Neue Zahlungsdiensterichtlinie PSD2: Veränderungen und Knackpunkte für das Onlinegeschäft

Alle Änderungen im Detail

Zwei-Faktor-Authentifizierung

Gilt ab:

Voraussichtlich 3. Quartal 2019

Was ändert sich?

Die Zwei-Faktor-Authentifizierung (2FA) oder auch starke Kundenauthentifizierung bezieht sich auf die Vereinheitlichung der Sicherheitsvorschriften beim Bezahlen im E-Commerce. 

Bislang musste sich der Käufer bei vielen Online-Bezahlvorgängen nur durch eine einfache Sicherheitsabfrage ausweisen. So konnte beispielsweise durch die Eingabe von Kreditkartennummer, Ablaufdatum und Card Validation Code (CVC) die Bezahlung im Onlineshop ausgelöst werden. Bei Vorliegen von Risikofaktoren mussten Zahler eine weitere Sicherheitsabfrage zur Authentifizierung durchlaufen. Das 3D-Secure-Verfahren bei Kreditkartenzahlungen ist ein Beispiel für diese zusätzliche Überprüfung. Die neue Richtlinie legt jedoch fest, dass Zahler bei Transaktionen im E-Commerce im Regelfall durch zwei Sicherheitsmerkmale, die sogenannte Zwei-Faktor-Authentifizierung, verifiziert werden müssen. Dabei existieren drei verschiedene Kategorien von Sicherheitsmerkmale

Wissen: Etwas, das man weiß, wie zum Beispiel PIN oder Passwort

Besitz: Etwas, das man hat, wie zum Beispiel Kreditkarte, Smartphone etc.

Inhärenz: Etwas, das man ist, wie zum Beispiel Fingerabdruck, Gesichtserkennung, Stimme

Zwei von Drei

Die neue Regelung gibt vor, dass zur Authentifizierung des Zahlers zwei Identifikationsmerkmale aus drei Sicherheitskategorien miteinander kombiniert werden müssen. So kann eine Zahlung beispielsweise durch die Kombination von PIN-Eingabe (Wissen) und biometrischem Merkmal wie dem Fingerabdruck (Inhärenz) autorisiert werden. Ziel der des Gesetzgebers ist es, so die Sicherheit im Zahlungsverkehr zu erhöhen.

Keine Regel ohne Ausnahme

Um den Aufwand für die Transaktion von Kleinbeträgen weiter gering zu halten, gibt es eine Ausnahmeregelung. Online-Einkäufe unter 30 Euro sind – bis zur Grenze von kumulativ 100 Euro oder fünf aufeinanderfolgenden Zahlungen ‒ nicht von der Regelung betroffen. Für diese Beträge darf auf die starke Authentifizierung verzichtet werden.  

Zusätzlich wird es eine White List-Lösung geben. Das heißt, Zahler können bei ihrer Bank eine Liste mit denjenigen Zahlungsempfängern erstellen, die sie für vertrauenswürdig halten. Wird dann beim Online-Shopping eine Transaktion an einen der gelisteten Empfänger beauftragt, darf auf die starke Authentifizierung verzichtet werden. 

Darüber hinaus enthalten die Standards eine Ausnahmeregelung von der 2FA für Zahlungen mit geringem Risiko. Als Basis dafür dient eine Transaktions-Risikoanalyse, kurz TRA (Transaction Risk Analysis). Sie beschreibt einen Kriterienkatalog, der genau festlegt, unter welchen Bedingungen von der 2FA abgesehen werden darf. Wie sich diese Ausnahmeregelung jedoch konkret in der Praxis umsetzen lässt, wird sich erst noch zeigen.  

Händler, Acquirer und Kartenorganisationen arbeiten aber bereits an guten Lösungen. Ein erster Schritt in die richtige Richtung stellt dabei die neue Spezifikation des 3D Secure Verfahrens dar. Sie sieht vor, dass zukünftig bei Transaktionen noch mehr Daten vom Händler an die anderen Beteiligten – also Kartenorganisation und Acquirer ‒ weitergegeben werden. Je mehr Daten zur Risikoanalyse bereitstehen desto wahrscheinlicher ist ein Verzicht auf 2FA.

Unsere Einschätzung:

Mit der Regelung zur starken Authentifizierung wird eine Vereinheitlichung der Sicherheitsstandards für alle Online-Zahlungsmethoden erreicht. Aber zu welchem Preis? Denn konkret bedeutet die 2FA: Für nahezu jeden Online-Einkauf muss der Endkunde nicht nur ein Passwort eingeben, sondern sich zusätzlich beispielsweise per Push-TAN wie beim Online-Banking oder per Fingerabdruck auf dem Handy ausweisen. Das kann das Einkaufen online komplizierter machen und damit schnelle Impulseinkäufe beeinträchtigen

Zu Recht stellt sich der Handel die Frage: Ist die Risikominimierung das wert? In der Vergangenheit haben die zur Verfügung stehenden Präventionssysteme bei Händler, Acquirer und Issuer bereits für eine sehr hohe Sicherheit im Zahlungsverkehr gesorgt. Und letztlich konnte der Händler selbst entscheiden, ob er zugunsten der besseren Nutzerfreundlichkeit ein höheres Risiko trägt. Gleichzeitig hatten Händler stets die Möglichkeit, die Authentifizierung über das sichere 3D-Secure Verfahren anzufragen, um ein Betrugsrisiko zum Beispiel bei Kreditkartenzahlungen nahezu auszuschließen. Deshalb halten wir eine generelle Pflicht zur 2FA sowohl für den Händler als auch den Zahler für unnötig, da sie den Bezahlvorgang verkompliziert und verlängert. 

