3D Secure 2: Authentifizierungslösungen

Mehr Sicherheit im E-Commerce

 

Zahlungsbetrug ist – besonders im Online-Shopping – nach wie vor ein Problem, mit dem sich Händler intensiv auseinandersetzen. Die Herausforderung hierbei: Oftmals müssen sich Händler zwischen einem niedrigeren Betrugsrisiko und einer geringeren Rate von Kaufabbrüchen entscheiden. Um die Sicherheit von Kreditkartenzahlungen im E-Commerce europaweit zu steigern, sind am 14. September 2019 die technischen Regulierungsstandards im Rahmen der überarbeiteten Zahlungsdiensterichtlinie der EU (PSD2) in Kraft getreten.


PSD2 – neue Regelungen im Zahlungsverkehr

Die PSD (Payment Service Directive) regelt grundsätzlich Zahlungsabwicklungen innerhalb des europäischen Wirtschaftsraumes. Die erweiterte Richtline PSD2 sieht nun unter anderem für Transaktionen im Online-Handel eine starke Kundenauthentifizierung vor (SCA). 
Dies bedeutet, dass für eine Online-Kreditkartenzahlung nicht nur Daten wie Nummer, Ablaufdatum und Code vorliegen müssen, sondern sich der Käufer zusätzlich authentifizieren muss. Als Wegbereiter für SCA wurde eine neue Version von 3D Secure veröffentlicht. So sieht 3D Secure 2 beispielsweise die Möglichkeit vor, eine Transaktion mithilfe einer biometrischen Methode zu authentifizieren. Auf diese Weise soll im Bereich des E-Commerce mehr Sicherheit bei Transaktionen gewährleistet werden.

Update zu den anstehenden PSD2-Änderungen

Nach Inkrafttreten von strengeren Sicherheitsstandards für Onlinezahlungen im Rahmen der PSD2, hat die Europäische Bankaufsichtsbehörde im Juni eine Stellungnahme veröffentlicht. Darin erkennt sie die damit verbundenen Herausforderungen aufgrund der Komplexität der Zahlungsmärkte in der EU an. Wir möchten Ihnen bei dem Übergang helfen und haben zu diesem Zweck die aktuelle Sachlage für Sie zusammengefasst.

Die Europäische Bankenaufsichtsbehörde (EBA) hat den zuständigen nationalen Behörden gestattet, die Frist für die Umsetzung der starken Kundenauthentifizierung (SCA, Strong Customer Authentication) über den 14. September 2019 hinaus zu verlängern und eine Übergangsphase vorzusehen, um in den Märkten des Europäischen Wirtschaftsraums (EWR) eine reibungslose Umstellung auf die PSD2-Anforderungen zu ermöglichen. 

Die EBA gab in ihrer jüngsten Stellungnahme vom 16. Oktober 2019 bekannt, dass die Umsetzung der SCA-Anforderungen für Onlinezahlungen bis zum 31. Dezember 2020 über alle Märkte des EWR hinweg abgeschlossen sein muss.

Als Reaktion auf diese Ankündigung erwarten wir, dass die zuständigen nationalen Behörden (NCA) weitere Mitteilungen veröffentlichen und die von der EBA gesetzte Umsetzungsfrist übernehmen.
Wirecard wird die Eckpunkte zu jedem Land auf dem neuesten Stand halten. 

Zeitlich befristete Übergangsphase für die Umsetzung der SCA-Anforderungen im Rahmen der PSD2

Aktuelle Veröffentlichungen der wichtigsten Regulierungsbehörden:

Europäische Bankenaufsichtsbehörde
BaFin
Financial Conduct Authority
Banca d’Italia
Banque de France
Weitere Mitteilungen

Machen Sie sich und Ihr Unternehmen für 3D Secure 2 bereit

Beim bisher verwendeten Verfahren 3D Secure musste das Kundenerlebnis hinsichtlich der Sicherheit von Onlinezahlungen starke Abstriche machen. Aus diesem Grund haben Mastercard, Visa, American Express, UPI, Diners Club, Discover, JCB und Cartes Bancaires die neuen Sicherheits-Anforderungen von PSD2 zum Anlass genommen ebenfalls an der Nutzerfreundlichkeit zu arbeiten. Mit 3D Secure 2.0 stellen die Kreditkartenunternehmen nun ein Verfahren vor, mit dem sie dank der neuen Authentifizierungstechnologie nicht nur weniger Betrugsfälle, sondern im Vergleich zu 3D Secure auch mehr Conversion versprechen. 

Vergleich: 3D Secure vs. 3D Secure 2

Was sind die konkreten Unterschiede zwischen 3D Secure und 3D Secure 2?

  • Besserer Betrugsschutz
  • Keine statischen Passwörter
  • Unterstützung mobiler Geräte
  • Händler-Opt-out
  • Mehr Flexibilität für Händler

Welche Vorteile bringt 3D Secure 2 für den Kunden?

