25.07.2019

3D-Secure 2.0 - Starke Kundenauthentifizierung im Rahmen der PSD2

Am 14.09.2019 endet die Umsetzungsfrist für die Einführung der starken Kundenauthentifizierung bei elektronischen Zahlungen. Diese ist Teil der im Januar 2018 in Kraft getretenden zweiten Zahlungsdienstrichtlinie (EU) (Abkürzung PSD2).

Wir haben für Sie folgend die wichtigsten Punkte der starken Kundenauthentifizierung zusammengefasst.

Was bedeutet dies?

Ziel der starken Kundenauthentifizierung ist es, die Betrugsfälle bei elektronischen Zahlungen zu verringern und somit das Vertrauen der Endkunden zu erhöhen.

Die starke Kundenauthentifizierung wird immer dann notwendig, sobald der Zahlende einen elektronischen Zahlungsvorgang auslöst, welche ein Betrugs- oder Missbrauchsrisiko beinhaltet.

Der neue Sicherheitsstandard sieht drei Möglichkeiten vor, wie sich der Kunde bei einem elektronischen Zahlungsverkehr authentifizieren kann. Es müssen mindestens zwei dieser drei Möglichkeiten (Zwei-Faktor Authentifizierung) im Authentifizierungsvorgang enthalten sein, damit dieser als „stark“ gilt:

  • Wissen: Unter diesen Bereich fallen alle Elemente, die nur Sie wissen können, wie z.B. Passwort, PIN, Sicherheitsfragen etc.

  • Besitz: Hier geht es um etwas, das sich nur in Ihrem Besitz befinden kann, wie z.B. Karte, Smartphone etc.

  • Inhärenz: Dieser Bereich umfasst alle Eigenschaften, welche Ihnen „anhaften“. Darunter fallen beispielsweise der Fingerabdruck-Scan, Gesichtserkennung, Iris Scan, etc.

Zahlung mit Kreditkarte: der 3D-Secure 2.0 Standard

Um die starke Kundenauthentifizierung auch im Rahmen der Kreditkartenzahlungen einhalten zu können, hat der Verband der Kreditkartenwirtschaft das 3D-Secure 2.0-Verfahren  (3DS 2.0) eingeführt, welches eine Weiterentwicklung des bisher weltweit standardisierten 3D 1.0 Secure-Verfahrens (3DS 1.0) darstellt. Bei dem alten Verfahren werden Kreditkartenzahlungen durch einen vom Kunden hinterlegten PIN sicherer gemacht.

Als Beispiel der Umsetzung des 3DS 1.0 Verfahrens dienen „Verified by Visa"und "Mastercard Secure Code". Das bislang freiwillige Verfahren gilt aber eher als unkomfortabel und hat sich daher nicht wirklich durchgesetzt, da bei jeder Transaktion der eigens vergebene PIN angegeben werden musste. Dies wiederum führte zu einer schlechteren Conversion-Rate, weshalb dynamic commerce bisher von der Aktivierung von 3D-Secure abriet.

Durch das neu entwickelte 3D-Secure 2.0 Verfahren soll die Umsetzung der starken Authentifizierung erleichtert werden. Des Weiteren ermöglicht der neue Standard das Erfassen und Übertragen von bis zu 100 Daten zum Käufer und Kaufprozess. Hierzu zählen unter anderem die Anzahl der Transaktionen, die Warenkorbgröße, die Wiederkaufsrate, die IP-Adresse des Käufers etc.
Von der Übermittlung dieser zusätzlichen Informationen profitieren wiederum die Käufer, da dies die Risikobewertung positiv beeinflusst und dadurch die Authentifizierungs-Aufforderung minimiert werden kann.

Welche Ausnahmen gibt es?

Um den Einfluss auf den Online-Shopper durch die Zwei-Faktor Authentifizierung möglichst gering zu halten, hat der Gesetzgeber einige Ausnahmen definiert, bei denen eine solche Authentifizierung nicht notwendig ist:

Transaktionsrisikoanalyse
 
Finanzdienstleister haben die Möglichkeit eine Transaktionsrisikioanalyse durchzuführen. Dadurch können die einzelnen Finanzdienstleister das Risiko einer betrügerischen Zahlung einschätzen. Sofern es bei der Analyse zu einer Unterschreitung eines vorgeschriebenen Grenzwertes kommt, wird keine Zwei-Faktor Authentifizierung notwendig. Die Transaktionsanalyse kann jedoch nicht auf einzelnen Händler, sondern nur auf die Gesamtheit aller Zahlungen einer Zahlart durchgeführt werden.

