Was ist eine starke Kundenauthentifizierung?
Um Betrug noch besser vorzubeugen führte die EU eine neue Verordnung ein, die europäische Unternehmen dazu verpflichtete, noch strengere Authentifizierungsabläufe in ihre Zahlungsprozesse einzubinden. Diese als auch als „Strong Customer Authentication“ (SCA) bekannte Verordnung ist Teil der PSD2. Wichtigster Bestandteil von SCA ist die Zwei-Faktor-Authentifizierung basierend auf der Verwendung von zwei der folgenden Sicherheitselemente:
Etwas, was der Kunde weiß:
Passwort, PIN oder Antwort auf eine Sicherheitsfrage.
Etwas, was der Kunde besitzt:
ein Mobiltelefon, ein Hardware-Token etc.
Etwas, was der Kunde ist:
biometrische Merkmale wie Fingerabdrücke oder Gesichtsscans.
Jedes dieser Elemente muss unabhängig sein, damit die Sicherheit aller anderen im Falle eines Sicherheitsverstoßes nicht beeinträchtigt ist. Die SCA als Ganzes muss folgerichtig so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten jederzeit gewährleistet werden kann.
Ausnahmen für die Anwendung von SCA-Prozessen
Laut der SCA-Verordnung können manche Arten von Transaktionen von der starken Kundenauthentifizierung (SCA )ausgenommen werden. In bestimmten Ausnahmefällen liegt es somit im Ermessen von Händlern, Emittenten und Acquirern, ob eine SCA-Forderung vom Verbraucher verlangt werden muss.
Bei allen Ausnahmen bleibt der jeweilige Authentifizierungsprozess für den Nutzer unsichtbar: Transaktionen werden wie solche ohne 3D Secure ausgeführt und garantieren dadurch ein reibungsloses Kundenerlebnis.
Transaktionen in geringer Höhe:
- Transaktionen mit einer Betragshöhe von unter 30 €
- Maximale Anzahl aufeinanderfolgender Transaktionen ohne SCA = 5
- Maximal kumulierter Betrag von Transaktionen ohne SCA = 100 € bzw. für Zahlungen am POS = 150 €
Transaktionen mit geringem Sicherheitsrisiko:
- Bei Transaktionen über 30 € kommt ein neues Verfahren names „risikobasierte Authentifizierung“ zum Einsatz, das von den Referenzbetrugsraten der Acquiring Bank und des Emittenten abhängt – nicht des Händlers
- Acquirer und Emittenten dürfen laufende Risikoanalysen zu Transaktionen durchführen und eine risikobasierte Entscheidung treffen, wodurch die SCA ausgesetzt wird
- Es gelten folgende Grenzwerte: 100 € bei einer Betrugsrate von < 0,13 / 250 € bei einer Betrugsrate von < 0,06 / 500 € bei einer Betrugsrate von < 0,01
Wiederkehrende Transaktionen mit demselben Betrag für dasselbe Geschäft
- Eine SCA wird nur für die jeweils erste Transaktion benötigt
- Sichere B2B-Zahlungen über dedizierte Zahlungsprozesse und Protokolle sind ausgenommen
- Karteninhaber haben die Möglichkeit, Händler oder Begünstigte zusammen mit ihrer Bank auf eine Whitelist zu setzen
Transaktionen außerhalb des Anwendungsbereiches von SCA:
- Von Händlern initiierte Transaktionen
- Der Kaufauftrag wird beim Kauf von Waren und Dienstleistungen per Telefon oder schriftlich per Fax oder Bestellkarte (MOTO) erteilt
- „One leg out“-Transaktionen, sprich Transaktionen, bei denen sich entweder der Emittent oder der Acquirer außerhalb des EWR befindet
- Transaktionen über anonyme Zahlungsinstrumente wie z. B. anonyme Prepaid-Karten
Reibungsloses Kundenerlebnis dank risikobasierter Authentifizierung (RBA)
Dank RBA kann die Zahl der Verkaufsabbrüche deutlich gesenkt werden.
Um Kunden bei den meisten Transkationen trotz stärkerer Sicherheitsanforderungen weiterhin einen reibungslosen Bezahlprozess zu bieten, gibt es die sogenannte risikobasierte Authentifizierung. Sie kommt bei Transaktionen zum Einsatz, die zwischen 30 € und 500 € liegen und als risikoarm eingestuft wurden. Dank RBA kann hier auf die zusätzliche Authentifizierung des Kunden verzichtet werden. Sollte eine Transaktion als verdächtig eingestuft werden, kann zur Absicherung zusätzlich eine aktive Authentifizierung des Kunden angefordert werden. Je mehr Transaktionsdaten hierbei zur Verfügung gestellt werden, desto besser sind die Möglichkeiten, die Risiken zu bewerten.
Vorteile von RBA
- Reibungsloser Bezahlprozess bis zu einem Betrag von 500 €
- Gleiche Sicherheit bei weniger Arbeitsaufwand
- Weniger Kaufabbrüche beim Zahlvorgang