  • Höhere Benutzerfreundlichkeit
  • Niedrigere Rate unberechtigter Ablehnungen
  • Mehr Komfort dank risikobasierter Authentifizierung 

Ihre Vorteile von 3D Secure 2 im Detail

Flexible Nutzung über alle Endgeräte

Reibungslose und konsistente Benutzererfahrung über alle Kanäle, einschließlich Wallets und Apps.

Optimierte User Experience

Nahtlose Integration des Authentifizierungs-prozesses in das Einkaufserlebnis sowie schnelle, einfache und bequeme Authentifizierung für Karteninhaber.

Verbesserter Datenaustausch

Option zur risikobasierten Authentifizierung bietet zusätzlichen Schutz vor Betrug und steigert damit den Umsatz.

Erfahren Sie mehr zu 3D Secure 2 in unseren Webinaren

'
'

Strong Customer Authentication als EU-weite Maßnahme gegen Betrug

Unternehmen bieten sich die verschiedensten Möglichkeiten, um Betrugsversuche aktiv zu bekämpfen – von der Vorhersage und Verhinderung von Betrug per Machine Learning bis hin zur manuellen Überprüfung von Zahlungen. Als besonders effektive Methode gilt derzeit die umfassende Authentifizierung zur Überprüfung der Identität eines Kunden, bevor eine Online-Zahlung überhaupt akzeptiert wird. Dabei existieren drei verschiedene Arten – die Einzelfaktor-Authentifizierung (z. B. über ein Kennwort), die Zwei-Faktoren-Authentifizierung (z. B. über einen einmaligen Authentifizierungscode in Kombination mit einem Kennwort) oder die Authentifizierung anhand mehrere Faktoren.

Mehr über SCA erfahren

FAQs zu 3D Secure 2

Wenn sich Ihre Kartenakzeptanzstelle innerhalb des Europäischen Wirtschaftsraums befindet und Sie Kreditkarten online akzeptieren, müssen Sie 3D Secure 2 einsetzen.

3D Secure 2 ist die Lösung der Kreditkartenunternehmen, um den Anforderungen einer starken Kundenauthentifizierung (SCA) nachzukommen. Die Teilnahme an 3D Secure 2 ist die einfachste Möglichkeit, SCA umzusetzen.

SCA ist seit 14. September 2019 im Rahmen der überarbeiteten EU-Zahlungsdiensterichtlinie (PSD2) verpflichtend. Allerdings wurde die Umsetzungsfrist verlängert.

Die Europäische Bankenaufsichtsbehörde (EBA) gab in ihrer jüngsten Stellungnahme vom 16. Oktober 2019 bekannt,
dass die endgültige Umsetzung der SCA-Anforderungen für Onlinetransaktionen bis zum 31. Dezember 2020 abgeschlossen sein muss.

Als Reaktion auf diese Ankündigung der EBA erwarten wir, dass auch die zuständigen nationalen Behörden (NCAs) weitere Stellungnahmen veröffentlichen und die von der EBA gesetzte Umsetzungsfrist übernehmen.

Die geltenden Anforderungen und Fristen für die einzelnen Märkte entnehmen Sie bitte dem Abschnitt „Aktuelle Veröffentlichungen“, den Sie weiter oben auf dieser Seite finden. Durch Klicken auf die jeweiligen Kacheln werden die zugehörigen Informationen angezeigt.

Wir empfehlen Händlern dringend, 3D Secure 2 so schnell wie möglich in ihre Online-Bezahlvorgänge zu integrieren. Informationen dazu, wie Sie bei der Implementierung von 3D Secure 2 am besten vorgehen, finden Sie unter den einzelnen Integrationsverfahren für Wirecard. 

https://www.wirecard.de/3d-secure-2/merchantform/static/ 

Seit September 2019 ist die starke Kundenauthentifizierung (SCA) für Onlinezahlungen im Europäischen Wirtschaftsraum verpflichtend.

Händler müssen bis spätestens 31. Dezember 2020 – der von der Europäischen Bankenaufsichtsbehörde festgelegten Frist – auf 3D Secure 2 umstellen.

Nach Ablauf dieser Frist werden Finanzinstitute Transaktionen, die nicht SCA-konform sind, ablehnen. Zudem drohen Onlinehändlern, die die SCA-Anforderungen nicht erfüllen, rechtliche Konsequenzen.

 

Obwohl die starke Kundenauthentifizierung (SCA) generell für Zahlungstransaktionen innerhalb des Europäischen Wirtschaftsraums eingesetzt werden muss, gibt es einige Ausnahmen, die auch nach September 2019 weiterhin gelten. Eine umfassende Übersicht über diese Ausnahmen finden Sie hier:
https://www.wirecard.de/3d-secure-2/strong-customer-autentication/.