Kleinbeträge und Abonnements

Bei Zahlungen unter 30€ muss keine Zwei-Faktor-Authentifizierung erfolgen. Diese Ausnahme gilt jedoch nur, sofern der Kunde nicht mehr als insgesamt 100€ seit der letzten mit dem zweiten Faktor abgesicherten Transaktion über dieses Bezahlverfahren ausgegeben oder nicht mehr als fünf Zahlungen mit der Zahlungsart getätigt hat.

Wiederkehrende Zahlungen wie z.B. Abonnements sind ebenfalls von der Zwei-Faktor Authentifizierung ausgeschlossen. Dies gilt auch für den Fall, wenn es sich um Zahlungen in unterschiedlichen Zeitintervallen handelt.

Whitelisting

Für Kunden besteht die Möglichkeit einer Whitelist, d.h. sie können Unternehmen bei Ihrer Bank als vertrauenswürdigen
Zahlungsempfänger angeben. Bei diesen Unternehmen muss dann keine starke Kundenauthentifizierung mehr erfolgen.

Ist eine Umstellung auf 3D-Secure 2.0 Pflicht?

Das neue 3DS 2.0 selbst stellt keine gesetzlich vorgeschriebene Norm dar. Händler müssen bis um 14.September ein Verfahren sicherstellen, welches bei Kreditkartenzahlungen den Ansprüchen der starken Kundenauthentifizierung gerecht wird.

Als Minimallösung muss hierfür das bisher standardisierte 3DS 1.0 eingesetzt werden.
Aufgrund der zahlreichen undurchsichtigen Ausnahmeregelungen, welche es im Zusammenhang mit dem 3DS 1.0  und den Anforderungen der starken Kundenauthentifizierung gibt, sind Händler hier gut beraten direkt auf das neue 3DS 2.0 umzusteigen. 

Kreditkarten-Transaktionen, welche ab dem 14.09.2019 diesem Standard nicht entsprechen werden vom Payment Service Provider abgelehnt.

Was passiert bei PayPal und Co. ?

Für PayPal-Zahlungen muss der Händler aktuell darauf vertrauen, dass PayPal rechtzeitig eine komfortable Lösung präsentieren wird. Dies gilt auch für Zahlungsdienstleister wie Amazon Pay oder Paydirekt. Bei Bezahlverfahren wie Rechnung, Lastschrift, Sofortüberweisung und Giropay werden vorerst keine Änderungen erwartet.

Einfluss auf erweiterte Shop-Funktionalitäten

Speichern von Kreditkarten

Bei der Speicherung von pseudoanonymisierten Kreditkartennummern wird künftig immer eine 3D Secure-Authentifizierung erforderlich sein.

Wiederkehrende Zahlungen (Abonnementverwaltung)

Eine 3D Secure-Authentifizierung findet nur bei der Aktivierung des Abonnements statt. Hierbei ist wichtig zu beachten, dass sich bei den wiederkehrenden Transaktionen der Betrag der Transaktion nicht ändern darf, da diese sonst abgelehnt wird.

Wie unterstützt Sie dynamic commerce?

Sofern Sie unser Modul Online-Payment nutzen, kümmern wir uns neben den technischen Anpassungen der Schnittstelle auch um weitere Abstimmungen mit dem Payment Service Provider. Sie erhalten von uns in Kürze eine Benachrichtigung, in der alle notwendigen Anpassungen für die Implementierung des 3DS 2.0 kundenindividuell aufgeführt sind.

Zusätzlich bieten wir zum Thema  ein kostenfreies Webinar am 27.08.2019 um 10:00 Uhr an.

Natürlich stehen wir auch allen Kunden, welche unser Modul nicht im Einsatz haben, beratend zur Seite.