eCommerce AnzeigeProfessionelle Suchmaschinenoptimierung & Webseitengestaltung Berlin
/ Payment / PSD2 und die Zukunft der Kundenauthentifizierung

PSD2 und die Zukunft der Kundenauthentifizierung

Die neue Payment Services Directive 2 (PSD2) der EU wird im Januar 2018 in Kraft treten und die Kundenauthentifizierung im Onlinehandel neu regeln - für Händler und Dienstleister auch eine Chance.
Mirko Hüllemann an 21. April 2017 - 17:15 in Payment
PSD2 und die Zukunft der Kundenauthentifizierung: Stark und komfortabel

PSD2 und die Zukunft der Kundenauthentifizierung: Stark und komfortabel

Die Richtlinie (EU) 2015/2366 wurde von der Europäischen Kommission im Oktober 2015 beschlossen und soll im Januar 2018 wirksam werden. Eine wesentliche Konsequenz dieser PSD2: Sie regelt den Bereich der Kundenauthentifizierung bei Zahlungen im Onlinehandel neu. Im Idealfall sollen für den Endkunden dadurch Sicherheit und Komfort steigen. Man darf aber davon ausgehen, dass für alle Bezahlverfahren die Komplexität bis zu einem gewissen Maß steigt. Gerade für Onlinehändler und Zahlungsdienstleister bieten sich durch die strengeren Bestimmungen aber auch neue Möglichkeiten. PSD2 eröffnet für alle Marktteilnehmer die Chance, sich durch neue Services im Bereich Onlinezahlung Wettbewerbsvorteile zu verschaffen. Die Gleichung wird lauten: mehr Komfort = mehr Kunden.

Drittanbieter und die Bankenwelt

Ein wichtiger Effekt der neuen Regularien ist es, dass sie gleichsam für alle Teilnehmer das Spielfeld auf denselben Level anheben. So öffnet PSD2 für Payment Service Providers (PSP) die bislang für Drittanbieter verschlossene Bankenwelt. Die Zahlungsdienstleiter profitieren von solch einer Öffnung, und auch die Banken können sich mit neuen, komfortablen Services für ihre Kunden neu positionieren. Last but not least werden sich in Zukunft auch Onlinehändler im Wettbewerb noch stärker dadurch profilieren können, welche Zahlungsmöglichkeiten sie ihren Kunden bieten – und wie komfortabel die Kundenauthentifizierung bei ihnen ist. Für Zahlungsdienstleister entsteht durch die begrenzte, aber direkte Kommunikation mit der Bankenwelt die Möglichkeit, bei Kundenauthentifizierungsvorgängen im Onlinehandel innovative Services zu bieten. Ein mögliches Szenario: Wenn sich der Kunde im Onlinebezahlvorgang etwa mit seiner EC-Karte und per Chip-TAN authentifizieren möchte, kann ein Zahlungsinstitut diese Authentifizierung in Zukunft sofort prüfen. So werden auch ganz neue Instant-Payment-Optionen möglich. Von einem derart engen Zusammenspiel von PSPs und Finanzinstituten profitieren am Ende alle: der Onlinehändler, sein Kunde, das Zahlungsinstitut und die Bank.

Starke Authentifizierung mit zwei Faktoren

Bei gewissen Zahlungsverfahren macht PSD2 neue Kundenauthentifizierungsmethoden notwendig. So dürfte etwa beim Mobile Payment eine SMS-TAN auf das Smartphone nicht mehr zulässig sein. Denn in Artikel 97 schreibt die PSD2 eine sogenannte starke Kundenauthentifizierung vor, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden. Diese drei Authentifizierungskategorien sind:

  1. Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort).
  2. Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte).
  3. Inhärenz: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (etwa ein Fingerabdruck).

Umständliches 3D Secure

Schon die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte in ihren „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) aus dem November 2015 einen Schwerpunkt auf eine starke Authentifizierung. Auch die einschlägigen Verfahren der Kreditkartenfirmen – wie der 3D Secure Code bei VISA oder der SecureCode bei MasterCard – sollen das Sicherheitsniveau erhöhen. Wobei manche Institute diese Verfahren noch um Elemente wie Push-TANs, Smartphone-Apps oder Kartenlesegeräte ergänzen, um die Sicherheit bei der Kartenzahlung im Internet weiter zu erhöhen. Verfahren wie das bisherige 3D Secure haben allerdings einen gravierenden Nachteil: für den Kunden sind sie vergleichsweise umständlich anzuwenden. Entsprechend ungern bieten Onlinehändler sie an. Denn fast immer ziehen diese Verfahren niedrigere Konversionsraten nach sich – die Gefahr von Abbrüchen steigt. Der Nachteil für einen Händler, der sich solch einem starken Kundenauthentifizierungsverfahren verweigert, ist allerdings schon jetzt, dass er dann selbst das komplette finanzielle Risiko etwaiger Chargebacks trägt.