Die technischen Maßnahmen für 3D Secure 2 hängen im Wesentlichen von zwei Faktoren ab:

1) von der Tatsache, ob Sie bereits 3D Secure 1 nutzen, und
2) von der Art der technischen Integration mit Wirecard.

Weitere Informationen über die Implementierung von 3D Secure 2 finden Sie auf unserer Website unter https://www.wirecard.com/3d-secure-2/merchantform/static/.

„Die Wirecard Bank AG verarbeitet personenbezogene Daten von Karteninhabern zum Zwecke der Zahlungsabwicklung als Verantwortlicher im Sinne von Art. 4 (7) DSGVO. Der Händler stellt den Karteninhabern Informationen zur Verfügung, die gemäß Art. 13, 14 DSGVO durch Wirecard anzugeben sind. Die oben genannten Informationen sind unter https://www.wirecardbank.de/DSGVO verfügbar und sollten in die Allgemeinen Geschäftsbedingungen des Händlers aufgenommen oder den Karteninhabern in geeigneter Weise zur Verfügung gestellt werden."

Wir empfehlen dringend die gleichzeitige Nutzung von 3D Secure 2 und 3D Secure 1, damit Sie von Kartenherausgebern nicht fälschlicherweise abgewiesen werden, die das neue Protokoll von 3D Secure 2 noch nicht unterstützen. Damit Sie beide Protokolle mit minimalem Aufwand unterstützen können, sind unsere APIs abwärtskompatibel.

Sie können 3D Secure 2 ab sofort verwenden. Das Wirecard Payment Gateway unterstützt das neue Protokoll bereits. Da wir davon ausgehen, dass in den kommenden Monaten immer mehr Kartenherausgeber 3D Secure 2 unterstützen werden, empfehlen wir Ihnen, schnellstmöglich auf das neue Protokoll umzusteigen.

Wiederkehrende Transaktionen (z. B. Abonnements) werden in regelmäßigen Abständen mit dem gleichen, wiederkehrenden Betrag verarbeitet. Wenn Sie eine wiederkehrende Vereinbarung einrichten, erfordert die erste Transaktion eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Nachfolgende Transaktionen gelten dann als von einem Händler initiierte Transaktionen, sodass keine starke Kundenauthentifizierung erforderlich ist.

Ratenzahlungen erfolgen, wenn ein Kunde Waren kauft und die Rechnung über einen vereinbarten Zeitraum in mehreren Teilzahlungen begleicht. Wie auch bei wiederkehrenden Transaktionen erfordert nur die erste Transaktion eine starke Kundenauthentifizierung. Alle nachfolgenden Transaktionen werden als vom Händler initiierte Transaktionen betrachtet, sodass keine starke Kundenauthentifizierung erforderlich ist.

In beiden Fällen muss der Kunde eindeutig über die Vereinbarungsbedingungen informiert werden.

Vereinbarungen, die vor der überarbeiteten Richtlinie für Zahlungsdienste der Europäischen Union (PSD2) abgeschlossen wurden, bleiben unverändert bestehen. Die starke Kundenauthentifizierung gilt also nur für wiederkehrende Zahlungen bzw. Ratenzahlungen, die nach Inkrafttreten von PSD2 initiiert werden.

Marktplätze sind Umgebungen, in denen ein Unternehmen Kunden und Verkäufer auf einer zentralen Plattform zusammenführt und Zahlungen im Namen der Verkäufer einzieht, die Kunden auf der Plattform einer Marke Waren oder Dienstleistungen anbieten. Der Marktplatz ist Eigentümer der gesamten Kundenbeziehung, ist für die Transaktionen verantwortlich und regelt oft die Verkaufsbedingungen.

Aus der Sicht von 3D Secure 2 ist der Marktplatz für das Senden von 3D Secure 2-Authentifizierungs- und Autorisierungsanfragen verantwortlich.

Im Allgemeinen sind die Bestimmungen der Haftungsumkehr bei 3D Secure 2 mit denen von 3D Secure 1 vergleichbar: Fordert ein Händler erfolgreich eine Authentifizierung von einem Kartenherausgeber an, geht die Rückbuchungspflicht auf den Herausgeber über.

Wir weisen jedoch darauf hin, dass es innerhalb des Europäischen Wirtschaftsraums Ausnahmen gibt, für die eine starke Kundenauthentifizierung (SCA) erforderlich ist:

  • Wird eine Ausnahme (siehe doc.wirecard.com/CreditCard.html) von einem Händler und seiner Akzeptanzstelle angewendet (wenn z. B. der Händler eine Ablehnung vermeiden möchte), haftet in der Regel weiterhin der Händler.
  • Unterstützt ein Kartenherausgeber 3D Secure 2 nach September 2019 nicht, gibt es Fälle, in denen bereits der Versuch, 3D Secure 2 anzuwenden, zu einer Haftungsumkehr führt.

