Die EU möchte Bezahlvorgänge beim Onlineshopping und Überweisungen beim Online-Banking einfacher, günstiger und vor allem sicherer gestalten. Die Richtlinie PSD 2 (Payment Service Directive 2) und die dazugehörige „starke Kundenauthentifizierung“ (Strong Customer Authentification/SCA) sollen das ab dem 14. September 2019 realisieren. Wir zeigen Online-Händlern, wie sich mit dem Thema proaktiv und effizient umgehen lässt.

Was ist die PSD 2 beziehungsweise Payment Service Directive 2?

Mit der Zahlungsdienstleisterrichtlinie PSD 2 hat die EU-Kommission eine neue Richtlinie ins Leben gerufen, die in ihren Grundzügen schon seit Januar 2018 gültig ist. Ab dem 14. September soll sie vollständig und ohne Ausnahme für Onlineshops und Banken beziehungsweise Zahlungsdienstleister gelten.

Während die PSD 1 2007 unter anderem die rechtliche Grundlage für das SEPA-Modell bildete, soll die PSD 2 die aktiven Online-Zahlungsarten und Überweisungen regulieren. Sicherheit und die Vermeidung von Betrug und Datenmissbrauch stehen hier an erster Stelle. Für Händler sind jetzt die Freigabe von Kontoinformationen für Dritte und die starke Kundenauthentifizierung besonders wichtig. Dazu aber später mehr.

Warum die PSD 2?

Digitalisierung spielt heute für Händler wie für Kunden eine wesentliche Rolle. Auch wenn ein Kunde nach dem Kauf im Internet in seiner Bankfiliale vor Ort den Rechnungsbetrag überweisen kann, greifen immer mehr Verbraucher auf digitale Zahlungsmöglichkeiten zurück. Aber die digitale Wirtschaft in Europa hat dafür immer mehr Dienste und Gestalten auf den Plan gerufen, die gar nicht mehr von der PSD 1 abgedeckt werden. Die steigende Internetkriminalität und die wachsende Zahl der Onlineshops erfordern schlichtweg eine Richtlinie, die für mehr Sicherheit bei Händlern wie Kunden sorgt. Das betrifft nicht nur Zahlungen innerhalb der EU, sondern auch Überweisungen in Nicht-EU-Staaten und in anderen Währungen.

Neben dem Sicherheitsaspekt sollen durch die Richtlinie aber auch Innovation und Wettbewerb gefördert werden. Der fortschrittlichste Zahlungsdienstleister wird gewinnen, was neue Entwicklungen nur beschleunigen kann.

So funktioniert die Payment Service Directive 2

1.) X2SA: Die Schnittstelle zum Kundenaccount

X2SA ist die Access-to-Account-Schnittstelle für den Händler zum Kunden.  Mit PSD 2 erhält der Onlineshop vertrauensvoll die Erlaubnis, begrenzt auf das Online-Banking seines Kunden beziehungsweise auf die entscheidenden Kontoinformationen zuzugreifen und die Zahlung zu initiieren. Ein im Online-Banking als vertrauenswürdiger Händler zertifizierter Shop braucht diese Einverständniserklärung nur einmal und nur bis zu einem gewissen finanziellen Rahmen. Der Shop bekommt dabei keine Zugangsdaten zum Online-Banking des Kunden, sondern kann nur die Zahlung im Namen des Kunden direkt bei der Bank initiieren.

2.) SCA: Die starke Kundenauthentifizierung

Die drei Sicherheitsmerkmale bei der PSD2Die starke Kundenauthentifizierung (Strong Customer Authentification, kurz SCA) tritt auf den Plan, wenn ein Kunde eine Online-Zahlung oder Überweisung ausführen möchte. Die Verifizierung setzt sich aus mindestens zwei Aspekten von „Wissen“, „Besitz“ und „Inhärenz“ zusammen. So bildet sie die immer stärker werdende Zwei-Faktor-Authentifizierung (2FA). Besonders beliebt ist beispielsweise die Kombination aus PIN (Wissen) und Fingerabdruck.

Ein Fernzahlungsvorgang, zum Beispiel eine Überweisung im Online-Banking oder die Zahlung per Kreditkarte im Internet, benötigt ab dem 14. September die starke Kundenauthentifizierung. Bisherige Methoden zur Authentifizierung müssen zudem mit einer sogenannten dynamischen Verknüpfung in Bezug auf Empfänger und Betrag und weiteren Sicherheitsmerkmalen erweitert werden.

Reichte in der Vergangenheit die Übersendung einer TAN an eine zuvor verifizierte Mobilfunknummer und die Eingabe derselben zur Verifizierung aus, muss hier zudem die TAN sichtbar für den Empfänger mit dem Zahlungsbetrag und dem Zahlungsempfänger verknüpft sein.
Manipulationen an diesen Zahlungsdaten würden dann die übermittelte TAN ungültig machen. Bisherige ältere TAN-Verfahren ohne dynamische Verknüpfung mussten bereits abgeschafft werden und sind für den Anwendungsbereich der PSD 2 nicht mehr anwendbar. Der ein oder andere wird hierzu schon Veränderungen bei seiner Bank bemerkt haben.

