Betrug ist im Online-Handel nach wie vor ein weit verbreitetes Problem, mit dem fast jeder Shop-Betreiber am Markt schon einmal konfrontiert wurde. Um den europäischen E-Commerce sicherer zu machen, treten im Herbst höhere Anforderungen an die Authentifizierung von Kunden in Kraft. Die sogenannte „Strong Customer Authentication“ (SCA) ist Teil der Zahlungsdiensterichtlinie PSD2 und soll das Einkaufen im Web weniger anfällig für Betrug machen. Was heißt das für Unternehmen? Und bis wann müssen Händler ihre Shops auf die neuen Anforderungen vorbereiten?
Was ist die Strong Customer Authentication?
Die Strong Customer Authentication soll dafür sorgen, dass Unternehmen Kundenzahlungen sicherer abwickeln. Dabei geht es vor allem darum, dass Banken, Unternehmen und Shops ihre User eindeutig identifizieren – und so das Risiko eines Betrugs senken.
Diese Mechanismen greifen aktuell
Damit Kunden aktuell in Onlineshops zahlen können, greifen Banken und Händler in der Regel auf 3D Secure 1 zurück. Neben den Zahlungsinformationen müssen Kunden dabei einen Code eingeben. Dieser identifiziert den User und veranlasst die Zahlung.
Das fordert die SCA
Die SCA macht es zum Standard im Web, dass Verbraucher ihre Identität über mindestens 2 Faktoren nachweisen müssen, bevor sie eine Zahlung vornehmen können. Dazu können sie neben den Zahlungsinformationen ein Passwort, eine Geheimfrage oder einen PIN (etwas, das sie wissen), ein Smartphone, einen Token oder ein Wearable (etwas, das sie besitzen) oder ihren Fingerabdruck, ihren Irisscan oder ihre Gesichtserkennung (etwas, das sie sind) nutzen.
Wie kann die SCA in der Praxis aussehen?
In der Praxis können Shops und Banken von Kunden zum Beispiel ein Einmalpasswort fordern, das sie per SMS auf ihrem Handy erhalten. Daneben können Verbraucher auch ihren Fingerabdruck an ihrem Smartphone hinterlassen und so eine Transaktion veranlassen. Unternehmen wie PayPal nutzen das für ihre App bereits.
Benötigen alle Unternehmen die SCA?
Es gibt einige Ausnahmen, bei denen Unternehmen die Anforderungen der SCA nicht erfüllen müssen. Das ist beispielsweise der Fall, wenn User eine Transaktion unter 30 Euro vornehmen wollen. Für die Ausnahme gilt jedoch auch eine Ausnahme: Nehmen Kunden mehrere Zahlungen unter 30 Euro vor, die in der Summe 100 Euro übersteigen, müssen Unternehmen wieder die Anforderungen der SCA beachten, zudem dürfen seit der letzten sicheren Kundenauthentifizierung nicht mehr als fünf einzelne elektronische Zahlungsvorgänge ausgelöst worden sein.
Wiederkehrende Zahlungen und Abonnements, bei denen der Betrag immer derselbe ist, müssen ab der zweiten Zahlung die Voraussetzungen der SCA ebenfalls nicht erfüllen. Das gilt auch für Empfänger, die Kunde und Bank als vertrauenswürdig eingestuft haben (sogenannte Whitelist-Händler), B2B-Transaktionen, wenn es sich um ein Zahlungsmittel für den B2B-Bereich handelt, und Zahlungen von außereuropäischen Käufern.
Wann greifen die neuen Anforderungen der SCA?
Die SCA gilt ab dem 14. September in Europa. Händler sollten ihre Shops bis dahin technisch auf die neuen Anforderungen vorbereitet haben.