STRATEGIE8. September 2020

PSD2: Ausnahmen bei der starken Kunden­authenti­fizierung (SCA) nutzen

Ab dem 1. Januar 2021 verlangt die EU-Zahlungsdiensterichtlinie PSD2 eine starke Authentifizierung (SCA) auch für Online-Kartenzahlungen. Dann müssen zwei von drei Sicherheitsfaktoren erfüllt sein: Wissen, Besitz und Inhärenz. Es gibt aber gesetzlich festgeschriebene Ausnahmen und Ausgrenzungen von dieser Regel. Damit können Händler Kartenzahlungen weiterhin bequemer gestalten und die Anzahl der Kaufabbrüche im Zahlungsprozess gering halten.

Ausnahmen von der SCA
Mastercard
Die Bank kann im Zahlungsprozess eine Ausnahme der SCA anfordern. Der Kartenherausgeber prüft dann das Risiko der Transaktion und entscheidet, ob eine starke Kundenauthentifizierung erforderlich ist. Nachstehend sind die wichtigen Ausnahmen der starken Kundenauthentifizierung (SCA) kurz erklärt.

Zahlungen mit geringem Wert

Bei Online-Zahlungen unter 30 Euro wird keine Zwei-Faktor-Authentifizierung verlangt. Das kartenherausgebende Finanzinstitut beobachtet jedoch die Anzahl der Transaktionen und deren Gesamtwert. Sobald der Gesamtbetrag der Zahlungen ohne Zwei-Faktor-Authentifizierung insgesamt 150 Euro übersteigt, ist wieder eine starke Authentifizierung erforderlich. Alternativ kann das kartenherausgebende Institut entscheiden, bei jeder sechsten Transaktion eine Zwei-Faktor-Authentifizierung anzufordern.

Zahlungen mit geringem Risiko

Transaktionen mit geringem Risiko sind ebenfalls von der SCA. Die Einstufung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenherausgebers und des Acquirers, der die Transaktion abwickelt. Dabei ist ein Verzicht auf die starke Kundenauthentifizierung zwischen 30 und 500 Euro möglich, sofern die gesetzlich definierten Betrugsquoten nicht überschritten werden. Falls der Händler die Transaktionsrisikoanalyse nutzen möchte, legt der Acquirer gemeinsam mit dem PSP fest, welche Zahlungsarten in dem Sicherheitsprotokoll markiert werden dürfen, um die Betrugsraten niedrig zu halten.

Abonnements und wiederkehrende Zahlungen

Abonnements und wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion von der SCA ausgenommen, nachdem die erste Transaktion mit starker Kundenauthentifizierung erfolgt ist. Auch wiederkehrende Zahlungen mit unterschiedlichen Beträgen sowie Zahlungen, bei denen der Karteninhaber bei der Auslösung der Zahlung nicht anwesend ist (zum Beispiel vom Händler ausgelöste Abonnement-Zahlungen), sind von der Zwei-Faktor-Authentifikation ausgenommen.

Vertrauenswürdige Händler (Whitelisting)

Kunden können bei ihrer Bank eine Liste beliebter Händler führen, die sie als vertrauenswürdige Zahlungsempfänger einstufen, eine sogenannte Whitelist. Solche Händler sind von der starken Kundenauthentifizierung (SCA) ausgenommen. Für Online-Händler wird es daher noch wichtiger, Stammkunden zu haben, die sie auf eine Whitelist setzen. Mit Hilfe des EMV 3D-Secure-Protokolls können Händler überprüfen, welche Kartenherausgeber Whitelisting anbieten. Ab der Spezifikation 2.2 des Sicherheitsprotokolls wird der Händler informiert, wenn ihn ein Karteninhaber auf die Whitelist setzt.

Sichere Unternehmenszahlungen (Secure Corporate Payment)

Ausnahmen gibt es auch für B2B-Transaktionen, wenn zum Beispiel Firmenkonten belastet werden oder eine Firmenkarte verwendet wird, die mehrere Personen nutzen. Hiervon sind auch Lodges-Karten sowie virtuelle Karten betroffen. Solche Zahlungen gibt es häufiger in der Reisebranche.

Transaction Risk Analysis: Risiko-Bewertung durch die Händlerbank

Händler mit geringen Betrugsraten können eigene Ausnahmeregelungen mit individuellen Risikoindikatoren aktivieren – etwa für bekannte Kunden. Allerdings müssen dann die Händler das Haftungsrisiko übernehmen.

Mit dem neuen Sicherheitsprotokoll können Händler und Banken mehr sicherheitsrelevante Daten zur Authentifizierung austauschen und somit bessere Risikoentscheidungen treffen, was zu deutlich höheren Genehmigungsquoten bei Online-Händlern führt. Dazu müssen Händler sicherstellen, dass die notwendige Datenbasis für eine risikobasierte Authentifikationsanalyse über den PSP an den Kartenherausgeber übermittelt wird. Nur mit den erweiterten Daten können Banken eine realistische Risikobewertung vornehmen und entscheiden, ob sie die Ausnahmen der technischen Regulierungsstandards (RTS) zulassen.

Weitere Ausnahmen von der SCA

Auch Zahlungen, die vom Händler ausgelöst (Merchant Initiated Payments) oder über das Telefon bzw. schriftlich per E-Mail ausgelöst (Mail oder Telephone Order) werden, sind von der SCA ausgenommen. Ebenso erfordern Zahlungen mit anonymen Prepaid-Karten sowie „One leg out“-Transaktionen, bei denen sich entweder der Kartenherausgeber oder die Händlerbank außerhalb des Europäischen Wirtschaftsraums (EWR) befindet, keine SCA.

Neues EMV 3D-Secure-Protokoll

Das neue 3D-Secure-Protokoll unterstützt zusammen mit den Mastercard-Erweiterungen (Message Extensions) Händler, Ausnahmeregelungen einfach in der Authentifikationsanfrage der Zahlung zu markieren und so eine gesetzeskonforme Zahlungsfreigabe des Kartenherausgebers ohne Zwei-Faktor-Authentifizierung zu erhalten. Online-Händler sollten zusammen mit ihren PSPs und Acquirern die entsprechenden Systeme und Bezahlschnittstellen anpassen und überprüfen, welche Ausnahmeregelungen für das Geschäft sinnvoll sind, damit diese rechtzeitig implementiert und getestet werden können.pp

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/111100

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert