Payment
20.09.2019
Anpassungsdruck für Händler
1. Teil: „Das Online-Bezahlen wird sich ändern“

Das Online-Bezahlen wird sich ändern

AuthentifizierungAuthentifizierungAuthentifizierung
Mykhailo Matviichuk / shutterstock.com
Für Zahlungen im Web gilt nun die Pflicht zur Zwei-Faktor-Authentifizierung. Die PSD2 bringt zwar mehr Sicherheit, stellt betroffene Unternehmen jedoch vor eine Herausforderung.
Am 14. September 2019 ist es so weit: Die EU-Zahlungsdiensterichtlinie PSD2 tritt vollständig in Kraft und mit ihr die Re­gelungen zur Zwei-Faktor-Authentifizierung. Derzeit ist noch viel Unsicherheit im Markt, was genau sich damit ändert und wer welche Maßnahmen ergreifen muss. Allein schon die Vielfalt der Begriffe sorgt für Verwirrung. So sprechen manche von Zwei-Faktor-Authentifizierung, andere von Strong Customer Authentication (SCA), wieder andere von starker Kundenauthentifizierung.
Die Zwei-Faktor-Authentifizierung schreibt vor, dass elektronische Fernzahlungen - und damit viele heute übliche Bezahlvorgänge im Online-Handel - neben gängigen Merkmalen wie Benutzername und Passwort oder Kreditkartennummer, Ablaufdatum und Prüfziffer mit einem sogenannten zweiten Faktor gesichert werden müssen. Ziel ist der Schutz der Verbraucher: Die Regelung soll sicherstellen, dass nur ein autorisierter Nutzer eine Zahlung freigeben kann.
  • Die Kunden zur Registrierung für das 3D-Secure2.0-Verfahren gewinnen: Mastercard versucht das mit einem Gewinnmspiel.
    Quelle:
    com! professional / Screenshot
Doch die gesetzlichen Vorgaben stehen den jahrelangen Bemühungen der Zahlungsanbieter um schlanke Bezahlprozesse entgegen. Denn ein zweiter Faktor macht zwingend einen weiteren Schritt im Bezahlprozess nötig. Daher fürchten viele Branchenexperten und Händler, dass mehr Kunden als bisher ihren Online-Einkauf abbrechen werden, wenn das Bezahlen zu lange dauert.

Vermehrt Kaufabbrüche

57 Milliarden Euro könnte der europäische Online-Handel im Lauf der ersten zwölf Monate nach dem Inkrafttreten der Zwei-Faktor-Authentifizierung aufgrund zusätzlicher Kauf­abbrüche einbüßen, prognostizierte unlängst der Payment-Service-Provider Stripe. Ausschlaggebend für die möglicherweise hohen Verluste sei, dass viele Unternehmen bisher wenig über die Neuregelungen wüssten und nicht auf die Umstellung vorbereitet seien, so die Studien-Autoren.
Der zweite Faktor
Die Zwei-Faktor-Authentifizierung soll gewährleisten, dass derjenige, der eine Zahlung auslöst, sicher authentifiziert ist, und dadurch Betrug verhindern.
Dafür müssen zwei von drei Elementen aus den drei Kategorien Wissen, Besitz und Inhärenz (etwas, das dem Nutzer anhaftet) in den Bezahlvorgang eingebunden sein. Zu der Kategorie Wissen zählen Passwörter, Geheimfragen wie die nach dem Mädchennamen der Mutter sowie PIN- oder TAN-Codes. Zum Besitz zählen das Smartphone oder andere mobile Geräte wie Tablets oder Smartwatches, aber auch Smartcards. Persönliche Merkmale des Nutzers aus der Kategorie Inhärenz sind der Fingerabdruck (Touch-ID), die Gesichtserkennung (Face-ID), die Stimm- oder die Iris­erkennung.
Um eine Zahlung nach den Vorgaben der Zwei-Faktor-Authentifizierung freigeben zu können, müssen also beispielsweise ein Passwort mit einem Fingerabdruck oder eine Einmal-TAN mit einem Smartphone gekoppelt werden.
2. Teil: „Betroffene Zahlarten“

