Die Übergangsfrist ist abgelaufen: Ab 01. Januar 2021 gilt die Starke Kundenauthentifizierung beim Online-Einkauf in ganz Europa. Webshop-Betreiber sind verpflichtet die Zwei-Faktor-Authentifizierung bei Online-Transaktionen einzuführen. Ansonsten gehen sie das Risiko ein, dass Zahlungen abgebrochen werden.
Warum gibt es die neue Zahlungsdiensterichtlinie PSD2?
Die zweite EU-Zahlungsdiensterichtlinie (PSD2) gibt neue verbindliche Anforderungen für die Authentifizierung von E-Commerce-Transaktionen vor. Diese Anforderungen werden als Starke Kundenauthentifizierung (Strong Customer Authentication, SCA) bezeichnet. Sie traten bereits im September 2019 in Kraft. Allerdings wurden sie bis Ende 2020 ausgesetzt, um Webshop-Betreibern Zeit für die nötigen technische Anpassungen zu geben.
Die „Starke Kundenauthentifizierung“ wurde eingeführt, um Betrug im Internet europaweit zu reduzieren und Online-Zahlungen sicherer zu machen. Denn Verbraucher erwarten eine zuverlässige Sicherheit und ein reibungsloses Einkaufs- und Bezahlerlebnis.
Was bedeutet „Starke Kundenauthentifizierung“?
Bisher reichte beispielsweise die Nummer der Kreditkarte zur Bestätigung einer Zahlung aus. Durch SCA müssen Kunden bei Transaktionen im Web und in Apps ihre Identität über mindestens zwei von drei möglichen, voneinander unabhängigen Sicherheitsfaktoren belegen.
- Wissen: Etwas, das nur der Kunde weiß
(z.B. eine PIN, ein Passwort, ein einmaliger Passcode, der an den Karteninhaber geschickt wird) - Inhärenz: Etwas, das nur der Kunde ist
(z.B. Biometrie wie ein Fingerabdruck, Iris-Scan, Stimm- oder Gesichtserkennung) - Besitz: Etwas, das nur der Kunde besitzt
(z.B. eine Karte/Smartcard, ein Mobiltelefon/Smartphone mit einer Banking-App)
Webshop-Anpassungen durch SCA
Webshop-Betreiber sind nun verpflichtet, Online-Transaktionen über eine Starke Kundenauthentifizierung verifizieren zu lassen. Ansonsten riskieren sie, dass die Zahlung von der Kundenbank abgelehnt wird. Für das Verfahren haben die großen Kreditkartenorganisationen ein neues Protokoll etabliert, das sogenannte EMV 3D-Secure-Verfahren.
Werden für den Webshop vorkonfigurierte Module eines Zahlungsdienstleisters verwendet, muss nur ein neues Plugin installiert werden. Dieses wird meistens direkt vom Zahlungsdienstleister zum Download angeboten. Die Schnittstellenanpassung und -aktivierung des Protokolls erfolgt dann automatisch.
Falls der Onlineshop allerdings per API an die Bezahlplattform des Zahlungsdienstleisters angebunden ist, müssen Webshop-Betreiber ihre Schnittstelle selbst um die neuen Pflichtwerte von 3DS 2 erweitern.
Wichtig ist, dass nach der Umstellung auch die Datenschutzhinweise aktualisiert werden. Denn die Erhebung und Weitergabe von Kundendaten muss in den Vertragsbedingungen festgehalten sein.
Sorge vieler Webshop-Betreiber unbegründet
Viele Händler zögern verständlicherweise eine zusätzliche „Hürde“ in den Kaufprozess zu integrieren. Sie befürchten, dass die Zwei-Faktor-Authentifizierung den Kaufabschluss komplizierter macht und es dadurch vermehrt zu Kaufabbrüchen kommen könnte. Allerdings dient die zusätzliche Authentifizierung der Sicherheit. Und die neue Richtlinie ist verbindlich für alle Webshops in Europa. Daher werden sich die Kunden schnell daran gewöhnen und die Zahlung bald ganz verständlich mit einem zweiten Faktor verifizieren.
Ausführliche Informationen zur SCA liefert das Bundesamt für Sicherheit in der Informationstechnik mit dem Artikel Zwei-Faktor-Authentisierung für höhere Sicherheit und ein Beitrag des Handelsblatt.
Weitere Quellen:
https://www.evopayments.eu/service/sicherheit/sicherheit-im-e-commerce/
Pressemitteilung Concardis – Nets Group: Starke Kundenauthentifizierung: Online-Händler und -Dienstleister ab Januar 2021 in der Pflicht
https://einzelhandel.de/themeninhalte/zahlungssysteme/528-themen/zahlungssystemeundkartenzahlung/12768-kreditkartenzahlung-im-internet-online-haendler-muessen-bis-jahresende-auf-starke-kundenauthentifizierung-umstellen
Bildquellen:
- 2-Faktor-Authentifizierung: Song_about_summer / Adobe Stock