PSD2 und SCA ab September

PSD2 und SCA ab September

Die aktuelle Regelung für elektronische Transaktionen in der Europäischen Union

Die starke Kundenauthentifizierung (Strong Customer Authentication oder SCA) soll nun als Teil der europäischen Zahlungsdiensterichtlinie (PSD2 – Payment Service Directive 2) – zum 14.September – europaweit Anwendung finden.

Beschlossen wurde die EU-Regelung bereits am 14.März 2018 mit dem Ziel, elektronische Zahlungen sicherer zu gestalten und den Zahlungsverkehr innerhalb der EU zu vereinfachen. National wurden bereits große Teile der Anforderungen seit dem BaFin Rundschreiben 04/2015 von Banken und Zahlungsdienstleistern umgesetzt. Deutsche Unternehmen sollten also weniger überrascht sein und könnten in Zukunft mit sicherer Kommunikation, auch bei ausländischen Online-Zahlungen, rechnen.

Was genau umfasst die Sicherheitsregelung?

Die 2-Faktoren-Kundenauthentifizierung stellt die Anforderung an Banken, Unternehmen und Zahlungsdienstleister, mindestens zwei von drei Sicherheitsfaktoren bei einer elektronischen Zahlung abzuprüfen.

  • Faktor 1: Etwas, das Sie wissen (wie z. B. Passwort, PIN oder Geheimfrage)
  • Faktor 2: Etwas, das Sie besitzen (wie z. B. Smartphone, Wearable, Token oder Badge)
  • Faktor 3: Etwas, das Sie „sind“ (wie z. B. Fingerabdruck, Iris-Scan oder Gesichtserkennung).

Wir kannten diese Methode bereits aus dem Onlinebanking, wo neben dem Kundenkennwort (Faktor 1 – Etwas, das Sie wissen) auch ein TAN-Code zur Verifizierung genutzt wurde, welcher auf das Smartphone (Faktor 2 – Etwas, das Sie besitzen) versendet wurde. Dieses iTAN-Listen-Verfahren enthielt jedoch den Nachteil, dass keine dynamische Verlinkung mit einer festen Geldsumme und dem Empfänger benutzt wurde – eine offene Einladung für Zahlungsbetrüger und somit nicht den PSD2-Richtlinien entsprechend.

SCA soll durch die zusätzliche Sicherheitsabfrage insoweit das Betrugsrisiko reduzieren, dass Zahlungsbetrügern die Möglichkeit entzogen wird, Überweisungen mit gestohlenen oder ausgespähten Daten abzugreifen.

Erfahrungen und Schätzungen weisen darauf hin, dass in der EU alleine durch den Betrug bei der Zahlung mit Kreditkarte ein jährlicher Schaden von ca. 1,3 Milliarden Euro entsteht. Durch PSD2 und SCA könnte diese Summe stark eingedämmt und reduziert werden.

Ausnahmen von der Regelung

Die technischen Regelungsstandards (RTS), die von der Europäischen Zentralbank und der Europäischen Bankenaufsicht ausgearbeitet wurden, sollten mithilfe von APi-Schnittstellen bereits diesen Herbst in allerlei elektronischen Zahlungsinstituten integriert worden sein.

Die Konsequenz ist, dass schlimmstenfalls Zahlungen ohne 2-Faktor-Authentifizierung abgelehnt und an den Versender zurück übermittelt werden.

Jedoch bestehen Ausnahmen, die eine SCA nicht erforderlich machen:

Hierzu gehören zum Beispiel Zahlungen, die eine Summe von 30€ nicht überschreiten. Wenn diese jedoch innerhalb von 24 Stunden eine Gesamtsumme von 100€ überschreiten, soll wieder eine 2-Faktor-Kundenauthentifizierung fällig sein.

Außerdem sind Unternehmen ausgeschlossen, die der Kunde bei der jeweiligen Bank als vertrauenswürdig einstuft und auf eine sogenannte „White-Liste“ setzt. Somit können Sie weiterhin unkompliziert in Ihren Lieblingsgeschäften einkaufen.

Auch wiederkehrende Zahlungen und Abonnements mit gleichbleibenden Beträgen sind von der Verpflichtung ausgenommen – außer die Beträge ändern sich, dann wird eine neue Authentifizierung erforderlich.

Generell kann man bei Transaktionen mit geringem Sicherheitsrisiko weiterhin auf die One-Click-Bezahlvorgänge bauen.

Was könnte künftig auf Ihren Onlineshop zukommen?

Der jährlich zunehmende E-Commerce ist natürlich mit der kleinen Herausforderung konfrontiert, Kunden in einen zweiten Schritt der Verifizierung führen zu müssen. Dies könnte zur Folge haben, dass Bestellvorgänge häufiger abgebrochen werden, da einige Verbraucher wenig Lust und Zeit für eine weitere Sicherheitsabfrage haben könnten.

Andererseits könnte man sich in Zukunft mehr Stornierungen und Fehlkäufe sparen, da mehr Kunden eingekreist werden, die auch eine tatsächliche Kaufabsicht verfolgen.

Bitte lassen Sie sich hierzu von einem Fachanwalt beraten. Benötigen Sie anschließend Unterstützung bei der technischen Umsetzung, steht Ihnen die OMSAG gerne zur Seite.

SEO robots.txt
Ab sofort beachtet der Googlebot die „noindex“-Angabe in der robots.txt-Datei nicht mehrSEO
Facebook Anzeigenformat im Mobile Newsfeed
Facebook verkleinert das Anzeigenformat im Mobile NewsfeedSocial Media