Betroffene Zahlarten

  • Smartphone beim Bezahlen: Es wird künftig eine wichtigere Rolle einnehmen, da es weit verbreitet ist und sich der zweite Faktor darüber gut integrieren lässt.
    Quelle:
    Visa
Die gute Nachricht für Online-Händler: Prinzipiell müssen sich die Zahlungsdienstleister darum kümmern, dass die Vorgaben eingehalten werden, nicht die Händler selbst. Das heißt, Anbieter wie Paypal, Amazon Pay und Kreditkarten­unternehmen müssen ihre Verfahren so ändern, dass bei Bedarf die Abfrage eines zweiten Faktors möglich ist. Außerdem sind nicht alle beim Online-Shopping gängigen Bezahlverfahren betroffen. Die schlechte Nachricht: Die Online-Händler müssen abwarten, wann und in welcher Form die Zahlungsdienstleister die Vorgaben umsetzen.
Nach den Vorgaben der PSD2 (Payment Services Direc­tive2) müssen die Transaktionen nicht bei allen Bezahlverfahren durch einen zweiten Faktor gesichert werden.
  • Lastschrift: Für Zahlungen via Lastschrift ist im Online-Handel nie eine Zwei-Faktor-Authentifizierung nötig. Der Grund dafür ist, dass die Zahlung nicht vom Online-Shopper angestoßen wird, sondern von dessen Gläubiger, in diesem Fall dem Shop-Betreiber. Seine Bank zieht die Lastschrift mit Erlaubnis des Online-Shoppers aktiv ein. Bei Lastschriftzahlungen im Web ändert sich also gar nichts.
  • Sofortüberweisung/Giropay: Beide Online-Überweisungsverfahren basieren auf Online-Banking. Dort sind die Transaktionen über die einmaligen TANs (Transaktionsnummern) im Rahmen des Online-Banking immer mit einem zweiten Faktor gesichert, egal ob es eine Mobile TAN via SMS, eine Push-TAN in einer App oder eine Foto-TAN ist. Wichtig dabei ist lediglich, dass die TAN über ein zweites Gerät ausgegeben wird, etwa ein Smartphone. Bei den meisten Banken ist dies heute schon Standard. Für diese Zahlarten ist beim Online-Shopping keine weitere Authentifizierung nötig.
  • Rechnungskauf: Wird die Rechnung für eine Bestellung im Web vom Online-Shopper mit einer Online-Überweisung bezahlt, greifen auch die Sicherungsmechanismen des Online-Bankings. Folglich ist auch beim Rechnungskauf keine zusätzliche Authentifizierung nötig. Einzige Ausnahme: Enthält die Rechnung einen Bezahl-Code, über den der Online-Shopper mit einer anderen Bezahlart wie etwa Paypal die Rechnung begleicht, greifen die Bestimmungen dieser Zahlart.
  • Paypal: Paypal gilt nach eigenen Angaben als Zahlungskonto im Sinne der PSD2 und muss damit die Vorgaben zur Zwei-Faktor-Authentifizierung umsetzen. Wie das konkret aussehen wird, verrät Paypal noch nicht. Ein Team arbeite an der Umsetzung. Ziel sei, „auch künftig ein möglichst reibungsloses Bezahlerlebnis bieten zu können“, heißt es aus dem Unternehmen. Paypal sichert seinen Händlern zu, dass die Bestimmungen bis zum Stichtag erfüllt werden und dass auf die große Mehrheit der Händler kein zusätzlicher Entwicklungsaufwand zukommen wird.
Prinzipiell macht es einen Unterschied, ob die Paypal-Zahlung per Lastschrift oder per Kreditkarte abgewickelt wird. Bei einer Lastschriftzahlung ist auch hier keine Authentifizierung nötig, bei einer Kreditkartenzahlung hingegen schon. Daher wird Paypal vermutlich auch nur bei Kreditkartenzahlungen die nötige Authentifizierung einbauen. Denkbar wäre eine Einmal-TAN, die per SMS, per E-Mail oder per App ausgegeben wird. Diese Möglichkeit bietet Paypal besonders sicherheitsbewussten Kunden bereits heute an, sie wird aber wohl kaum genutzt.
Ebenso denkbar sind biometrische Verfahren wie ein Fingerabdruck oder ein Gesichts-Scan über die Paypal-App. Da viele Paypal-Nutzer sehr mobilaffin sind, ist zu vermuten, dass die schnellen Biometrie-Verfahren hier künftig eine große Rolle spielen werden.
Für Paypal Express gilt: Paypal Express wird lediglich an anderer Stelle im Checkout eingebunden, etwa im Warenkorb. Der Bezahlvorgang an sich ist aber ein gewöhnlicher Paypal-Prozess und daher auch künftig mit diesem identisch.
  • Auch die Banken sind gefordert: Die Sparkasse München etwa erklärt ihren Kunden, dass sie sich für Kartenzahlungen künftig legitimieren müssen.
    Quelle:
    com! professional / Screenshot
Anders verhält es sich bei Paypal One-Touch: Um die schnelle Bezahlung mit nur einem Klick zu ermöglichen, bleibt der Nutzer quasi dauerhaft eingeloggt. Dies wird nach der Neuregelung in dieser Form wohl nicht mehr möglich sein, da der Gesetzgeber vorschreibt, dass das Log-in aus Sicherheitsgründen wie beim Online-Banking nach einigen Minuten ohne Aktion automatisch beendet wird. Paypal verspricht auch hier eine Lösung,
Bei Paypal-Zahlungen wird sich der Bezahlvorgang also ändern, wenn die Transaktion nicht per Lastschrift abgewickelt wird. Der Händler sollte im Regelfall aber keine Änderungen vornehmen müssen.
  • Amazon Pay: Auch Amazon Pay will sich nicht in die Karten schauen lassen. „Wir sind uns bewusst, dass die PSD2 im September wirksam werden soll, und wir sind dabei, unsere eigenen Vorbereitungen abzuschließen. Obwohl wir nur ein Teil der Kette für Finanztransaktionen sind, tragen wir unseren Teil dazu bei, für unsere Kunden einen reibungslosen Übergang zu gewährleisten“, lautet das Statement von Amazon. Auch hier macht es einen Unterschied, ob hinter der Amazon-Pay-Transaktion eine Lastschrift oder eine Kreditkartenzahlung steht. Denkbar wäre, dass Amazon die Lastschrift als bevorzugte Zahlart nach oben setzt, um möglichst selten authentifizieren zu müssen. Für Kreditkartenzahlungen sind ähnliche Verfahren wie bei Paypal denkbar, beispielsweise eine Mobile-TAN via SMS.
  • Paydirekt/Klarna: Die beiden Zahlungsanbieter Klarna und Paydirekt halten sich ebenfalls bedeckt. Paydirekt lässt lediglich verlauten, dass man vorbereitet sei und den Service „selbstverständlich auch über den 14. September hinaus rechtskonform und komfortabel“ anbieten werde. Ähnlich das Bild bei Klarna: Man bereite sich auf unterschiedliche Szenarien vor.
  • Kreditkarte: Kreditkartenzahlungen müssen beim Online-Shopping künftig immer mit einem zweiten Faktor gesichert werden. Zu diesem Zweck haben sich die beteiligten Finanzpartner auf den neuen 3D-Secure-2.0-Standard ge­einigt. Darüber soll die Zwei-Faktor-Authentifizierung deutlich erleichtert werden. Zahlungen ohne 3D-Secure-Absicherungen sind nicht erlaubt.
Prinzipiell ist aber auch die Absicherung über das bisher geltende 3D-Secure1-Verfahren erlaubt und möglich, das die Kreditkartenfirmen unter Bezeichnungen wie „Verified by Visa“ und „Mastercard Secure Code“ bereits vor Jahren eingeführt haben.
3. Teil: „Transaktionsrisikoanalyse“