Bitte beachten Sie: Die oben genannten Hinweise sind als Verallgemeinerung der Vorschriften für Kreditkartensysteme zu betrachten. Die genauen Vorschriften können Sie in den 3D-Secure-2-Implementierungsleitfäden für Kreditkartensysteme nachlesen.

Die PS2-Vorschriften schreiben eine starke Kundenauthentifizierung immer dann vor, wenn ein Kunde (oder Zahlungsempfänger) eine elektronische Zahlung initiiert. Dies gilt auch für POS-Transaktionen.

EMV-Zahlungskarten, die heute in Europa die Standardzahlungsmethode sind, entsprechen bereits der starken Kundenauthentifizierung nach PSD2, da der Karteninhaber die PIN am POS eingibt. Die neueren, kontaktlosen Zahlungskarten, die ohne PIN-Eingabe schnellere Zahlungen ermöglichen, sind von der starken Kundenauthentifizierung ausgenommen, wenn:

  • der Einzelbetrag für die kontaktlose Transaktion weniger als 50 € beträgt und
  • der Gesamtbetrag aus früheren kontaktlosen Transaktionen 150 € nicht überschreitet und
  • die Gesamtzahl der kontaktlosen Zahlungen fünf nicht überschreitet.


Wird eines dieser Kriterien nicht erfüllt, erfordert die kontaktlose Transaktion eine starke Kundenauthentifizierung durch Eingabe der PIN am POS.

Die Verpflichtung zur Anwendung der starken Kundenauthentifizierung gilt auch für andere Zahlungsmethoden. Nicht alle Methoden werden jedoch mit 3D Secure 2 abgewickelt. Nachfolgend wird erläutert, wie einige der gängigsten Zahlungsmethoden mit der starken Kundenauthentifizierung umgehen:

  • Elektronische Geldbörsen (Wallets): Abhängig von der Zahlungsmethode, mit der die Kunden ihre Wallet aufladen, können verschiedene Verfahren zur starken Kundenauthentifizierung erforderlich sein.
  • Google Pay/Apple Pay: Bei Apple Pay und Google Pay erfolgt die starke Kundenauthentifizierung direkt über die Endgeräte. Lediglich Google Pay verwendet 3D Secure 2 für nicht gerätegebundene Transaktionen (z. B. bei Desktop-Transaktionen).
  • Online-Überweisung: Online-Überweisungen erfolgen in der Regel durch eine Weiterleitung auf das Bankkonto des Kunden, wo die starke Kundenauthentifizierung seit Jahren Standard ist. In der Regel wird diese durch die Eingabe eines Anmeldekennworts in Kombination mit einem einmalig gültigen Passwort realisiert.
  • SEPA-Lastschriftverfahren: SEPA-Lastschrifttransaktionen gelten als „vom Händler initiierte Transaktionen“. Diese Zahlungen sind von den PSD2-Vorschriften nicht betroffen und erfordern daher keine starke Kundenauthentifizierung.

Gemäß PSD2-RTS gelten Zahlungen als geringwertig, wenn sie weniger als oder 30 € bzw. den entsprechenden Gegenwert in anderen Währungen betragen. Informationen hierzu sind in den Final Q&As der EBA zu finden . Dort heißt es: 

„Für Nicht-Euro-Transaktionen sollten die Zahlungsdienstleister (Payment Service Provider, PSPs) und Kartensysteme die Euro-Schwellenwerte gemäß den Artikeln 11, 16 und 18 der delegierten Verordnung der Kommission (EU) 2018/389 unter Verwendung des durchschnittlichen EZB-Referenzkurses in Nicht-Euro-Währungsschwellenwerten umrechnen. In der Praxis möchten PSPs und Kartensysteme die Schwellewerte in Euro u. U. beibehalten. Eine Rundung des Schwellenwert in einer Nicht-Euro-Währung ist nur möglich, wenn dieser in der anderen Währung auf einen Wert gerundet wird, der den Euro-Schwellenwert der delegierten Verordnung auf der Grundlage des EZB-Referenzkurses voraussichtlich nicht überschreitet. Ein solch gerundeter Betrag muss ggf. von Zeit zu Zeit angepasst werden. So hätte beispielsweise der Schwellenwert von 50 € für Zahlungen per Fernzugriff zum 12. September 2018 einem Schwellenwert von 44,50 £ entsprochen; der niedrigste Schwellenwert der letzten 12 Monate würde 43 £ betragen. Würde also der Schwellenwert für britische Pfund auf 40 £ abgerundet, würde er wahrscheinlich immer dem Schwellenwert von 50 € für den in diesem Beispiel genannten Zeitraum (September 2017 bis September 2018) entsprechen.“

Wichtige Termine zwecks 3D Secure 2 und SCA