Am 14. September 2019 werden in Europa im Rahmen der zweiten Zahlungsdiensterichtlinie (PSD2) neue Anforderungen an die Authentifizierung von Online-Zahlungen eingeführt.

In diesem Leitfaden werfen wir einen genaueren Blick auf diese neuen Anforderungen, die als Strong Customer Authentication (SCA) bekannt sind, und die Arten von Zahlungen, die sie beeinflussen werden. Schließlich werden wir die Ausnahmen behandeln, die für Transaktionen mit geringem Risiko verwendet werden können, um eine reibungslose Abwicklung zu ermöglichen.

Wir haben einen separaten Leitfaden zur Gestaltung von Zahlungsströmen für SCA veröffentlicht, der Ihnen helfen soll, festzustellen, wann Sie auf Ihrer Kundenreise eine Authentifizierung hinzufügen müssen. Sie können auch unser Webinar besuchen, um unsere SCA-Experten zu sehen, die tief in die Verordnung eintauchen, oder hier klicken, um weitere Informationen über die SCA-fähigen Produkte von Stripe zu erhalten.

BLEIBEN SIE AUF DEM LAUFENDEN ÜBER EINE STARKE KUNDENAUTHENTIFIZIERUNG.
Wir arbeiten eng mit Politikern, Regulierungsbehörden und der gesamten Zahlungsverkehrsbranche zusammen, um alle Änderungen so reibungslos wie möglich durchzuführen. Melden Sie sich an, um über gesetzliche Vorschriften und Produkt-Updates informiert zu bleiben.

LASSEN SIE SICH BENACHRICHTIGEN. Was ist eine starke Kundenauthentifizierung?
Strong Customer Authentication (SCA) ist eine neue europäische regulatorische Anforderung, um Betrug zu reduzieren und Online-Zahlungen sicherer zu machen. Um Zahlungen nach Inkrafttreten von SCA akzeptieren zu können, müssen Sie zusätzliche Authentifizierung in Ihren Kassenablauf integrieren. SCA erfordert eine Authentifizierung, um mindestens zwei der folgenden drei Elemente zu verwenden.

2019 06 19 17 39 19 PSD2 Strong Customer Authentication


Ab dem 14. September 2019 werden die Banken Zahlungen ablehnen, die SCA erfordern und diese Kriterien nicht erfüllen. (Wenn Sie die ursprünglichen SCA-Anforderungen lesen möchten, sind sie in den Regulatory Technical Standards oder RTS festgelegt.)

Wemakefuture hilft Ihnen diese Anforderungen umzusetzen.

Wann ist eine starke Kundenauthentifizierung erforderlich?

Eine starke Kundenauthentifizierung gilt für “kundeninitiierte” Online-Zahlungen innerhalb Europas. Infolgedessen werden die meisten Kartenzahlungen und alle Banküberweisungen SCA erfordern. Wiederkehrende Lastschriften gelten dagegen als “vom Händler initiiert” und erfordern keine starke Authentifizierung. Mit Ausnahme des kontaktlosen Zahlungsverkehrs sind auch die persönlichen Kartenzahlungen von der neuen Regelung nicht betroffen.

Für Online-Kartenzahlungen gelten diese Anforderungen für Transaktionen, bei denen sowohl das Unternehmen als auch die Bank des Karteninhabers ihren Sitz im Europäischen Wirtschaftsraum (EWR) haben. (Wir erwarten, dass die SCA-Verordnung in Großbritannien durchgesetzt wird, unabhängig vom Ergebnis von Brexit.)

Wie man eine Zahlung authentifiziert
Die derzeit gebräuchlichste Methode zur Authentifizierung einer Online-Kartenzahlung basiert auf 3D Secure – einem Authentifizierungsstandard, der von den meisten europäischen Karten unterstützt wird. Die Anwendung von 3D Secure fügt in der Regel einen zusätzlichen Schritt nach der Kasse hinzu, bei dem der Karteninhaber von seiner Bank aufgefordert wird, zusätzliche Informationen zum Abschluss einer Zahlung anzugeben (z.B. einen einmaligen Code, der an sein Telefon gesendet wird, oder die Fingerabdruck-Authentifizierung durch seine Mobile Banking-Anwendung).

