Während die meisten Onlinehändler sich schon voll auf den Black Friday und das Weihnachtsgeschäft konzentrieren, darf die Aufmerksamkeit auf den Jahreswechsel nicht vernachlässigt werden. Denn hier endet der Aufschub der Zweifaktor-Authentifizierung für Onlinetransaktionen. Sie gilt ab dem 1.1.2021 verpflichtend.
Die europäische Bankenaufsicht (EBA) hat vor zirka einem Jahr empfohlen, dass die Frist bis zur Umsetzung der Zweifaktor-Authentifizierung bis zum 31.12.2020 gilt. Daran hat sich die deutsche Bafin orientiert und die zunächst gesetzte Frist (September 2019) verlängert.
Was regelt die PSD2?
Die PSD2 (Payment Services Directive2) wurde am 13. Januar 2018 in nationales Recht in Deutschland (Zahlungsdiensteumsetzungsgesetz – ZDUG) umgesetzt. Das Ziel des Gesetzes ist,
- Erhöhung der Sicherheit im Zahlungsverkehr
- Stärkung des Verbraucherschutzes
- Förderung von Innovationen und
- Steigerung der Wettbewerbsfähigkeit im Markt
Konkret regelt die PSD2 die Nutzung von Zahlungsauslösediensten für das Initiieren von Überweisungen. Die neuen Regelungen haben Auswirkungen auf Händler, Verbraucher und Zahlungsdienstleister, z.B. die “starke Kundenauthentifizierung”. Diese sieht vor, dass zwei von drei Sicherheitsfaktoren erfüllt sein müssen:
- Wissen (Passwort, Pin, etc.)
- Besitz (z.B. Mobiltelefon)
- Inhärenz (Fingerabdruck, FaceID, etc.)
Ein Beispiel aus dem Offlinehandel: Bezahlen per EC-Karte: Kunde benötigt die Karte (Besitz) und das Wissen (Pin).
Der Datenübertragungsprozess der Zweifaktor-Authentifizierung bei Onlinebezahlungen wird durch das 3D Secure Protokoll geregelt. Dieses Protokoll regelt auch Ausnahmen, wie z.B. Zahlungen mit geringem Wert oder niedrigen Risiko oder ein Whitelisting bestimmter Händler des Kunden.
Was müssen Onlinehändler, die noch nicht umgestellt haben, jetzt wissen?
Für die Umsetzung der PSD2 konformen Sicherheitsmaßnahmen sind die Zahlungsdienstleister und nicht die Händler verantwortlich. Die Onlinehändler müssen eventuell ihre Systeme updaten, wenn von den Zahlungsdienstleistern die Neuerung bereitgestellt werden.
Nicht alle Onlinebezahlverfahren sind durch die PSD2 betroffen. Bei der Lastschrift (Zahlung wird vom Gläubiger, nicht vom Onlineshopper angestoßen) und Sofortüberweisung/Giropay (basieren auf Onlinebanking Überweisungen, die schon jetzt mit einer Zeitfaktor-Authentifizierung geregelt sind) ändert sich für Onlinehändler nichts. Dies gilt auch für den Kauf auf Rechnung.
PayPal sieht sich als Zahlungskonto und muss die Zweifaktor-Authentifizeirung durchführen. Hierfür gibt es aber noch keine weiteren Informationen von PayPal, wie dies umgesetzt wird.
Die Bezahlung per Kreditkarte muss ebenfalls über eine Authentifizierung über zwei Sicherheitsfaktoren erfolgen. Hier sind VISA und Mastercard bereits an der Umsetzung, dies so kundenfreundlich wie möglich zu machen.
Was müssen Onlinehändler jetzt tun?
Der Ball liegt aktuell bei den Zahlungsdienstleister und die Onlinehändler können getreu dem Motto erstmal “abwarten und Tee trinken”. Doch Vorsicht! Auch wenn in den jüngeren Zielgruppen bereits eine hohe Akzeptanz der zweifachen Authentifizierung vorhanden ist (62% Zustimmung bei 18- bis 29-Jährigen), gilt die neue Regelung bei den meisten Kunden wohl als unbequem und kann ein Conversion Killer sein. Hierbei können Sie als Onlinehändler Aufklärungsarbeit leisten und die Kunden informieren, dass das nun Pflicht ist.
Die große Hoffnung hinter der PSD2 Regelung liegt in dem Glauben der Innovationsfreudigkeit der Fintech Branche. Hier setzen die Gesetzgeber auf die Kräfte des Marktes, dass durch die neuen Regelungen neue, innovative und kundenfreundlichen Zahlungsdienstleiter entstehen. Dadurch werden sich neue Paymentanbieter etablieren und die Onlinehändler sollten ihren Payment-Mix und die Marktentwicklungen gut im Auge behalten und ggf. neue Anbieter in das Portfolio integrieren.