der E-Commerce-Transaktionen aufgrund einer starken Kundenauthentifizierung abgelehnt werden können.
"Die Polish Financial Supervision Authority erklärt, dass die von der EBA vorgeschlagene Lösung für Online-Zahlungen mit einer Debit-/Kreditkarte und für kontaktlose Zahlungen an Zahlungsterminals als akzeptabel angesehen wird" — teilt die FSA in einer Pressemitteilung mit.
Die PSD2 bringt eine wichtige rechtliche Änderung mit sich: Banken und nationale Zahlungsinstitute müssen von der FSA eine Genehmigung für die Bereitstellung von PIS (Payment Initiation Service) erhalten. Dies ist nicht unbedeutend.
Einerseits betraf die Zahl der registrierten Cyberangriffe im Jahr 2018 68 % der polnischen Unternehmen, was einem Rückgang von 14 % gegenüber 2017 entspricht.
Andererseits gaben 25 % der Unternehmen an, dass die Zahl der Cyberkriminalitätsversuche deutlich zugenommen hat, während nur 8 % von einem Rückgang sprechen — so eine Norstat-Umfrage vom Februar 2019, die im Auftrag des Beratungsunternehmens KPMG durchgeführt wurde.
Inzwischen rühmen sich immer mehr Unternehmen mit ihrer PSD2-Implementierung — zum Beispiel Zalando.de, der deutsche Bekleidungsriese mit einer florierenden Präsenz in Europa.
Die Kunden können sich ein Tutorial-Video ansehen, das Schritt für Schritt den geänderten Kaufprozess zeigt. Dies ist wichtig, weil Zalando jetzt neue Verifizierungsmethoden anbietet, darunter die biometrische Authentifizierung.
Entscheidet sich ein Zalando-Kunde für die Zahlung mit einer Kreditkarte, wird er von der Bank über die zusätzliche Authentifizierung der Zahlung informiert. Nach dem Anklicken der Benachrichtigung wird der Benutzer zur Anwendung der Bank weitergeleitet, wo er aufgefordert wird, die Transaktion z. B. mit einem Fingerabdruck zu bestätigen.
Nach erfolgreicher Prüfung wird die Bestellung bearbeitet und der Verbraucher wird wieder auf die Zalando-Website weitergeleitet.
Wie wird das Genehmigungsverfahren mit PSD2 funktionieren?
Sie wissen, dass der Autorisierungsprozess bei der Zahlung mit einer Karte anders abläuft als bisher. Der erste Teil der Überprüfung ist das "Wissen" (z. B. das Passwort), der zweite Teil ist der "Besitz" (was der Benutzer besitzt, z. B. ein Telefon mit installierter Bankanwendung).
Bei der dritten handelt es sich um ein "Kundenmerkmal", z. B. einen Fingerabdruck. Es reicht aus, zwei Methoden für einen Kauf zu verwenden. Die kartenausgebenden Banken entscheiden, welche Authentifizierungsmethoden gewählt werden.
In der Praxis wird der Kunde zunächst aufgefordert, seine Kreditkartendaten einzugeben. Wenn sie dies tun, bestätigen sie den Vorgang mit der Schaltfläche "Bezahlen". Der nächste Schritt ist der Prozess der starken Authentifizierung.
So erhalten Sie beispielsweise eine Push-Benachrichtigung von einer Bankanwendung, die die Eingabe eines persönlichen PIN-Codes oder die Bestätigung der Identität durch einen Fingerabdruck oder andere biometrische Daten erfordert. Die Zahlung wird bestätigt, wenn der PIN-Code und der einmalige Code in Form einer Textnachricht (oder biometrische Daten) korrekt sind.
Obwohl die Prämisse lautet, dass jede Online-Transaktion mit zwei Elementen autorisiert werden sollte, gibt es Ausnahmen.
Dies gilt für Transaktionen von bis zu 30 Euro bei jeder sechsten Transaktion, für wiederkehrende Zahlungen (z. B. Abonnementgebühren), für ausgewählte Geschäfte, die das Vertrauen der Kunden gewonnen haben, sowie für Transaktionen mit geringem Betrugsrisiko oder für sichere Unternehmenszahlungen.