Transaktionsrisikoanalyse

Der neue 3D-Secure2.0-Standard soll die Umsetzung der starken Authentifizierung erleichtern, indem biometrische Methoden wie etwa der Fingerabdruck oder per SMS oder E-Mail verschickte Einmal-TANs zur Sicherung leichter eingesetzt werden können. Außerdem ermöglicht der neue Standard das Erfassen von bis zu 100 Daten zum Käufer und dem Kaufprozess. Dazu zählen die Anzahl der Transaktionen, die Warenkorbgröße, die Wiederkaufsrate, die IP-Adresse des Käufers oder die Browser-Version. Diese Daten dienen als Basis für die sogenannte Transaktionsrisikoana­lyse. Eine solche Analyse können Finanzdienstleister durchführen, um das Risiko einer betrügerischen Zahlung einzuschätzen. Unterschreitet der Risikowert die vorgeschriebenen Grenzwerte, darf die Zahlung ohne Zwei-Faktor-Authentifizierung abgeschlossen werden.
Allerdings kann die Transaktionsrisikoanalyse nicht auf einen einzelnen Händler bezogen durchgeführt werden. Basis ist immer die Gesamtheit aller Zahlungen mit einer Zahlart. Dennoch gehen einige Payment-Dienstleister davon aus, dass aufgrund der Transaktions­risikoanalyse künftig bis zu 95 Prozent der Kreditkartenzahlungen ohne Zwei-Faktor-Authentifizierung durchgeführt werden könnten.
Dementsprechend groß ist das Interesse der Kreditkartenunternehmen und der Payment-Service-Provider, den 3D-Secure2.0-Standard zu etablieren. Denn wenn der Zwang zum zweiten Faktor aufgrund der Risikoanalyse wegfällt, steigt die Wahrscheinlichkeit, dass der Kunde auch weiterhin mit der Kreditkarte bezahlen will.
Für den Händler heißt das konkret: Er muss prinzipiell für Kreditkartenzahlungen ein 3D-Secure-Verfahren integrieren. De facto werden die Händler aber gut beraten sein, den neuen 2.0-Standard einzusetzen, da er einen deutlich höheren Bedienkomfort für die Online-Shopper und dadurch eine geringere Kaufabbruchquote verspricht.
Die Transaktionsrisikoanalyse ist eine der Ausnahmeregelungen in der PSD2 bei der Zwei-Faktor-Authentifizierung. Sie gilt im Übrigen nicht nur für Kreditkarten, sondern auch für andere  Zahlungsdienstleister. Auch Paypal könnte nach Einschätzung von Experten über die Grundgesamtheit seiner Zahlungen eine Transaktionsrisikoanalyse durchführen, um die starke Authentifizierung in möglichst vielen Fällen zu umgehen. Ob Paypal das tun wird, ist nicht bekannt.

Kleinbeträge und Abos

Daneben hat der Gesetzgeber weitere Ausnahmen geregelt, bei denen die Pflicht zum zweiten Faktor nicht gilt. Eine dieser Ausnahmen betrifft Kleinbeträge. So ist bei Beträgen unter 30 Euro keine Zwei-Faktor-Authentifizierung nötig. Das gilt allerdings nur, solange der Kunde insgesamt nicht mehr als 100 Euro seit der letzten mit zweitem Faktor abgesicherten Transaktion über dieses Bezahlverfahren ausgegeben oder nicht mehr als fünf Zahlungen mit dieser Zahlart getätigt hat. Auch wiederkehrende Zahlungen, etwa für Abonnements, sind ausgenommen - selbst wenn es sich dabei um Zahlungen in unregelmäßigen Zeitintervallen und mit unterschiedlichen Summen handelt.
Eine weitere Ausnahme ist das sogenannte Whitelisting - ein Verfahren, bei dem der Online-Shopper vertrauenswürdige Zahlungsempfänger, also auch Shops seines Vertrauens, auf einer Liste hinterlegt, sodass bei Zahlungen in diesem Shop keine Authentifizierung nötig ist. Die Whitelists kann aber nur der Verbraucher selbst bei einem Zahlungsdienstleister führen. Das kann seine Bank, könnte aber auch Paypal sein. Es ist jedoch nicht klar, ob alle Banken solche Whitelists anbieten werden.
Inwieweit ein Händler von den Ausnahmeregelungen profitieren kann, hängt zudem vom Einzelfall ab. Shop-Betreiber sollten sich in jedem Fall bewusst sein, dass Umsetzung und Abwicklung der Ausnahmen sehr komplex sein können. So kann der Händler zum Beispiel nicht wissen, wie oft oder wie viel sein Kunde bereits ohne Authentifizierung mit dem ausgewählten Verfahren bezahlt hat, ob also die Fünfer-Regel oder die 100-Euro-Regel greift oder nicht. Auch die nötige Anbindung an die Banken, um eine Rückmeldung über ein mögliches Whitelisting automatisiert im Shop ver­arbeiten zu können, ist nicht zu unterschätzen.
4. Teil: „Händler sollten informieren“

