PSD2: Es wird knapp für die Online-Kartenzahlung

Bis zum Jahresende muss auf 3D Secure 2 umgestellt sein

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Für Onlinehändler könnte der Silvesterkater am 1. Januar 2021 etwas heftiger ausfallen. Denn mit dem Jahresende 2020 endet auch die Nichtbeanstandungsfrist der BaFin für Kartenzahlungen im E-Commerce, die nicht PSD2-konform authentifiziert sind. Fällt künftig eine beliebte Zahlart weg?

Online-Kartenzahlung muss auf 3D Secure 2 umgestellt werden

Zum Jahresende müssen Online-Kartenzahlungen auf 3D Secure 2 umgestellt werden.

Partner des Bank Blogs

Für die Umsetzung der PSD2-Vorgaben bei Online-Kartenzahlungen war eigentlich nur Zeit bis zum 14. September 2019. Doch genau wie bei der Schnittstellen-Problematik für das Open Banking waren wesentliche Teile der Branche nicht so weit, wie sie sein sollten. Nach einigen Alleingängen nationaler Aufsichtsbehörden kam schließlich ein Aufschub seitens der EBA. Und jetzt, im Endspurt, packen alle Glieder der Prozesskette an, damit diese letzte Frist auch wirklich gehalten wird.

Die Kreditkarten-Gesellschaften geben den Takt vor

Antreiber sind dabei vor allem die großen Kreditkarten-Gesellschaften. Visa und Mastercard, American Express und Discover, JCB und Union Pay engagieren sich gemeinsam bei EMVCo, dem Standardgeber des aktualisierten 3D Secure 2-Protokolls (auch EMV 3DS genannt). Dieses Verfahren regelt die Datenübertragung bei einer Kreditkartenzahlung im Internet und damit zugleich die Ausnahmen von der sicheren Authentifizierung (SCA), die die PSD2 zulässt. Denn so wünschenswert es für die Issuer ist, wenn bei jeder Transaktion überprüft wird, dass der Zahlende auch ein Zahlungsberechtigter ist, so ungern sehen Händler die Authentifizierung, weil sie den Kunden verunsichern und dadurch die Konversion gefährden kann.

Darum lassen Ausnahmen wie die Transaktionsrisikoanalyse (TRA) durch Issuer oder Aquirer, das Whitelisting oder die Kleinbetragsregelung zu, so dass der sogenannte „frictionless flow“ direkt zum Verkaufserfolg führt, ohne dass der Kunden sich noch einmal digital ausweisen muss. Bis zu 95 Prozent aller Transaktionen, so hat Mastercard erhoben, würden in vergleichbaren Systemen bereits ohne Abfrage durchgehen.

Die Händler warten schon

Damit das klappt, muss durch die gesamte Prozesskette hindurch die EMV 3DS-Version 2.2 implementiert sein. Das ist jedoch noch lange nicht der Fall. Etliche Händler, vor allem größere Unternehmen mit hoher IT-Kompetenz im Haus, haben sich frühzeitig auf die Umstellung vorbereitet. Doch zahlreiche mittlere und kleinere Händler sind noch zögerlich oder glauben, sie kämen um die Umstellung herum. Theoretisch könnten natürlich alle Kreditkartenbesitzer den Umweg über PayPal gehen, doch in der Praxis ist das Risiko groß, einen relevanten Anteil dieser kaufkräftigen Kundschaft zu verprellen.

Andere Händler sind durchaus bereit, die Umstellung jetzt anzugehen. Es wird auch Zeit, denn Visa hat mit dem 16. Oktober einen Pflock eingeschlagen: Bis zu diesem Datum muss die gesamte Prozesskette technisch in der Lage sein, 3DS 2.2 zu verarbeiten. So bleibt im wichtigen Weihnachtsgeschäft noch Zeit, das Verfahren zu optimieren, bis es Anfang Januar durch den EBA-Fristablauf verpflichtend wird. Doch auch diese umstellungswilligen Händler brauchen noch Geduld, denn längst haben nicht alle Acquirer ihre Systeme aufgerüstet. Und sie haben sehr unterschiedliche Vorstellungen von der Umstellung.

3D Secure auf Bankenseite: sehr unterschiedliche Fortschritte

Mit über 60 Acquireranbindungen hat Computop als global tätiger Payment Service Provider einen recht umfassenden Überblick über den Fortschritt der einzelnen Banken. Manche sind komplett fertig, wünschen sich aber zusätzlich eine Zertifizierung. Andere halten diese nicht für notwendig und arbeiten noch an früheren Versionen von 3DS2. Wiederum andere lassen die aufwendigen Prozesse für eine eigene Transaktionsrisikoanalyse auf Acquirerseite erstmal links liegen und konzentrieren sich auf die Kernfunktionen. Fertig heißt auch nicht immer fertig, denn je nach Übertragungsprotokoll können die Bearbeitungsstände beim selben Acquirer durchaus unterschiedlich sein. Wiederum andere Voraussetzungen liegen bei Drei-Parteien-Modellen vor, und für die meisten Beteiligten gilt, dass die Corona-Krise die Prioritäten verschoben hat.

Auch die Issuer haben noch Hausaufgaben zu erledigen. Sie sind derzeit dabei, ihre Access Control Server (ACS) zu ertüchtigen. Viele von ihnen können noch keine PSD2-konforme TRA durchführen, doch gerade diese soll einen großen Beitrag zum „frictionless flow“ leisten. Vor allem für die kartenausgebenden Banken ist diese Funktion fundamental wichtig, tragen sie doch das Risiko des „liability shift“, also der Risikoübernahme weg vom Händler, die elementarer Bestandteil von 3D Secure ist. Darum haben sie auch die Pflicht, jede der möglichen Ausnahmen zu überstimmen, wenn ihnen eine Transaktion verdächtig vorkommt.

Die Zukunft gehört der Biometrie

Wird die Branche fertig werden oder schauen Kreditkartenkunden ab dem 1.1.2021 wirklich in die Röhre? Vielleicht schauen sie lieber in ihr Smartphone. Denn der nächste logische Schritt ist die Authentifizierung durch den Händler selbst, idealerweise biometrisch. Die PSD2 sieht die Delegierung des Prozesses ausdrücklich vor. Und so könnten Händler ihren Kunden bald einen Login ins Kundenkonto per Fingerabdruck oder Gesichtsscan anbieten. Das geht schneller als die Eingabe von Mail und Passwort und schützt besser vor Identitätsdiebstahl. Diesen Login können sie zugleich für die Authentifizierung der Zahlung nutzen – gut für die Konversion.

Über den Autor

Ralf Gladis

Ralf Gladis ist Gründer und Geschäftsführer der Computop International GmbH. Der studierte Wirtschaftsinformatiker verantwortet insbesondere die internationale Expansion sowie die strategische Ausrichtung. Zur Produktpalette des international agierenden Payment Service Providers gehören unter anderem E- und M-Commerce, Mail Order oder Point of Sale Lösungen. Die selbst entwickelte Zahlungsplattform Paygate bietet integrierte Zahlungsprozesse und Betrugsprävention mit über 250 Zahlungsmethoden und Acquirer-Banken weltweit.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren