17.08.2020

Kreditkartenzahlung: 3D Secure 2 wird Pflicht

Laut VISA und Mastercard sollen Online-Händler bis zum 16. Oktober 2020 3D Secure 2 für Kreditkartenzahlungen unterstützen. Ab 31. Dezember 2020 werden keine Kreditkartenzahlungen ohne 3D Secure 2 mehr akzeptiert.

Starke Kundenauthentifizierung nach PSD2

Eigentlich hätte die Umsetzung einer starken Kundenauthentifizierung für Online-Zahlungen bereits am 14. September 2019 erfolgen müssen, dem Stichtag zur Einführung der Regeln aus der EU-Zahlungsdienstrichtlinie PSD2. Diese Frist wurde jedoch zunächst auf unbestimmte Zeit außer Kraft gesetzt, da viele Marktteilnehmer eine rechtzeitige Umsetzung der Richtlinie nicht sicherstellen konnten. Nun gibt es mit dem 31. Dezember 2020 eine neue Deadline.

Ziel der starken Kundenauthentifizierung ist es, Betrugsfälle bei elektronischen Zahlungen zu verringern. Der neue Sicherheitsstandard sieht drei Möglichkeiten vor, wie sich der Kunde bei einem elektronischen Zahlungsvorgang authentifizieren kann. Es müssen mindestens zwei dieser drei Möglichkeiten (Zwei-Faktor-Authentifizierung) im Authentifizierungsvorgang enthalten sein:
  • Wissen: Unter diesen Bereich fallen alle Elemente, die nur Sie wissen können, wie z.B. Passwort, PIN, Sicherheitsfragen etc.
  • Besitz: Hier geht es um etwas, das sich nur in Ihrem Besitz befinden kann, wie z.B. Karte, Smartphone etc.
  • Inhärenz: Dieser Bereich umfasst alle Eigenschaften, welche Ihnen „anhaften“. Darunter fallen beispielsweise der Fingerabdruck-Scan, Gesichtserkennung, Iris-Scan, etc.
 

Durch die PSD2 wird keine konkrete Technologie vorgeschrieben, mit der diese Vorgaben umgesetzt werden müssen. 
Für Online-Zahlarten wie Paypal oder Amazon Pay müssen die Vorgaben durch den Zahlungsanbieter selbst umgesetzt werden. Für direkte Kreditkartenzahlungen im eigenen Webshop bedeutet dies in der Paxis die Einführung von 3D-Secure. VISA und Mastercard fordern nun alle Händler auf, bis zum 16. Oktober 3D Secure 2 einzuführen, ab 31. Dezember werden keine Kreditkartenzahlungen mehr ohne 3D Secure 2 mehr akzeptiert.

So funktioniert 3D Secure 2

Um die Online-Zahlung per Kreditkarte sicherer zu machen, hat der Verband der Kreditkartenwirtschaft 3D Secure eingeführt. Bei dem Verfahren muss der Kunde den Online-Kauf nach Eingabe der Kreditkartendaten noch in einem weiteren Schritt authorisieren. Bei den meisten Kreditkartenanbietern erfolgt dies über eine Push-Benachrichtigung auf dem Smartphone mit anschließender Freigabe über eine App.

Im Gegensatz zu 3D Secure 1 wird der Kreditkarteninhaber bei 3D Secure 2 jedoch nicht bei jedem Online-Kauf aufgefordert, eine zusätzliche Authentifizierung durchführen. Durch die Übergabe von bis zu 100 Merkmalen zum Kauf (Warenkorbgröße, IP-Adresse des Käufers) kann eine Risikoanalyse stattfinden und dadurch die Anzahl Authentifizierungs-Aufforderungen minimiert werden. Generell hat der Gesetzgeber einige Ausnahmen definiert, bei denen eine solche Authentifizierung nicht notwendig ist:

  • Transaktionsrisikoanalyse
  • Kleinbeträge (Warenkorbwert unter 30,- €)
  • Wiederkehrende Zahlungen z.B. bei Abonnements
  • Whitelisting von Unternehmen durch den Kunden
 

Nun bleibt nur zu hoffen, dass die Kreditkartenanbieter ihre Kunden ausreichend über die Umstellung informieren. Auch diese müssen 3D-Secure für ihre Kreditkarten akivieren bzw. die entsprechende App für das Smartphone einrichten.

Für Shop-Betreiber bedeutet dies: Wenn Ihr Webshop auf 3D-Sercure umgestellt ist und der Kunde das Verfahren noch nicht eingerichtet hat, führt dies zu Fragen und möglichen Kaufabbrüchen. Wir empfehlen Ihnen deshalb, in Ihrem Webshop entsprechende Hinweise und Hilfestellungen für Ihre Kunden bereitzustellen. Trotzdem wird die Conversion-Rate für Kreditkartenzahlung sicherlich in der Übergangsphase negativ beeinträchtigt werden.

Wie unterstützt Sie dynamic commerce?

Sofern Sie unser Modul Online-Payment nutzen, kümmern wir uns neben den technischen Anpassungen der Schnittstelle auch um weitere Abstimmungen mit dem Payment Service Provider. Sie erhalten von uns in Kürze eine Benachrichtigung, in der alle notwendigen Anpassungen für die Implementierung von 3D Secure 2 kundenindividuell aufgeführt sind.

Sie haben Fragen?

Wenn Sie technische Fragen haben oder eine der oben beschriebenen Lösungen einführen möchten, wenden Sie sich an:
Wenn Sie einen eigenen Computop-Vertrag haben, wenden Sie sich zur Freischaltung von 3DS-2 direkt an Computop: