PSD2 – Die Zwei-Faktor-Authentifizierung für Online-Einkäufe

Die überarbeitete Zwei-Faktor-Authentifizierung bei Online-Einkäufen wird ab dem 14. September 2019 Pflicht. Alle wichtigen Informationen haben wir für Sie zusammengestellt.

Was ist die PSD2 und was bedeutet sie?

Die neue Richtlinie der EU macht Online-Einkäufe sichererer, aber auch komplizierter.

Die PSD2 (Payment Service Directive) ist die zweite Version der Zahlungsdienstrichtlinie der EU und soll künftig Online-Betrügern entgegenwirken. Bestandteil der neuen Richtlinie ist die starke Kundenauthentifizierung (Strong Customer Authentication, Abkürzung SCA). In Deutschland ist die Zahlungsdienstrichtlinie bereits seit dem 13. Januar 2018 im nationalen Recht verankert. Die Umsetzungsfrist endet allerdings erst am 14. September 2019.

Verbraucher haben mit zwei wesentlichen Änderungen zu rechnen. Zum einen ändert sich die Eingabe beim Online-Banking, zum anderen wird das Bezahlen bei Einkäufen im E-Commerce komplexer. Weitreichende Änderungen wird die PSD2 bei Zahlungsanbietern wie PayPal und Klarna mit sich bringen. Sogenannte dritte Zahlungsanbieter haben künftig Zugriffsmöglichkeiten auf die Bankkonten der zahlenden Verbraucher. Den Drittanbietern wird der Zugriff allerdings nur gewährt, wenn der Kontoinhaber explizit zustimmt. Ohne die Zustimmung des Kontoinhabers, hat der Drittanbieter auch zukünftig kein Zugriff auf Ihre Kontodaten.

Was ist die „starke Kundenauthentifizierung“?

Die starke Kundenauthentifizierung (SCA) soll die eindeutige Zuordnung einer Person zu einer elektronischen Zahlungstransaktion ermöglichen. Dies soll dazu führen, dass künftig Missbrauch verhindert wird und tatsächlich die Person hinter der Online-Zahlung steht, für die sie sich ausgibt.

Bislang war es ausreichend die Kreditkartennummer oder ein Passwort einzugeben. In Zukunft muss der Kunde mindestens zwei Stufen bei der Kundenauthentifizierung durchlaufen.

Von den folgenden drei Kategorien müssen ab September mindestens zwei bei dem Authentifizierungsvorgang enthalten sein:

• Wissen: Hierunter fallen Sicherheitsabfragen, die nur Sie kennen sollten, beispielsweise Passwörter und die PIN.
• Besitz: Gegenstände, die nur Sie besitzen gehören, fallen unter diese Kategorie, zum Beispiel ein Smartphone oder eine Smartwatch.
• Inhärenz: Hiermit ist die biometrische Authentifizierung gemeint, also Eigenschaften, die nur Sie besitzen. Darunter fallen Eigenschaften wie der Fingerabdruck, Gesichtserkennung oder die Stimmerkennung.

Vorgaben, wie diese Bereiche miteinander kombiniert werden müssen, gibt es nicht.

Welche Zahlungsmethoden sind betroffen?

Grundsätzlich sind alle online getätigten Kartenzahlungen von der Zwei-Faktor-Authentifizierung betroffen. Dabei ist es gleichbedeutend, ob es sich um einen Einkauf auf einer Online-Plattform handelt oder eine Reise auf einem Online-Portal gebucht wird.

Auch Zahlungsdienste wie PayPal müssen die Zwei-Faktor-Authentifizierung einführen.

Das Lastschriftverfahren ist nicht betroffen. Diese Zahlungsmethode wird schließlich nicht durch den Kunden, sondern durch den Zahlungsempfänger eingeleitet. Auch die Zahlung per Rechnung oder Vorkasse bleibt unverändert.