Ausnahmen und Innovationschancen

In Zukunft wird die PSD2 bei einer Online-Kartenzahlung also eine starke Authentifizierung fordern – aber es gibt Ausnahmen. Wenn es um kleine Beträge von weniger als 30 Euro geht, wird ausdrücklich keine Zwei-Faktoren-Authentifizierung verlangt. Und selbst bei Transaktionssummen im Bereich zwischen 30 und 500 Euro soll die starke Kundenauthentifizierung dann verzichtbar sein, wenn das jeweilige Zahlungsmittel definierte Betrugsquoten nicht überschreitet. Welche Konsequenzen das für welches Zahlungsmittel haben wird, ist allerdings noch nicht klar absehbar. Was der PSD2 auch ein wenig den Schrecken nimmt: Für eine starke Zwei-Faktoren-Authentifizierung lassen sich ganz neue und innovative Methoden entwickeln, weit komfortabler als das umständliche 3D Secure. Vorstellbar sind etwa besonders schnelle Verfahren wie ein Iris-Scan oder eine Videoauthentifizierung einfach per Smartphone des Kunden. Den Kombinationsmöglichkeiten zwischen den Faktoren Wissen, Besitz und Inhärenz setzt die PSD2 keine Grenzen.

Je komfortabler, desto besser

Durch PSD2 werden die Karten also neu gemischt. Dass in Zukunft in sehr vielen Fällen eine starke Zwei-Faktoren-Authentifizierung nötig wird, dürfte den Markt der Zahlungsverfahren und der Zahlungsdienstleister schon ein wenig durchrütteln. Der bisherige Komfortvorteil eines Dienstes wie PayPal beispielsweise wird dadurch erst einmal hinfällig. Auch die Sofortüberweisung wird sich zumindest technisch ändern – in Zukunft benötigt der Zahlungsdienstleister eine sichere, dedizierte Schnittstelle zur Bank. Und auch um Lastschriftmandate einzuholen, braucht es in Zukunft einen Zahlungsdienstleister, der die elektronische Zwei-Faktoren-Authentifizierung übernimmt. Die PSD2 reduziert das Betrugsrisiko beim Onlinekauf, aber eine obligatorische Zwei-Faktoren-Authentifizierung erhöht zugleich die Komplexität der Bezahlprozesse. Im Wettbewerb könnte es darum immer wichtiger werden, wie bequem das Authentifizierungsverfahren ist, das der Zahlungsdienstleister anbietet. Onlinehändler werden sich darum in Zukunft noch genauer ansehen müssen, welchen Mix an Zahlungsoptionen ihr Payment Service Provider offeriert – und wie komfortabel sein Angebot gerade für die Zielgruppe ist, die der Händler im Blick hat. Aber selbst wenn Varianten wie Sofortüberweisung und Lastschrift in ihrer klassischen Form hinfällig werden, könnten doch neue, intelligentere Verfahren an ihre Stelle treten – eben weil ein Zahlungsdienstleister per Zugriff auf die Daten der kontoführenden Bank den Authentifizierungsprozess selbst durchführen kann.

Herausforderung und Chance

Es ist auch nicht ausgeschlossen, dass PSD2 bis zu einem gewissen Grad die Marktmacht der E-Commerce-Riesen stärken wird, die die Kunden gerne und oft frequentieren. Denn die Direktive eröffnet für Endkunden die Möglichkeit, individuell ausgewählte Onlinehändler auf eine „White List“ zu setzen und sie als grundsätzlich vertrauenswürdige Zahlungsempfänger zu deklarieren. So spart sich der Endkunde die Zwei-Faktoren-Authentifizierung für jeden einzelnen Kaufvorgang. Onlinehändler sollten sich deswegen in Zukunft noch stärker um Kundenbindung bemühen und es ihren Kunden so einfach wie möglich machen, sie zu white-listen. So oder so: Es gilt, sich jetzt mit den Konsequenzen der EU-Direktive auseinanderzusetzen, sich den neuen Anforderungen anzupassen und die Wettbewerbschancen zu nutzen, die sich eröffnen. In jedem Fall sorgt PSD2 dafür, dass die nächsten Jahre spannend bleiben – für Onlinehändler und für Zahlungsdienstleister.

Mirko Hüllemann

Mirko Hüllemann (Jahrgang 1969) ist Gründer und Geschäftsführer der Heidelberger Payment GmbH, kurz: heidelpay, ein von der BaFin zugelassenes und beaufsichtigtes Zahlungsinstitut für Online-Paymentverfahren. heidelpay deckt das komplette Leistungsspektrum der elektronischen Zahlungsabwicklung ab: vom Processing der Transaktionen über die Tätigkeit als Acquiring-Bank bis hin zum Monitoring und Risikomanagement. Vor der Gründung von heidelpay im Jahr 2003 war Mirko Hüllemann u.a. für verschiedene Anbieter von Online-Zahlungsdiensten tätig: als Vertriebsleiter für die paybox.net AG und als Geschäftsführer für die United Payment GmbH.

More Posts - Website

Follow Me:
TwitterFacebook

0 Kommentare beitragen

Senden Sie uns eine Mitteilung Hier

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Pin It on Pinterest

Share This