Das Wissensportal der POS-cash

Paymentwissen für den Point of Sale

Die starke Kundenauthentifizierung (SCA)

Seit dem 2019 verpflichtet die europäische Gesetzgebung für Zahlungsdienste Händler, Dienstleister und deren Zahlungsdiensteanbieter zu erweiterten Sicherheitsstandards. Die PSD2 verpflichtet zu einer sogenannten “starken Kundenauthentifizierung” (SCA – Strong Customer Authentication). Dies bedeutet, dass für elektronische Zahlungen nicht mehr nur Daten wie Nummer, Ablaufdatum und Sicherheitscode vorliegen müssen, sondern sich der Käufer zusätzlich mit einem weiteren Faktor authentifizieren muss. Auf diese Weise soll sowohl am Point of Sale als auch im Onlineshop mehr Sicherheit vor Betrug und Missbrauch bei Kartenzahlungen erreicht werden.

In diesem Beitrag möchten wir die Anforderungen an die SCA genauer betrachten und erläutern, welche Zahlungen davon betroffen sind. Zudem erklären wir, welche Ausnahmen für Zahlungen mit geringem Risiko geltend gemacht werden können, um den Bezahlvorgang möglichst nahtlos zu gestalten.

Faktoren zur starken Kundenauthentifizierung
Faktoren zur starken Kundenauthentifizierung

Die Zahlungsdiensterichtlinie PSD2

Mit Einführung der zweiten Zahlungsdiensterichtlinie (PSD2) hat der Gesetzgeber die Pflicht zur Nutzung der 2-Faktor Authentifizierung für elektronische Zahlungsvorgänge zum 14.09.2019 in Kraft gesetzt.

In einer stufenweisen Einführung der Regelungen wurde die “Zwei-Faktor-Authentifizierung” ab 15. Januar 2021 zunächst für Zahlungen ab 250 € und ab 15. Februar 2021 für Zahlungen ab 150 € eingeführt. Seit 15. März 2021 gelten die neuen Regelungen nun in vollem Umfang, sodass Zahlungen nur noch mit zwei voneinander unabhängigen Faktoren freigegeben werden können.

Was bedeutet starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung ist eine europäische Vorgabe, um Betrug zu reduzieren und elektronische Zahlungen noch sicherer zu machen. Um Zahlungen zu akzeptieren und die SCA-Vorgaben zu erfüllen, muss ein Authentifizierungsschritt in den Bezahlvorgang eingefügt werden und beim Kartenherausgeber eine Autorisierung der Transaktion durch den Karteninhaber erfolgen. Die SCA-Authentifizierung erfordert mindestens zwei der drei folgenden Schritte.

  • Etwas, was der Kunde weiß: PIN, Passwort und andere Sicherheitsfragen, deren Antworten nur dem Kunden bekannt sind.
  • Etwas, das der Kunde besitzt: Smartphone, Token und andere Gegenstände, die nur im Besitz des Kunden sind.
  • Etwas, was der Kunde ist: Fingerabdruck sowie alle Aspekte und biometrischen Merkmale, die den Kunden individuell kennzeichnen.

Wann ist eine starke Kundenauthentifizierung erforderlich?

Die starke Kundenauthentifizierung gilt für alle „vom Kunden initiierten“ elektronischen Zahlungen innerhalb Europas. Daher müssen die meisten Kartenzahlungen und alle Banküberweisungen die starke Kundenauthentifizierung durchlaufen. Wiederkehrende Lastschriftzahlungen werden hingegen als „vom Händler initiiert“ angesehen und setzen keine Authentifizierung voraus. Mit Ausnahme des kontaktlosen Bezahlens sind auch persönliche Kartenzahlungen nicht von dieser neuen Verordnung betroffen.

Im Fall von Online-Kartenzahlungen betreffen diese Vorgaben Transaktionen, bei denen sich sowohl die Bank des Unternehmens als auch die des Karteninhabers im Europäischen Wirtschaftsraum (EWR) befinden.

Wie erfolgen PSD2-koforme Zahlungen?

Die am häufigsten verwendete Methode zur Authentifizierung einer Online-Zahlung ist 3D Secure. Bei 3D Secure handelt es sich um einen Authentifizierungsstandard, der von den allermeisten europäischen Karten unterstützt wird. In der Regel wird dadurch ein zusätzlicher Schritt nach dem Bezahlvorgang hinzugefügt, bei dem der Karteninhaber von seiner Bank zum Abschließen der Zahlung dazu aufgefordert wird, zusätzliche Informationen zu übermitteln (z. B. durch einen einmaligen Code, der an das Handy gesendet wird oder eine Authentifizierung durch Fingerabdruck über eine mobile Banking-App).

Andere kartenbasierte Zahlungsmethoden wie Apple Pay oder Google Pay unterstützen Bezahlvorgänge mit integriertem Authentifizierungsschritt (sowohl biometrisch als auch per Passwort).