Ausnahmeregelungen

Aufgrund der komplizierteren Vorgehensweise wurden Ausnahmen getroffen. Zwei Faktoren müssen nicht abgefragt werden, bei:

• Zahlungsvorgängen mit Geldbeträgen unter 30€
• Zahlbeträgen unter 500€, sofern die Transaktion als risikoarm eingestuft wird. Ob eine Transaktion als risikoarm eingestuft werden kann, ist abhängig von der durchschnittlichen Betrugsrate des entsprechenden Zahlungsdienstleisters. Die EU sieht hierfür definierte Betrugsquoten vor.
• Abonnementmäßigen Zahlungen
• Zahlungen im B2B-Bereich
• Erstellung einer Whitelist. Hierbei handelt es sich um eine Liste von Empfängern, die von Ihnen als vertrauenswürdig eingestuft werden. Kaufen Sie beispielsweise regelmäßig bei dem gleichen E-Commerce-Unternehmen ein, kann es von Nutzen sein, dieses Unternehmen auf die Whitelist zu setzen.

Was müssen Online-Händler beachten?

In erster Linie sind Zahlungsdienstleister und Banken in der Pflicht, die Authentifizierung anzupassen. Für Online-Händler selbst ergeben sich erstmal keine Änderungen.

Dennoch wird die neue Richtline PSD2 nicht spurlos am Online-Handel vorbeigehen. Laut einer Studie der 451 Research und der Payment-Plattform Stripe werden in den ersten zwölf Monaten nach Inkrafttreten der EU-Richtlinie Mindereinnahmen von 57 Milliarden Euro erwartet.

Vor allem KMU (kleine und mittlere Unternehmen) sind auf die Umstellung nicht ausreichend vorbereitet: So geben lediglich 40 Prozent der befragten Unternehmen an, auf die neue Richtlinie der EU vorbereitet zu sein. Unternehmen mit weniger als 100 Beschäftigten sind mit der Zwei-Faktor-Authentifizierung nicht vertraut und werden bis September nicht regelkonform arbeiten können.

Darüber hinaus werden Unternehmen mit mehr Kaufabbrüchen konfrontiert. Das liegt vor allem an der fehlenden Toleranz der Verbraucher gegenüber komplizierten Bezahlprozessen. Bereits ohne PSD2 sind Online-Kaufprozesse recht kompliziert, sodass 74 Prozent der 15-25 jährigen im letzten halben Jahr bereits einen Online-Kauf abgebrochen haben. Die neue Richtlinie und das fehlende Bewusstsein der Verbraucher könnte die Situation in Zukunft nochmals erschweren.

Fazit

Trotz der vielen Vorteile der PSD2 befürchten einige Online-Händler Umsatzeinbußen aufgrund des umfangeichen Authentifizierungsvorgangs. Erwartet werden mehr Verkaufsabbrüche bei dem letzten Schritt des Kaufvorgangs.

Von einem anderen Blickwinkel betrachtet, ist es ebenfalls möglich, dass die transparente und nutzerfreundliche Authentifizierung das Vertrauen der Kunden weckt und mehr Bestellungen eingehen als zuvor.

Das Ausmaß der EU-Zahlungsdienstrichtlinie ist noch unbekannt. Kann die Sicherheit im Online-Zahlungsverkehr erhöht werden? Sorgt die Zwei-Faktoren-Authentifizierung für Innovation? Oder ist die neue Richtlinie der EU lediglich ein Mehraufwand für Banken und Zahlungsdienstleister? Diese Fragen können erst nach der verpflichtenden Einführung der PSD2 beantwortet werden. Sicher ist allerdings, dass der Online-Handel dringend einen sicheren und einheitlichen Zahlungsverkehr benötigt. Für Kunden der VARIO stellen wir im September ein Update zur Verfügung, damit Sie das Onlinebanking-Modul auch mit der PSD2 Richtlinie nutzen können.