Strong-Customer-Authentication (SCA): Das müssen Unternehmen beachten!
Was ist SCA?
Die starke Kundenauthentifizierung bezeichnet eine Methode zur Authentifizierung von Verbrauchern im Rahmen einer finanziellen Transaktion. Mittels Authentifizierung soll die Rechtmäßigkeit der Zahlung gewährleistet werden. Verbraucher müssen ihre Authentizität im Zuge der SCA mit mindestens zwei von drei eindeutigen Faktoren belegen. Dadurch werden passive Daten mit der aktiven Verifikation des Verbrauchers verbunden.
Bei den drei Faktoren handelt es sich um:
– Etwas, das der Verbraucher weiß (wie eine PIN oder ein Passwort)
– Etwas, das der Verbraucher hat (wie ein Smartphone oder ein Tablet)
– Etwas, das der Verbraucher ist (zum Beispiel mittels Gesichtserkennung oder via Fingerabdruck)
Wie können sich Unternehmen vorbereiten?
Es gibt verschiedene Möglichkeiten, starke Kundenauthentifizierung bei der Bezahlung zu ermöglichen: von biometrischer Sicherheit in mobilen Wallets über regionale kartenlose Zahlungsmethoden bis hin zu 3D Secure 2. Für unterschiedliche Geschäftsmodelle eignen sich verschiedene Zahlungsmethoden. Außerdem können die Präferenzen der Kunden je nach Standort und Beziehung zum Unternehmen variieren. Um dem gerecht zu werden ist den Unternehmen zu raten, möglichst viele Bezahloptionen in ihren Checkout-Bereich zu integrieren. Je nach Kontext kann die relevanteste und einfachste Zahlungsmethode als erste vorgeschlagen werden.
Wird die Umsetzung der Verordnung nach Inkrafttreten von den Online-Händlern verweigert, drohen Abmahnungen.
SCA-Ausnahmen
Transaktionen mit geringem Wert und geringem Risiko
Transaktionen unter 30 EUR sind von SCA ausgenommen. Wenn jedoch der Gesamtbetrag der innerhalb von 24 Stunden ohne starke Authentifizierung auf der Karte versuchten Zahlungen höher ist als 100 EUR, wird SCA benötigt. Außerdem wird alle 5 Transaktionen SCA angefordert.
Auch Transaktionen mit geringem Risiko sind von SCA ausgenommen. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenausstellers und des Acquirers, der die Transaktion abwickelt.
Abonnement oder wiederkehrende Transaktionen
Abonnements oder wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Nur die erste Transaktion erfordert SCA. Wenn sich der Betrag ändert, ist die starke Authentifizierung für jeden neuen Betrag erforderlich.
Whitelist-Händler
Kunden können Unternehmen einer Whitelist von „Vertrauenswürdigen Empfängern“ zuordnen, die von ihrer Bank geführt wird. Whitelist-Händler sind von der starken Kundenauthentifizierung ausgenommen. So können Kunden, die regelmäßig bei einem bestimmten Unternehmen einkaufen, SCA von diesem Zeitpunkt an vermeiden.
Interregionale Transaktionen
Zahlungen, bei denen der Issuer oder der Acquirer der Karte nicht in Europa ansässig sind, werden ebenfalls ausgenommen. Dies bedeutet, dass die Annahme von Zahlungen in Europa von außereuropäischen Käufern nach der Änderung der Verordnung kein Problem darstellen wird.
B2B Transaktionen
Zahlungen zwischen zwei Unternehmen sind frei von SCA, wenn eine Zahlungsmethode verwendet wird, die für solche B2B-Zahlungen bestimmt ist.
Fazit
Die Einführung der Strong-Customer-Authentication für die meisten webbasierten Transaktionsprozesse ist zweifelsohne einer der größten Einschnitte für den Online-Handel. Wer letzten Endes davon profitiert und ob sich die Rate der Betrugsfälle damit signifikant einschränken lässt, ist noch nicht vollends abzusehen. Die Chancen stehen jedoch nicht schlecht, dass sowohl Verkäufer als auch Käufer von der neuen europäischen Verordnung profitieren könnten.
Die Umstellung für Händler ist gleichwohl enorm. Das sogenannte One-Click-Shopping, mit dem Interessenten binnen kürzester Zeit zu Konsumenten werden, gehört wohl der Vergangenheit an. Es gilt neben spannenden Angeboten einen möglichst unbeschwerliche Zahlungsabwicklung anzubieten.