3D Secure 2 – die neue Version des 2019 eingeführten Authentifizierungsprotokolls – wird die wichtigste Methode zur Authentifizierung von Online-Kartenzahlungen sein und die neuen SCA-Anforderungen erfüllen. Diese neue Version führt eine bessere Benutzerfreundlichkeit ein, die dazu beiträgt, einen Teil der Reibung zu minimieren, die die Authentifizierung in den Kassenablauf mit sich bringt.

Andere kartenbasierte Zahlungsmethoden wie Apple Pay oder Google Pay unterstützen bereits Zahlungsabläufe mit einer integrierten Authentifizierungsschicht (biometrisch oder Passwort). Dies kann eine großartige Möglichkeit für Unternehmen sein, ein reibungsloses Checkout-Erlebnis zu bieten und gleichzeitig die neuen Anforderungen zu erfüllen.

Payment Integration zur Automatisierung mit wemakefuture
Payment Integration zur Automatisierung mit wemakefuture

Wir erwarten auch, dass viele gängige europäische Zahlungsmethoden wie iDEAL, Bancontact oder Multibanco die neuen SCA-Regeln ohne wesentliche Änderungen in der Benutzererfahrung einhalten. Wir arbeiten direkt mit den Anbietern dieser Zahlungsmethoden zusammen, um zu bestätigen, ob Änderungen erforderlich sind.

Ausnahmen von der starken Kundenauthentifizierung
Nach dieser neuen Verordnung können bestimmte Arten von Zahlungen mit geringem Risiko von der starken Kundenauthentifizierung ausgenommen werden. Zahlungsanbieter wie Stripe können diese Ausnahmen bei der Zahlungsabwicklung beantragen. Die Bank des Karteninhabers erhält dann den Antrag, beurteilt das Risikoniveau der Transaktion und entscheidet letztendlich, ob sie die Freistellung genehmigt oder ob eine Authentifizierung noch erforderlich ist.

Die Integration der Authentifizierung in Ihren Kassenfluss führt zu einem zusätzlichen Schritt, der die Reibung erhöhen und die Kundenabgabe erhöhen kann. Die Verwendung von Ausnahmen für risikoarme Zahlungen kann die Anzahl der Authentifizierungsvorgänge eines Kunden reduzieren und die Reibung reduzieren. Wir haben unsere neuen SCA-fähigen Zahlungsverkehrsprodukte so konzipiert, dass Sie die Vorteile von Ausnahmen nutzen können, um Ihre Umstellung zu schützen.

Die wichtigsten Ausnahmen für Internetunternehmen sind:

Transaktionen mit geringem Risiko
Ein Zahlungsanbieter (wie Stripe) kann eine Echtzeit-Risikoanalyse durchführen, um festzustellen, ob SCA auf eine Transaktion angewendet werden soll. Dies kann nur möglich sein, wenn die Gesamtbetrugsraten des Zahlungsanbieters oder der Bank bei Kartenzahlungen die folgenden Schwellenwerte nicht überschreiten:

0,13% für freigestellte Transaktionen unter 100 €.
0,06% für freigestellte Transaktionen unter 250 €.
0,01% für freigestellte Transaktionen unter 500 €.
Diese Schwellenwerte werden gegebenenfalls in lokale Gegenwerte umgerechnet.

Zahlung vor Ort Digitalisierung heißt Verbindung zwischen stationärem und digitalem Vertrieb
Zahlung vor Ort Digitalisierung heißt Verbindung zwischen stationärem und digitalem Vertrieb

In Fällen, in denen nur die Betrugsrate des Zahlungsanbieters unter dem Schwellenwert liegt, die Bank des Karteninhabers aber darüber liegt, erwarten wir, dass die Bank die Befreiung ablehnt und eine Authentifizierung verlangt.

Wir erwarten, dass dies eine der nützlichsten Ausnahmeregelungen für Unternehmen und eine der am weitesten von den Banken unterstützten ist. Die umfassende Echtzeit-Risikobewertung von Stripe Radar ermöglicht es uns, diese Ausnahmeregelung für unsere Benutzer zu unterstützen.
Zahlungen unter 30 €.
Dies ist eine weitere Ausnahmeregelung, die für Zahlungen mit geringem Betrag in Anspruch genommen werden kann. Transaktionen unter 30 € gelten als “niedriger Wert” und können von SCA ausgenommen werden. Die Banken müssen jedoch eine Authentifizierung beantragen, wenn die Freistellung seit der letzten erfolgreichen Authentifizierung des Karteninhabers fünfmal in Anspruch genommen wurde oder wenn die Summe der zuvor freigestellten Zahlungen 100 EUR übersteigt. Die Bank des Karteninhabers muss die Anzahl der Ausnahmen verfolgen und entscheiden, ob eine Authentifizierung erforderlich ist.

Abonnements mit festem Betrag

Diese Befreiung kann gelten, wenn der Kunde eine Reihe von wiederkehrenden Zahlungen in gleicher Höhe an dasselbe Unternehmen leistet. SCA wird für die erste Zahlung des Kunden benötigt, kann aber von SCA befreit werden.

Wir gehen davon aus, dass diese Ausnahmeregelung für das Abonnementgeschäft sehr nützlich sein wird und von europäischen Banken weitgehend unterstützt wird.


Zahlungen mit gespeicherten Karten, wenn der Kunde nicht im Kassenablauf anwesend ist (manchmal auch als “Off-Session” bezeichnet), können als vom Händler initiierte Transaktionen gelten. Diese Zahlungen fallen technisch gesehen nicht in den Anwendungsbereich von SCA. In der Praxis wird die Kennzeichnung einer Zahlung als “handelsbedingte Transaktion” ähnlich sein wie die Beantragung einer Freistellung. Und wie bei jeder anderen Ausnahmeregelung bleibt es der Bank überlassen, zu entscheiden, ob eine Authentifizierung für die Transaktion erforderlich ist.

Um von Händlern initiierte Transaktionen nutzen zu können, müssen Sie die Karte entweder beim Speichern oder bei der ersten Zahlung authentifizieren. Schließlich müssen Sie eine Zustimmung des Kunden einholen (auch als “Mandat” bezeichnet), um seine Karte zu einem späteren Zeitpunkt aufzuladen.

Dies wird ein wichtiger Anwendungsfall für Geschäftsmodelle sein, die auf verspätete Zahlungen angewiesen sind, Abonnements mit variablem Betrag oder Rechnungen für Add-ons. Wir erwarten, dass sie von den meisten europäischen Banken unterstützt und akzeptiert wird, wenn die Transaktion von der Bank als risikoarm eingestuft wird.


Vertrauenswürdige Begünstigte
Wenn Kunden die Authentifizierung für eine Zahlung abschließen, haben sie möglicherweise die Möglichkeit, ein Unternehmen, dem sie vertrauen, auf die Whitelist zu setzen, um zu vermeiden, dass sie zukünftige Einkäufe authentifizieren müssen. Diese Unternehmen werden in eine Liste der “vertrauenswürdigen Begünstigten” aufgenommen, die von der Bank oder dem Zahlungsdienstleister des Kunden geführt wird.

Während Whitelisting das Potenzial hat, Wiederholungskäufe oder Abonnements für Kunden bequemer zu gestalten, hat sich die Akzeptanz dieser Funktion bei den Banken bisher nur langsam entwickelt. Wir gehen davon aus, dass sie von den Banken bis September 2019 nicht umfassend umgesetzt wird, aber wir werden diese Ausnahmeregelung für unsere Nutzer unterstützen, sobald sie verfügbar ist.


Telefonverkauf
Telefonisch gesammelte Kartendaten fallen nicht in den Anwendungsbereich von SCA und erfordern keine Authentifizierung. Diese Zahlungsart wird manchmal auch als “Mail Order and Telephone Orders” (MOTO) bezeichnet. Die Kennzeichnung einer Zahlung als MOTO-Transaktion ist vergleichbar mit der Beantragung anderer Ausnahmen, wobei die Bank des Karteninhabers die endgültige Entscheidung über die Annahme oder Ablehnung der Transaktion trifft.


