Seit dem 2019 verpflichtet die europäische Gesetzgebung für Zahlungsdienste Händler, Dienstleister und deren Zahlungsdiensteanbieter zu erweiterten Sicherheitsstandards. Die PSD2 verpflichtet zu einer sogenannten „starken Kundenauthentifizierung“ (SCA – Strong Customer Authentication). Dies bedeutet, dass für elektronische Zahlungen nicht mehr nur Daten wie Nummer, Ablaufdatum und Sicherheitscode vorliegen müssen, sondern sich der Käufer zusätzlich mit einem weiteren Faktor authentifizieren muss. Auf diese Weise soll sowohl am Point of Sale als auch im Onlineshop mehr Sicherheit vor Betrug und Missbrauch bei Kartenzahlungen erreicht werden.
In diesem Beitrag möchten wir die Anforderungen an die SCA genauer betrachten und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst nahtlos zu gestalten.
Die Zahlungsdiensterichtlinie PSD2
Mit Einführung der zweiten Zahlungsdiensterichtlinie (PSD2) hat der Gesetzgeber die Pflicht zur Nutzung der 2-Faktor Authentifizierung für elektronische Zahlungsvorgänge zum 14.09.2019 in Kraft gesetzt.
In einer stufenweisen Einführung der Regelungen wurde die „Zwei-Faktor-Authentifizierung“ ab 15. Januar 2021 zunächst für Zahlungen ab 250 € und ab 15. Februar 2021 für Zahlungen ab 150 € eingeführt. Seit 15. März 2021 gelten die neuen Regelungen nun in vollem Umfang, sodass Zahlungen nur noch mit zwei voneinander unabhängigen Faktoren freigegeben werden können.
Was bedeutet starke Kundenauthentifizierung?
Die starke Kundenauthentifizierung ist eine europäische Vorgabe, um Betrug zu reduzieren und elektronische Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, muss ein Authentifizierungsschritt in den Bezahlvorgang eingefügt werden und beim Kartenherausgeber eine Autorisierung der Transaktion durch den Karteninhaber erfolgen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.
- Etwas, was der Kunde weiß: PIN, Passwort und andere Sicherheitsfragen, deren Antworten nur dem Kunden bekannt sind.
- Etwas, das der Kunde besitzt: Smartphone, Token und andere Gegenstände, die nur im Besitz des Kunden sind.
- Etwas, was der Kunde ist: Fingerabdruck sowie alle Aspekte und biometrischen Merkmale, die den Kunden individuell kennzeichnen.
Wann ist eine starke Kundenauthentifizierung erforderlich?
Die starke Kundenauthentifizierung gilt für alle „vom Kunden initiierten“ elektronischen Zahlungen innerhalb Europas. Daher müssen die meisten Kartenzahlungen und alle Banküberweisungen die starke Kundenauthentifizierung durchlaufen. Wiederkehrende Lastschriftzahlungen werden hingegen als „vom Händler initiiert“ angesehen und setzen keine Authentifizierung voraus. Mit Ausnahme des kontaktlosen Bezahlens sind auch persönliche Kartenzahlungen nicht von dieser neuen Verordnung betroffen.
Im Fall von Online-Kartenzahlungen betreffen diese Vorgaben Transaktionen, bei denen sich sowohl die Bank des Unternehmens als auch die des Karteninhabers im Europäischen Wirtschaftsraum (EWR) befinden.
Wie erfolgen PSD2-koforme Zahlungen?
Die am häufigsten verwendete Methode zur Authentifizierung einer Online-Zahlung ist 3D Secure. Bei 3D Secure handelt es sich um einen Authentifizierungsstandard, der von den allermeisten europäischen Karten unterstützt wird. In der Regel wird dadurch ein zusätzlicher Schritt nach dem Bezahlvorgang hinzugefügt, bei dem der Karteninhaber von seiner Bank zum Abschließen der Zahlung dazu aufgefordert wird, zusätzliche Informationen zu übermitteln (z. B. durch einen einmaligen Code, der an das Handy gesendet wird oder eine Authentifizierung durch Fingerabdruck über eine mobile Banking-App).
Andere kartenbasierte Zahlungsmethoden wie Apple Pay oder Google Pay unterstützen Bezahlvorgänge mit integriertem Authentifizierungsschritt (sowohl biometrisch als auch per Passwort).
Laut repräsentativer GfK-Umfrage „Bezahlen als Teil des Einkaufserlebnisses 2022“ hat in Deutschland jeder Vierte (26 Prozent) schon einmal biometrische Merkmale beim Bezahlen genutzt. Bei den 18- bis 29-Jährigen ist es sogar schon mehr als jeder Zweite (53 Prozent), der sich bei der Zahlung per Biometrie authentifiziert. Insgesamt greifen mehr Männer (31 Prozent) als Frauen (21 Prozent) auf biometrische Lösungen zur Authentifizierung beim Bezahlvorgang zurück.
Gibt es Ausnahmen von der starken Kundenauthentifizierung?
Um dem Käufer ein reibungsloses Zahlungserlebnis zu ermöglichen, kann innerhalb des Geltungsbereiches ausnahmsweise eine Befreiung von der starken Kundenauthentifizierung gewährt werden. Die relevantesten Ausnahmen sind:
- Am POS können Zahlungen bis zu 50 € ohne PIN-Eingabe erfolgen, jedoch maximal fünf Zahlungen in Folge ohne Pin-Eingabe, wenn diese in Summe 150 Euro nicht übersteigen.
- Für eCommerce Transaktionen gilt die Kleinbetragsausnahme bis einschließlich 30 € für bis zu fünf aufeinander folgenden Transaktionen oder einem kumulierten Betrag von 100 EUR.
Zahlungsdienstleister wie secupay dürfen eine Risikoanalyse in Echtzeit durchführen und bestimmen, ob die starke Kundenauthentifizierung für eine Transaktion erforderlich ist. So können risikoarme Transaktionen mit dieser Befreiung übermittelt werden. Die Betrugsrate darf folgende Werte nicht übersteigen:
- Zahlbetrag bis 100 € ~ 0,13 %
- Zahlbetrag 100 bis 250 € ~ 0,06 %
- Zahlbetrag bis 500 € ~ 0,01 %
- Wiederkehrende Zahlungen können für klassische Abonnements jeweils in gleicher Höhe (scheduled) oder
- wenn jeweils Zusatzleistungen abgerechnet werden mit unterschiedlichen Beträgen (unschedulded) eingereicht werden.
Mögliche Befreiungen von der starken Kundenauthentifizierung werden von POS-cash automatisch unterstützt. Zu beachten ist allerdings, dass letztendlich die Bank des Karteninhabers entscheidet, ob diese Ausnahmen genehmigt werden oder nicht. Wenn nicht, wird eine starke Kundenauthentifizierung erforderlich.
Für Transaktionen außerhalb des Geltungsbereiches der Richtlinie muss keine starke Kundenauthentifizierung durchgeführt werden. Das betrifft bspw. MOTO-Transaktionen.
