Ab Herbst 2019 wird die Strong-Customer-Authentication (SCA) bei Online Zahlungen in der EU eingeführt. Auf Deutsch heisst das wohl ungefähr – „Sehr sichere Kunden Identifikation„. Im Rahmen der Einführung der PSD2 (Payment Services Directive) wird auch das SCA System in Europa (EU) Standard werden. Das hat auch Auswirkungen auf alle Handelspartner mit der EU. Denn natürlich gilt dieses Gesetz auch für jeden EU-Bürger der im Ausland kauft. Egal wo er sich befindet. Unternehmen die also in die EU oder in der EU oder an EU-Bürger verkaufen sollten sich dringend damit beschäftigen.
Was ist die PSD2 ?
Die PSD2 (Payment Services Directive) beschreibt die Regeln des Zahlungsverkehrs in der EU und allen damit verbundenen Ländern. Also betrifft es auch die Schweiz. Die PSD2 beschreibt Regeln aus Verordnungen der EU. Basis war die Verordnung für den Zahlungsverkehr in der EU von 2007. Ergänzt bzw. ersetzt durch die Verordnungen von 2015 und folgende. Es gibt nicht die „PSD2“ sondern eine Menge an Einzelverordnungen der EU die diese Umstände regeln. Grundsätzlich werden in den Verordnungen die Dinge um den Zahlungsverkehr zwischen Banken, Unternehmen und anderen Einheiten geregelt. Wichtig und neu wird aber dieses Jahr die SCA. Zahlungen die online ausgeführt werden, müssen danach durch eine dritte Komponente gesichert werden. Deswegen werden Lösungen für das Vorgehen auch oft 3D-Security Systeme genannt.
3D-Security
Eine Lösung für das SCA könnte das sogenannte 3D-Security – Verfahren sein. Dabei wird z.B. bei der Bezahlung mit einer Kreditkarte neben der Abfrage der Kartendaten (1) und Geheimnummer (2) ein weiteres Merkmal (3) abgefragt. Deshalb 3D für 3-Dimensionen. Viele Zahlungsprovider und Kartensysteme bieten das schon lange an. Leider sind die Kunden darauf nicht vorbereitet. In einem dreimonatigen Test, mit 3D-Security, auf unseren Online-Shops haben wir festgestellt, dass rund 30 % aller Kunden damit nicht zurechtkamen. Sie konnten oft den dritten Schritt nicht erfüllen oder brachen das Verfahren ab. Das kostete uns natürlich Umsatz.
Nach der Eingabe der Kreditkartendaten wird der Kunde auf eine extra Seite seines Zahlungssystems, z.B. Visa Karte, weitergeleitet. Je nach dem was der Kunde als 3D-Security Merkmal, bei seinem Kartenprovider angegeben hat, wird dort eine Eingabe oder Aktion abverlangt. Das kann eine weitere Kennwortabfrage sein oder der Aufruf einer App auf dem Mobilgerät (z.B. transakt app) mit der der Kunde die Transkation noch einmal bestätigt. Es kann aber auch ein Einmalpasswort über den Google Authenticator abgefragt werden oder das Scannen eines QR-Codes mit Generierung eines Zahlencodes. Den man dann noch eingeben muss. Wie gesagt, hängt das Verfahren davon ab, was der Kunde mit seinem Kartenprovider ausgemacht hat. Der Kunde muss mit der dritten Prüfung die Zahlung und seine Identität bestätigen. Das schafft enorm viel mehr Sicherheit. Leider ist vielen diese Vorgehensweise unbekannt, suspekt oder sie denken es ist ein Phishing-Versuch.
Schäden liegen jährlich im Milliardenbereich
Für die Kartenprovider und Kartenbetreiber liegt der Schaden durch Betrug jährlich im Milliarden Dollarbereich. Kreditkartendaten werden gestohlen und dann missbräuchlich verwendet. Der eigentliche Kunde will den Schaden natürlich nicht bezahlen. Deshalb müssen die Kartenprovider und Kartenbetreiber diese Kosten übernehmen. Das treibt die Gebühren für Zahlungen natürlich in die Höhe. Wie wir alle wissen, wurden in den letzten Jahren mehrfach Datenbanken gehackt und Millionen Kreditkartendaten gestohlen. Diese Daten werden nun, nach und nach, für den Betrug verwendet. Um diesem Betrug entgegen zu wirken sind Verfahren wie 3D-Security dringend notwendig. Kreditkarten-Unternehmen haben diese Verfahren bisher nur als Option, also für den freiwilligen Einsatz angeboten. Die PSD2 wird nun in der EU, ganz konkret, solche Massnahmen per Gesetz verlangen. Die Einführung der Vorschrift ist für Herbst 2019 geplant.
Was müssen Händler beachten!
Händler sollten ihre Zahlungssysteme auf 3D-Security – Verfahren oder auf die Einhaltung des SCA – Verfahrens hin überprüfen. Stimmt es nicht mit den neusten Bedingungen überein, sollte es aktualisiert werden. Ist das System aktuell, sollte schnellst möglich auf 3D-Security oder ein SCA kompatibles System umgeschaltet werden.
Schalten Händler ihr System vom 2D auf 3D oder SCA um, sollten sie ihre Kunden darüber informieren. Beschreiben Sie ihren Kunden genau wie sie bei einer Bezahlung vorgehen müssen. Denn das grösste Problem ist die Verunsicherung der Kunden.
Weiterhin empfehle ich Händlern die Vorschriften der EU in Bezug auf Zahlungssysteme zu verfolgen. Informationen dazu findet man auf den zahlreichen Webseiten der EU. Eine wichtige Quelle ist z.B. die EUR-LEX eine Datenbank für EU-Recht.
Was sollten Kunden beachten!
Kunden, die online einkaufen, sollten sich bei ihrem Kartenprovider oder Herausgeber informieren, welches SCA-System er anbietet und wie es funktioniert. Lassen sie sich über die Möglichkeiten informieren. Meist bieten die Herausgeber unterschiedliche Möglichkeiten an. Darunter kann man das für sich passende System aussuchen und verwenden. Bitte denken Sie daran Online-Shops mit SCA oder 3D-Security zu bevorzugen. Denn damit können wir alle dazu beitragen, den Betrug zu verringern.