Bald Pflicht beim Online-Kauf: Doppelte Sicherheitsabfrage

Einkaufen im Netz wird sicherer: Dafür sorgt ab dem 14. September eine neue EU-Richtlinie, die Payment Services Directive 2 (PSD2). Zahlungsdienste müssen dann strengere Vorgaben für eine Identitätsüberprüfung bei Online-Käufen gewährleisten, die sogenannte Strong Customer Authentication (SCA).

Was bedeutet das für Ihr Online-Geschäft?
Wann ist keine SCA nötig?

Wer bis dato einen Fernseher im Web-Shop kaufte, konnte diesen zum Beispiel mit Kreditkartendaten und der auf der Rückseite angegebenen Sicherheitsnummer bezahlen. Mit der PSD2 ist jetzt ein zweiter Sicherheitsfaktor für bargeldlose Zahlungsvorgänge Pflicht. Um zu bezahlen muss der Kunde zwei von drei Faktoren nachweisen:

Besitz (beispielsweise registriertes Smartphone, Geldkarte, Token)
Wissen (beispielsweise Passwort, PIN, Geheimfrage)
Inhärenz (beispielsweise Gesichtsmerkmale, Fingerabdruck, Iriserkennung)

Hierbei handelt es sich übrigens nicht um ein komplett neues Verfahren. Beim Internet-Banking ist die doppelte Authentifizierung bereits heute Pflicht. Kunden benötigen für Überweisungen sowohl die PIN zum Login (Wissen) als auch eine TAN (Besitz).

Was bedeutet das für Ihr Online-Geschäft?

Grundsätzlich gibt es unterschiedliche Optionen, eine SCA-konforme Bezahlung zu ermöglichen: von 3D-Secure 2.0 über biometrische Sicherheit in mobilen Wallets bis hin zu regionalen kartenlosen Zahlungsmethoden.

Die gute Nachricht voran: Die SCA wird direkt von ihrem Zahlungsdienstleister umgesetzt. In der Regel ist hierfür keine manuelle Änderung an Ihrem Web-Shop notwendig.

Sie sollten jedoch sicherstellen, dass die von den Zahlungsdienstleistern bereitgestellten Lösungen reibungslos in den Online-Shop integriert werden. Um System- oder Schnittstellenprobleme im Checkout-Prozess zu vermeiden, empfiehlt es sich, frühzeitig Kontakt mit den entsprechenden Banken und Zahlungsdienstleistern aufzunehmen und Tests durchzuführen.

Wann ist keine SCA nötig?

Grundsätzlich ist SCA nicht für jede Online-Transaktion verpflichtend. Unter anderem sind die Zahlungsarten Lastschrift, Rechnung sowie die Vorkasse per Überweisung ausgenommen. Ebenso wie wiederkehrende Zahlungsvorgänge. Auch Kleinstbeträge bis 50 Euro bedürfen nicht der doppelten Authentifizierung. Bei maximal fünf Transaktionen bzw. dem kumulierten Betrag von 150 Euro ist allerdings Schluss.

Grundsätzlich besteht zudem für Kunden die Möglichkeit, Unternehmen bei ihrer Bank oder einem Zahlungsanbieter auf eine sogenannte Whitelist zu setzen, sodass sie sich bei zukünftigen Einkäufen nicht mehr doppelt authentifizieren müssen. Dies ist insbesondere für Unternehmen mit einer großen Stammkundschaft relevant.

Wollen Unternehmen diese Ausnahmen selber managen, müssen sie direkt bei den einzelnen Banken bzw. Zahlungsdienstleistern anfragen, ob und wie dies möglich ist. Ebenso sind diese Ansprechpartner wenn es um die Frage geht, wie ein Abgleich mit der Whitelist des Kunden im Check-Out-Prozess technisch abgewickelt werden kann.