Unternehmenszahlungen nach SOC
Diese Befreiung kann sowohl Zahlungen mit “hinterlegten” Karten (z.B. wenn eine Firmenkarte, die zur Verwaltung der Reisekosten der Mitarbeiter verwendet wird, direkt bei einem Online-Reisebüro aufbewahrt wird) als auch Zahlungen mit virtuellen Kartennummern (die auch im Reisesektor verwendet werden) umfassen.

Wir erwarten, dass diese Ausnahmeregelung aufgrund ihres sehr engen Anwendungsbereichs außerhalb der Reisebranche nur einen geringen praktischen Nutzen hat. Die Freistellung selbst kann nur von der Bank des Karteninhabers beantragt werden, da weder das Unternehmen noch Zahlungsanbieter (wie Stripe) erkennen können, ob eine Karte in diese Kategorien fällt.
Was passiert, wenn eine Freistellung fehlschlägt?
Während Ausnahmen sehr nützlich sein werden, ist es wichtig, sich daran zu erinnern, dass es letztendlich die Bank des Karteninhabers ist, die entscheidet, ob sie eine Ausnahme akzeptiert oder nicht. Banken geben neue Ablehnungscodes für Zahlungen zurück, die aufgrund fehlender Authentifizierung fehlgeschlagen sind. Diese Zahlungen müssen dann dem Kunden mit der Bitte um eine starke Kundenauthentifizierung erneut übermittelt werden. Die SCA-fähigen Produkte von Stripe lösen diese zusätzliche Authentifizierung automatisch aus, wenn sie von Banken benötigt werden.

Wenn Ihr Unternehmen von SCA betroffen ist, empfehlen wir Ihnen, sich auf einen Rückfall vorzubereiten, falls eine Freistellung abgelehnt wird und Ihr Kunde eine Authentifizierung vornehmen muss. Dies ist besonders wichtig, wenn Sie Ihre Kunden belasten, wenn sie nicht aktiv in Ihrem Kassenfluss sind (wenn sie außerhalb der Sitzung sind) und Ihr Kunde zu Ihrer Website oder App zurückkehren muss, um sich zu authentifizieren. Weitere Informationen finden Sie in unserem Leitfaden zur Gestaltung von Zahlungsflüssen für SCA.

SOC mit wemakefuture umsetzen
Gemeinsam die SOC umsetzen

Wie wemakefuture Ihnen hilft, sich auf eine starke Kundenauthentifizierung vorzubereiten.
Die mit dieser neuen Verordnung eingeführten Änderungen werden den Internet-Handel in Europa stark beeinträchtigen. Betroffene Unternehmen, die sich nicht auf diese neuen Anforderungen vorbereiten, könnten nach der Durchsetzung von SCA am 14. September eine deutliche Senkung ihrer Konversionsraten erleben.

Zusätzlich zur Unterstützung neuer Authentifizierungsmethoden wie 3D Secure 2 glauben wir, dass eine erfolgreiche Handhabung von Ausnahmeregelungen zu einer Schlüsselkomponente für den Aufbau eines erstklassigen Zahlungserlebnisses wird, das Reibungsverluste minimiert. Wir gehen davon aus, dass es Unterschiede in der Art und Weise geben wird, wie die nationalen Regulierungsbehörden und sogar einzelne Banken Ausnahmeregelungen unterstützen und Lösungen entwickeln werden, um diese Komplexität für Sie zu bewältigen.

Wir helfen Ihnen eine neue API für grundlegende Zahlungen namens Payment Intents für Ihren Shop zu integrieren, die die SCA-Logik von Stripe verwendet, um die richtige Freistellung anzuwenden und 3D Secure bei Bedarf auszulösen. Der neue Checkout von Stripe sowie die Stripe Billing basieren beide auf dieser API und können 3D Secure bei Bedarf dynamisch anwenden.

Erfahren Sie mehr über die SCA-fähigen Produkte von wemakefuture.com