Unabhängig von der Art der Fernzahlungsvorgänge gilt:

  • Der Authentifizierungscode darf nur einmalig verwendbar sein
  • Es darf nicht möglich sein, auf Basis des Codes einen neuen Authentifizierungscode zu generieren
  • Es muss sichergestellt werden, dass der Code nicht gefälscht werden kann
  • Der Code darf auf keine der nachfolgend erklärten Secure-Elementen, wie „Wissen“, „Besitz“ und „Inhärenz“ und den damit verbundenen Informationen basieren
  • Kommunikationsverfahren müssen gegen unerlaubte Datenzugriffe und Manipulation geschützt sein
  • Betrügerische Transaktionen können vor der Durchführung erkannt, geblockt oder ganz vermieden werden
  • Zusätzliche Mechanismen für eine zeitliche Einschränkung zum Zugriff auf ein Zahlungssystem (z.B. durch Fehlversuche)
  • Die Sicherheit des jeweiligen Authentifizierungsverfahrens wird regelmäßig von internen oder externen, zertifizierten Prüfern getestet und bewertet.

Die zusätzlichen Sicherheitselemente

Wissen: Ein statisches Passwort, ein Code oder eine persönliche Identifikationsnummer, die nur der Benutzer kennt.

Ein statisches Passwort, ein Code oder eine persönliche Identifikationsnummer, die nur der Benutzer kennt.

 

Besitz: Das kann ein Token sein, eine Chipkarte oder ein Mobiltelefon, welches nur der Benutzer besitzt.

Das kann ein Token sein, eine Chipkarte oder ein Mobiltelefon, welches nur der Benutzer besitzt.

 

Inhärenz: Ein biometrisches, einmaliges Merkmal (Fingerabdruck, Iris-Scan), das den Benutzer ausmacht.

Ein biometrisches, einmaliges Merkmal (Fingerabdruck, Iris-Scan), das den Benutzer ausmacht.

 

Mehr Conversion mit PSD 2: Ausnahmen von der starken Kundenauthentifizierung

Ausnahmen der starken Kundenauthentifizierung sind gedacht, um den Aufwand auf Händler- und Konsumentenseite zu minimieren. Denn schließlich muss trotz aller Sicherheit der reibungslose Zahlungsverkehr gewährleistet und der E-Commerce gefördert und nicht behindert werden. Die relevantesten Ausnahmen sind:

Transaktionen mit geringem Risiko
Diese Ausnahme basiert auf Transaktionsüberwachungsmaßnahmen des Providers, die beispielsweise auf Auffälligkeiten bei einer Transaktion reagieren. Werden etwa bei Standort-Informationen, Musterabläufen bei Käufen oder beim Verhalten des Käufers Auffälligkeiten erkannt, wird erst dann die Authentifizierung nochmals nötig. Auch die Betrugsrate in der jeweiligen Produktgruppe ist je nach Art der Transaktion für den Payment Service Provider (PSP) bzw. Zahlungsdienstleister relevant.

Vertrauenswürdige Begünstigte (Händler-Whitelisting)
Hat der Zahler über seinen PSP oder seine Bank vertrauenswürdige Zahlungsempfänger angegeben, muss die starke Authentifizierung nur initial und einmal durchgeführt werden.

Geringwertige Transaktionen
Beträgt der Wert der Transaktion nicht mehr als 30,- Euro und übersteigt der kumulierte Betrag der letzten 5 Transaktionen seit dem letztem Authentifizierungsvorgang nicht mehr als 100,- Euro, wird der Konsument von einer erneuten Verifikation befreit.

Wiederkehrende Transaktionen

Wird eine Reihe von wiederkehrenden Zahlungen für denselben Betrag an den gleichen Zahlungsempfänger geleistet, wird die SCA nur auf die erste Transaktion angewandt, nicht aber auf die folgenden Nachzahlungen. Dies gilt beispielsweise für Abonnements.

Welche Vorteile bringt PSD 2 für Online-Händler mit sich?