Händler sollten informieren

Wie sollten Händler sich nun konkret auf die Zwei-Faktor-Authentifizierung einstellen? Als Erstes sollte sich der Händler seinen Zahlarten-Mix genau ansehen und analysieren, welche Zahlarten seine Kunden am häufigsten nutzen und über welche Zahlarten er den meisten Umsatz beziehungsweise Gewinn generiert.
Sind Kreditkartenzahlungen wichtig für ihn, sollte er sich mit seinem Payment-Service-Provider in Verbindung setzen. In aller Regel wird dieser zeitnah ein Update bereitstellen, mit dem das 3D-Secure2.0-Verfahren integriert wird. Parallel ist zu klären, welche Daten der Payment-Service-Provider vom Shop-Betreiber für die Transaktionsrisikoanalyse haben möchte. Hier ist der Händler gefragt, weil sein Shop-System eventuell nicht alle gewünschten Daten ausweist. Im Zweifelsfall muss er prüfen, ob und inwieweit er seine Systeme anpassen will. Eventuell ist auch ein Wechsel des Payment-Service-Providers sinnvoll.
Für Paypal-Zahlungen, die in vielen Shops eine große Rolle spielen, muss der Händler darauf vertrauen, dass Paypal rechtzeitig eine Lösung präsentieren wird. Gleiches gilt, wenn ein Händler Amazon Pay oder Paydirekt im Angebot hat. Bei den Bezahlverfahren Rechnungskauf, Lastschrift, Sofortüberweisung und Giropay sollten keine Pro­bleme auftreten.
In jedem Fall sind Händler gut beraten, ihre Kunden über die anstehende Änderung zu informieren. Händler sollten sich daher überlegen, in welcher Form und an welcher Stelle im Shop sie ihren Kunden erklären können, warum sich der Bezahlvorgang ändert und wie er künftig aussehen wird. Eventuell sind Hilfestellungen direkt im Umfeld der gewählten Zahlart sinnvoll. Auch der Kundenservice sollte auf entsprechende Anfragen vorbereitet sein.
Zudem ist es sinnvoll, Bezahlverfahren festzulegen, die als Auffangnetz dienen, falls eine gewünschte Zahlung wegen der fehlenden Authentifizierung nicht zustande kommt. Als Ersatz kann der Händler etwa eine Zahlung via Lastschrift oder Sofortüberweisung oder auch den Rechnungskauf anbieten. Hat er bislang keine solche Verfahren im Angebot, sollte er überlegen, mindestens eine solche Zahlart einzuführen.
EBA
Übergangsfrist möglich
Zu Redaktionsschluss war noch nicht sicher, ob die Regelungen zur Zwei-Faktor-Authentifizierung tatsächlich ab dem 14. September 2019 in der Weise gelten werden. Viele Akteure, darunter Payment-Service-Provider und Händler, sind offensichtlich nicht in der Lage, die Vorgaben zu diesem Stichtag umzusetzen. Daher haben verschiedene Interessengruppen wie der europäische Handelsdachverband Euro Commerce an die europäische Bankenaufsicht European Banking Authority (EBA) appelliert, den Start zu verschieben.
Die EBA hat nun klargestellt, dass die Regelungen in jedem Fall am 14. September in  Kraft treten werden. Allerdings räumt die Bankenaufsicht den nationalen Aufsichtsbehörden das Recht ein, in begründeten Ausnahmefällen eine Fristverlängerung zuzulassen. Während dieser Übergangszeit würden Verstöße gegen die Regelungen dann nicht geahndet. In Deutschland ist für eine solche Fristverlängerung die Bundesanstalt  für  Finanzdienstleistungsaufsicht, kurz Bafin, zu­ständig.
Experten halten es für sehr wahrscheinlich, dass es insbesondere für Kreditkartenzahlungen zu solchen Ausnahmegenehmigungen kommen wird. Klar ist aber, dass die Regelungen in Zukunft in jedem Fall gelten - wenn auch vielleicht einige Monate später als ursprünglich vorgesehen. Die Händler sollten sich daher unbedingt darauf vorbereiten.

mehr zum Thema