Laut repräsentativer GfK-Umfrage „Bezahlen als Teil des Einkaufserlebnisses 2022“ hat in Deutschland jeder Vierte (26 Prozent) schon einmal biometrische Merkmale beim Bezahlen genutzt. Bei den 18- bis 29-Jährigen ist es sogar schon mehr als jeder Zweite (53 Prozent), der sich bei der Zahlung per Biometrie authentifiziert. Insgesamt greifen mehr Männer (31 Prozent) als Frauen (21 Prozent) auf biometrische Lösungen zur Authentifizierung beim Bezahlvorgang zurück. 

Gibt es Ausnahmen von der starken Kundenauthentifizierung?

Um dem Käufer ein reibungsloses Zahlungserlebnis zu ermöglichen, kann innerhalb des Geltungsbereiches ausnahmsweise eine Befreiung von der starken Kundenauthentifizierung gewährt werden. Die relevantesten Ausnahmen sind:

Befreiung für kleine Zahlbeträge / Low-Value Payments – LVP exemption
  • Am POS können Zahlungen bis zu 50 € ohne PIN-Eingabe erfolgen, jedoch maximal fünf Zahlungen in Folge ohne Pin-Eingabe, wenn diese in Summe 150 Euro nicht übersteigen.
  • Für eCommerce Transaktionen gilt die Kleinbetragsausnahme bis einschließlich 30 € für bis zu fünf aufeinander folgenden Transaktionen oder einem kumulierten Betrag von 100 EUR.
Befreiung für Transaktionen mit geringem Risiko – Transaction Risk Analysis – TRA exemption

Zahlungsdienstleister wie secupay dürfen eine Risikoanalyse in Echtzeit durchführen und bestimmen, ob die starke Kundenauthentifizierung für eine Transaktion erforderlich ist. So können risikoarme Transaktionen mit dieser Befreiung übermittelt werden. Die Betrugsrate darf folgende Werte nicht übersteigen:

  • Zahlbetrag bis 100 € ~ 0,13 %
  • Zahlbetrag 100 bis 250 € ~ 0,06 %
  • Zahlbetrag bis 500 € ~ 0,01 %
Vom Händler initiierte Transaktionen – Recurring Payments / Merchent Initiated Transactions (MIT)
  • Wiederkehrende Zahlungen können für klassische Abonnements jeweils in gleicher Höhe (scheduled) oder
  • wenn jeweils Zusatzleistungen abgerechnet werden mit unterschiedlichen Beträgen (unschedulded) eingereicht werden.

Mögliche Befreiungen von der starken Kundenauthentifizierung werden von POS-cash automatisch unterstützt. Zu beachten ist allerdings, dass letztendlich die Bank des Karteninhabers entscheidet, ob diese Ausnahmen genehmigt werden oder nicht. Wenn nicht, wird eine starke Kundenauthentifizierung erforderlich.

Für Transaktionen außerhalb des Geltungsbereiches der Richtlinie muss keine starke Kundenauthentifizierung durchgeführt werden. Das betrifft bspw. MOTO-Transaktionen.

Sie haben Fragen zur Umsetzung der starken Kundenauthentifizierung bei POS-cash?
Aktuelle Wissensbeiträge

Unsere kostenlosen Hotlines

Vertrieb: +49 35955 7179 10
Kundenbetreuung: +49 35955 7179 0
Montag bis Freitag: 09:00 bis 17:00 Uhr

Techniksupport: +49 35955 7179 25
Montag bis Freitag: 09:00 bis 17:00 Uhr
Samstag: 09:00 bis 15:00 Uhr

Sie sind neugierig geworden?

Wir helfen gern weiter und beantworten Ihnen alle Fragen.

Nehmen Sie Kontakt zu uns auf
*Pflichtfeld
Durch Angabe meiner Daten und klick auf den Button stimme ich der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten gemäß der Datenschutzerklärung zu.Wir melden uns in Kürze bei Ihnen. Die zur Zahlungsabwicklung benötigten Daten erfassen wir im Rahmen der Identifizierung nach Geldwäschegesetz.
suchen
Wie können wir Ihnen helfen?
pos-cash-logo

Hinterlassen Sie uns Ihre Kontaktdaten und wir werden Sie zeitnah kontaktieren.

Durch Angabe meiner Daten und klick auf den Button stimme ich der Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten gemäß der Datenschutzerklärung zu.
Herzlichen Dank für Ihre Nachricht

Wir werden uns schnellstmöglich bei Ihnen melden. Bei Fragen stehen wir Ihnen gern telefonisch oder per Email zur Verfügung. Ihr POS-cash Team

Vertrieb 035955 71 79 10
Montag – Freitag 9:00 bis 17:00 Uhr
Email: [email protected]