  1. Ein vertrauenswürdiger Online-Händler kommt schneller auf eine Whitelist und verzeichnet viel wahrscheinlicher einen Conversion-Boost.
  2. Zahlungen nach PSD 2 sind selbstverständlich für das Smartphone konzipiert und optimiert. Das spielt vor allem der digital orientierten Zielgruppe direkt in die Hände.
  3. Kunden eines Online-Shops erhalten durch PSD 2 mehr Kontrolle über ihre Zahlungswege. Gleichzeitig werden die Zahlungsprozesse für alle Seiten entschlackt. Ein Hoch auf die Customer Experience.
  4. Die Zahlungsdienstleister werden deutlich mehr. Die wachsende Angebotsvielfalt macht sich auch im finanziellen Aufwand für Shopbetreiber bemerkbar.
  5. Das sichere Zahlungsverfahren im Rahmen von PSD 2 lässt die Betrugsraten sinken. Das Vertrauen der Kunden in den Shop ihrer Wahl steigt und durch die wahrscheinliche Händlerverifizierung festigt sich auch die Bindung.
  6. Kundeninformationen aus der Zahlungsinitiierung und weitere Kontoinformationsdienste bieten neue Chancen für Cross-Selling, Produktbindung und Kreditbewertung.
    Mit den aggregierten Daten werden Unternehmen umfangreicher in der Lage sein:
    • Zielprodukte, Pricing und Cross-Selling basierend auf der aggregierten Sicht aller Benutzerausgabenströme zu optimieren.
    • Besseres Risikomanagement durch den Zugang von konsolidierten Nutzerzahlungstrends umzusetzen.
    • Finanzierungsservices basierend auf der Analyse von Trends, Gewohnheiten und aggregierten Finanzierungsmöglichkeiten anzubieten.

Was für Online-Händler jetzt zu tun ist

Wissen, worum es bei PSD 2 geht

Informationen sind das A und O. Wie schon bei der DSGVO ist es wichtig, genau über die Materie Bescheid zu wissen oder sich zumindest an jemanden zu wenden, der sich auskennt.

Mitarbeiter informieren

PSD 2 ist kein Thema, das sich in einem Onlineshop mit einem Klick implementieren lässt. Und selbst wenn, die Aufklärungsarbeit ist damit längst nicht erledigt. Kunden wie Mitarbeiter werden Fragen haben und dann ist Fachwissen gefragt.

Für geringe Betrugsraten sorgen

Je geringer die Betrugsquote bei Bezahlvorgängen in einem Onlineshop ist, desto höher ist die Wahrscheinlichkeit, dass die starke Kundenauthentifizierung gar nicht erst angewendet werden muss. Wer vorher für Sicherheit sorgt, hat hinterher weniger zu tun.

Geordnet vorgehen

Wichtig ist: Die Zahlungsdienstleister und die Banken müssen die Entwicklung ihrer Services gewährleisten. Nur die Einbindung in das Shopsystem liegt beim Online-Händler. Ein Fahrplan, wann und wie die Implementierung vorzunehmen ist, hält den Aufwand zum Stichtag in Grenzen.

Zahlen bitte, aber wie?

Auch im Rahmen von PSD 2 wird es unterschiedliche Zahlungsarten geben. Manche sind für die Kunden bequemer, andere wiederum nicht. Wer Innovationen und die Wünsche seiner Kunden im Auge behält, wird mit Vertrauen und steigender Conversion belohnt.

So viele neue Daten

Mit Zahlungsdienstleistern nach PSD 2 bekommt ein Shop genehmigten Einblick in gewisse Kontodaten seiner Kunden. Damit lassen sich Cross-Selling und personalisierte Angebote erstellen. Ein echter Umsatz-Boost.

Den Kunden informieren

Wenn ein Kunde einem fremden Dienstleister plötzlich Zugriff auf sein Konto geben soll, wird es heikel. Im Idealfall hat der Shop beruhigende Informationen im Angebot. Denn er greift nicht auf das Online-Banking selbst, sondern nur auf die relevanten Account Service Informationen zu. Mit der richtigen Informationsstrategie direkt im Shop und im Kundenservice lassen sich eventuelle Probleme beheben, bevor sie entstehen. Niemand mag Kaufabbrüche.

Fazit

Händler sind gefordert, die geänderten Prozesse der PSPler bis zum Stichtag in Ihre Systeme und in Ihren Checkout-Prozess einzubinden.

Die Händler, die dies am besten machen, steigern zukünftig ihre Konversionsrate, minimieren Warenkorbabbrüche und tragen positiv zur Kundenzufriedenheit und Sicherheit bei. Die Kunden früh genug mit Support und Information dabei zu unterstützen, stärkt das Vertrauen der Kunden und bindet sie an den Shop. Des Weiteren lassen sich neue Funktionen wie z.B. das Händler-Whitelisting zur Kundenbindung nutzen.

Händler sind also gleichzeitig gut beraten, hier nicht nur das Nötigste zu tun.

Wir sind überzeugt, dass Händler auch diese Herausforderung meistern. Fullservice Digitalagenturen wie communicode sind zur Stelle, wenn sie mit der Umsetzung der PSD2-Anforderungen Schwierigkeiten haben und Verbesserungen für ihren Shop anstreben.

Falls Sie weitere Fragen haben, nehmen Sie bitte mit uns Kontakt auf. Wir helfen Ihnen gerne und beraten Sie.