Was sollte ein E-Commerce-Besitzer tun?
E-Commerce-Websites müssen die PSD2-Richtlinie bis März 2020 erfüllen. Wir möchten jedoch betonen, dass die Implementierung der neuen Version des 3D-Secure 2.0-Protokolls in der Verantwortung der Bank des Verbrauchers und nicht des Online-Händlers liegt.
Die Aufgabe des Besitzers ist es, dafür zu sorgen, dass das Zahlungsmodul seines Geschäfts an die neuen Richtlinien angepasst wird.
3D-Secure 2.0 basiert auf einem Authentifizierungsverfahren, bei dem die Risikobewertung an erster Stelle steht. Diese Lösung verwendet zusätzliche Transaktionsdaten, anhand derer Verkäufer und Kartenaussteller feststellen können, ob der Karteninhaber eine Zahlung veranlasst hat und ob diese fortgesetzt werden kann.
Erwähnenswert ist auch "Frictionless Flow", dessen Aufgabe darin besteht, Transaktionen mit geringem Risiko zu erkennen, sodass eine Identitätsbestätigung nicht erforderlich ist.
Wichtig ist, dass der Kunde ohne zusätzliche Schritte durch den Authentifizierungsprozess geführt werden kann, wenn die Verbindung (Zahlungsmodul) zwischen der Filiale und der Bank demselben Verfahren folgt. Es wird sich also nicht auf den Kaufverlauf oder die Konversionsrate auswirken.
Die Aufgabe des Besitzers ist es, dafür zu sorgen, dass das Zahlungsmodul seines Geschäfts an die neuen Richtlinien angepasst wird.
Alle in der EU tätigen Online-Shops sollten die Einführung einer zweistufigen Überprüfung in Erwägung ziehen. Auf dem Markt gibt es fertige Zahlungsmodule.
Eine davon ist Stripe Payment Pro (SCA-ready), das von der PrestaShop-Plattform angeboten wird. Die Kosten für ein solches Modul betragen 59,99 Euro.
Zusammenfassend lässt sich sagen, dass Online-Händler mit Zahlungsdienstleistern zusammenarbeiten müssen, die die Anforderungen der PSD2 erfüllen, aber das ist noch nicht alles.
PSD2 ist nicht so beängstigend. Ein Aktionsplan
Zum Schluss noch ein Aktionsplan für einen Online-Shop-Besitzer, der mit den Änderungen, die PSD2 mit sich bringt, zurechtkommen will.
- Wenden Sie sich an Ihre Abrechnungsstelle oder Ihren Zahlungsdienstleister. Finden Sie heraus, ob Ihr Online-Shop auf die gesetzlichen Änderungen vorbereitet ist und wann er einen Zahlungsauthentifizierungsdienst anbieten wird, der der EU-Richtlinie entspricht.
- Überlassen Sie Ihre Kunden nicht sich selbst. Informieren Sie sie über die geplanten Änderungen und weisen Sie auf die Vorteile hin, die diese mit sich bringen, wie z. B. die Verringerung des Betrugsrisikos. Erstellen Sie später z. B. ein Video, um sie in den neuen Kaufprozess einzuführen.
- Wenn Sie möchten, installieren Sie ein fertiges Zahlungsmodul wie Stripe Payment Pro (SCA-ready).
- Verwenden Sie Bezahlmethoden wie Apple Pay, Google Pay oder PayPal, die bereits über eine zweistufige Authentifizierung verfügen.
- Schauen Sie sich nach Partnern mit umfangreichen Bankverbindungen um.
- Nutzen Sie die Überwachung, um die effizientesten Zahlungsabwickler zu ermitteln.
- Sichern Sie sich die bestmögliche mobile Lösung: 3D-Secure 2.0 ist für Smartphones und Tablets konzipiert.
Haftungsausschluss
Die in diesem Artikel vorgestellten Preisbeispiele stellen kein Sonderangebot im Sinne des polnischen Zivilgesetzbuches dar.
Hero shot: Flickr.com