Bezahlstandards verändern sich – Stichtag 01. September 2019

Ab September 2019 endet die Übergangsfrist für die zweite EU-Zahlungsdiensterichtlinie (PSD2) in Kraft und bringt Änderungen im Online-Banking mit sich. Bis dahin müssen Geldinstitute dritten Zahlungsdienstleistern Zugriff auf die Online-Konten ihrer Kunden gewähren – vorausgesetzt, die Kunden stimmen dem zu.

Die starke Authentifizierung

Die neuen technischen Regulierungsstandards der Europäischen Bankenaufsicht sehen eine erhöhte Sicherheit bei Online-Transaktionen und für Kundenkontenzugänge vor. Um diese zu gewährleisten, müssen alle Zahlungsvorgänge über eine Zwei-Faktor-Authentifizierung abgesichert sein. Bei der starken Kundenauthentifizierung (SCA) muss der Kartenherausgeber für die Benutzung der Kreditkarte gewährleisten, dass zwei von drei Merkmalen abgefragt werden:

  • Etwas aus dem Besitz des Karteninhabers wie Smartphone oder Smartcard
  • Abfrage von PIN oder Geheimfrage
  • Ein physisches eindeutiges Merkmal wie Fingerabdruck, Stimm- oder Gesichtserkennung per Smartphone muss die Identität nachweisen.

Über diesen Check können Händler schnell und zuverlässig überprüfen, ob der Käufer auch tatsächlich Inhaber der Kreditkarte ist. Für die Verkäufer ergeben sich aus dem bereits seit 2016 verfügbaren Verfahren 3-D Secure 2.0 gleich mehrere Vorteile: Betrugsversuche werden minimiert, durch höhere Autorisierungsraten reduzieren sich fälschlich abgelehnte Zahlungen. Gleichzeitig verschiebt sich die Betrugshaftung auf die Seite der Kartenherausgeber.

Online-Händler sollten sich vorbereiten

Damit die Richtlinie und die starke Authentifizierung rechtzeitig zum September 2019 umgesetzt werden können, sollten sich Händler rechtzeitig vorbereiten und beim Payment Service Provider auf ein Upgrade auf 3-D Secure 2.0 anfordern. Dieses kann per Plug-In in der Regel einfach in den Online-Shop integriert werden. So kann bis zum Ende der Übergangsphase ausgiebig getestet werden, denn anschließend müssen Zahlungen ohne die Absicherung von den Kartenherausgebern konsequent abgelehnt werden.

Und nicht nur die Händler müssen sich vorbereiten. Auch die Kunden sollten rechtzeitig und umfassend informiert werden. Dies verhindert spätere Kaufabbrüche durch ungültige Kartenzahlungen.

Das Risiko ist entscheidend

Keine Regel ohne Ausnahme. Für Transaktionen unter 30 Euro kommt die starke Kundenauthentifizierung nicht zum Einsatz. Die Banken überwachen allerdings die Tagessumme. Überschreiten die getätigten Transaktionen pro Tag einen Wert von 100 Euro muss die Authentifizierung nach den neuen Regelungen erfolgen. Weiterhin haben Kunden die Möglichkeit, eine Whitelist an den Kartenherausgeber übermitteln und die gelisteten Händler vom SCA ausnehmen.