Zalando war einer der Ersten. Im Sommer vergangenen Jahres stellte der Onlinemarktplatz ein Video zur „Starken Kundenauthentifizierung“ auf seine Internetseite: Eine Kundin hat ihre Bank-App auf ihrem Smartphone installiert. Das Geldinstitut schickt ihr eine Push-Benachrichtigung über die zusätzliche Authentifizierung der Zahlung. Die Kundin bestätigt mit ihrem Fingerabdruck.
Bis Ende 2020 müssen alle Betreiber eines Onlineshops Anpassungen vornehmen, wenn sie weiterhin Kreditkartenzahlungen anbieten wollen. Grundlage sind die Neuregelungen der europäischen Payment Services Directive 2 – bekannt als PSD2. Die Zahlungsdienstrichtlinie sieht die starke Kundenauthentifizierung (SCA) vor, um Zahlungen sicherer zu machen. Die Frist zur Umstellung wurde von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vom 14. September 2019 auf den 31. Dezember 2020 verschoben. „Eine weitere Verzögerung wird es nicht geben“, betont Ulrich Binnebößel, Zahlungsexperte des Einzelhandelsverbands HDE in Berlin.
Jetzt upgraden
Konkret geht es darum, den Sicherheitsstandard 3-D Secure 2.0 oder höher zu nutzen. Dieser wurde im April 2019 von EMVCo, einem Verbund der großen Kreditkartenaussteller wie Visa, MasterCard und American Express, eingeführt. Es handelt sich um ein Upgrade des 3-D-Secure-Verfahrens. Dieses setzt auf die starke Kundenauthentifizierung. „Bis Ende Dezember 2020 wird das 3-D-S-2.X-Verfahren zum neuen Sicherheitsstandard. Onlinehändler müssen diesen nach aktuellem Stand bei Kreditkartenzahlungen verwenden“, sagt Caroline Coelsch, Projektleiterin Online und Mobile Payment beim EHI in Köln. Die BaFin akzeptiert das 3-D-Secure-Verfahren 1.0 nur noch bis Jahresende.
Onlinehändler, die Kreditkarten akzeptieren, sollten dringend ihren Payment Service Provider kontaktieren. Bis zum 16. Oktober dieses Jahres sollten sie in der Lage sein, diese Transaktionen nach dem neuen 3-D-Secure-2-Protokoll abzuwickeln. Die Deadline wurde gesetzt, weil künftig weit mehr Daten als bisher zur Authentifizierung zu liefern sind. Frühzeitig sollten Testläufe gestartet werden, was wiederum die reibungslose Anbindung an die Zahlungsdienstleister voraussetzt. „Wie viel Aufwand individuell mit dem neuen Verfahren verbunden ist, hängt auch vom jeweiligen Shopsystem ab“, erklärt Henning Brandt vom Zahlungsdienstleister Computop.
Überdies müssen viele Kunden ihre Kreditkarten noch freischalten lassen. Die Banken sollen darüber aufklären. Binnebößel empfiehlt Händlern aber, die starke Kundenauthentifizierung zu erklären und dafür zu werben. Erhöhte Abbruchraten infolge der Zwei-Faktor-Authentifizierung könnten sonst die Folge sein.
Rechnungskauf gefragt
Außerdem müssen Händler einkalkulieren, dass abhängig von der jeweiligen Branche künftig mehr Kunden den Rechnungskauf präferieren. SCA bei Kreditkartenzahlung ist aufwendig und langwierig für die Kunden, weshalb sie sich für einfachere Wege des Bezahlens entscheiden könnten. Das wiederum erfordert Strategien, um das Zahlungsausfallrisiko zu minimieren. „Beispielsweise kann die Möglichkeit zum Rechnungskauf auf einen Höchstbetrag begrenzt sein. Alternativ schaltet der Onlinehändler eine Schufa-Anfrage vor oder überträgt das Zahlungsrisiko auf einen Dienstleister“, erläutert Binnebößel.
Die Plattform Otto.de achtet als eine Sicherheitsmaßnahme zum Beispiel darauf, ob Kunden sehr teure Artikel plötzlich in ungewöhnlich hohen Mengen bestellen. In seltenen Fällen kann das sogar dazu führen, dass Mitarbeiter bei den Käufern anrufen und nachfragen, ob ein Fehler vorliegt, das Kundenkonto gehackt wurde oder ob der Kauf tatsächlich so geplant war. Der Anteil des Rechnungskaufs bewegt sich bei Otto.de konstant auf hohem Niveau. „Dieser ist aber nicht gewachsen, seit wir die Zwei-Faktor-Authentifizierung bei Kartenzahlungen eingeführt haben“, berichtet Pressesprecher Frank Surholt über die Erfahrungen bei Otto.
Das Wichtigste zur Zwei-Faktor-Authentifizierung:
Wer bis Neujahr nicht umgestellt hat, kann keine Kartenzahlung im Onlineshop mehr anbieten.
Zwei von drei Merkmalen müssen beim Bezahlvorgang künftig vorhanden sein. Diese müssen aus den Bereichen Wissen (Passwort oder PIN), Besitz (Chipkarte, Smartphone) oder Inhärenz (Fingerabdruck, Gesichtsmerkmal) stammen.
Bei bestimmten Zahlungen, wie zum Beispiel Kleinbetragszahlungen, greifen Ausnahmen, sodass auf die SCA verzichtet werden kann. Kauf auf Rechnung, Lastschrift oder Überweisung sind ebenso ohne SCA möglich.
„Die Coronakrise hat die Prioritäten verschoben“
Caroline Coelsch verantwortet beim EHI die Forschung zum Onlinepayment. Im Interview erklärt sie die Herausforderungen für Händler rund um den Umstellungsprozess auf PSD2.
Das Sicherheitsverfahren 3-D Secure 2.0 gibt es bereits seit fast anderthalb Jahren. Dennoch arbeiten viele Händler noch nicht damit. Warum?
Sicherlich hatten sie in den vergangenen Monaten wegen Corona eine ganze Reihe anderer Probleme. In der schwierigen Situation ist es verständlich, wenn sich die Prioritäten verschoben haben. Jetzt sagen in unserer Studie aber nur 27 Prozent der Händler, dass sie ihren Umsetzungsplan bis Ende 2020 noch einhalten können. Einem Großteil der Unternehmer liegen die notwendigen Informationen für die Umsetzung der PSD2 und der Einführung des neuen Sicherheitsverfahrens vor, viele wünschen sich aber einen engeren Austausch mit ihrem Payment-Dienstleister. Da besteht Nachholbedarf.
Was empfehlen Sie in dieser Situation?
Die Händler sollten bei ihrem Dienstleister ermitteln, welche technischen Anforderungen sie erfüllen müssen. Außerdem sollten sie alternative Wege des Bezahlens anbieten. Der richtige Payment-Mix kann darüber entscheiden, ob Kunden ihren Kauf im Onlineshop abschließen oder abbrechen.
Welche Folgen hat das?
Der Fokus liegt künftig auf einem schnellen, einfachen und mobilen Check-out. Fast alle Teilnehmer unserer Studie planen in den nächsten zwei Jahren, Verfahren wie Apple Pay und Google Pay einzuführen. Bei nahezu jedem Vierten steht Amazon Pay auf der Liste. Erste Onlineshop-Betreiber sprechen sogar von WeChat Pay und Alipay. Mittelständische Händler sollten die Großkonkurrenz im Auge behalten, um bei Bedarf mitzuziehen.
Kommentare