Der Gesetzgeber hat jedoch entschieden, die 2FA wird kommen. Um für den Eintritt der neuen Regelung vorbereitet zu sein, arbeiten wir an innovativen Lösungen, die den Check-out Prozess weiterhin so einfach und bequem wie möglich gestalten. Damit möchten wir das Bezahlen im E-Commerce für Verbraucher und Händler mit der 2FA weiterhin komfortabel gestalten.

Open Banking 

Gilt ab:

Voraussichtlich 3. Quartal 2019

Was ändert sich?

Die PSD2-Richtlinie legt fest, dass Banken sogenannten dritten Zahlungsdienstleistern ‒ Anbieter von Zahlungsauslöse- und Kontoinformationsdiensten ‒ den sicheren Zugriff auf online geführte Kundenkonten ermöglichen müssen. Das wird auch Open Banking genannt. 

Wettbewerbsförderung

Ziel der neuen Regelung ist die Stärkung des Wettbewerbs, denn durch die Öffnung der Online-Konten wird es Banken und dritten Zahlungsdienstleistern ermöglicht, neue Payment Services anzubieten. Dabei dürfen Kontoinformationen natürlich nur dann von Drittanbietern abgefragt werden, wenn der Kontoinhaber dem Drittanbieter seine ausdrückliche Zustimmung dafür gegeben hat. 

Sichere Kontoschnittstellen

Bislang müssen Banken Drittanbietern keinen Zugang zum Kundenkonto bereitstellen. Sie haben jetzt bis zum Inkrafttreten der Regelung Zeit, PSD2-konforme Lösungen zu entwickeln.  

Dafür eignen sich sogenannte APIs (Application Programm Interfaces) – Schnittstellen, mit denen sich die unterschiedlichen Systeme miteinander verbinden lassen. Diese sind heutzutage der technische Standard, wenn es um die sichere Übermittlung von Daten geht, zum Beispiel bei der Kommunikation zwischen Händlersystemen und unserer Komplettlösung für den E- und M-Commerce, der Concardis Payengine. So können wir Händlern den automatischen Abgleich all ihrer Zahlungsströme in Echtzeit ermöglichen.

Unsere Einschätzung:

Der Payment-Markt lebt von innovativen Ideen. Wir als Payment Service Provider sind selbst bestrebt, neue und sichere Geschäftsmodelle in Sachen Payment zu unterstützen. Deshalb begrüßen wir die Stärkung des Wettbewerbs durch die Öffnung der Schnittstellen und sehen die neue Regelung als gute Grundlage für Mehrwertdienstleistungen im Payment-Sektor. So können Fintechs, Zahlungsdienstleister aber auch Banken ganz neue Geschäftsmodelle entwickeln.  

Wie Banken mit der Schnittstellenöffnung konkret umgehen werden, ist allerdings noch nicht bekannt. Wir von Concardis beobachten die Entwicklungen natürlich genau und arbeiten daran, unsere Produktpalette weiter darauf auszurichten. 

Surcharge-Verbot

Gilt ab:

13. Januar 2018

Was ändert sich?

Bis vor kurzem wurde im E-Commerce mitunter ein Zuschlag, die sogenannte Surcharge, für bestimmte Zahlarten erhoben. Mit Inkrafttreten der neuen EU-Richtlinie am 13. Januar 2018 dürfen Händler diesen Aufschlag für bestimmte Zahlungsmittel wie Kredit- und Debitkarten von Verbrauchern aus Europa nicht mehr in Rechnung stellen. Der Gesetzgeber möchte damit den Verbraucherschutz stärken.

Unsere Einschätzung:

Kreditkartenmarken wie VISA und Mastercard regeln in ihren Verträgen die Unterlassung von Surcharge bereits. Somit ist der Verzicht auf Extra-Gebühren bei Kreditkartenzahlungen schon heute gängige Praxis.

Ob 2FA, Open-Banking oder Surcharge-Verbot, die PSD2 verändert den E-Commerce in Europa. Ganz wichtig: Wir von Concardis setzen alle rechtlichen Vorgaben um und haben dabei die Bedürfnisse der Händler im Blick. Wer also die Concardis Payengine für den Online-Handel nutzt, ist auf der sicheren Seite. Gleichzeitig informieren wir als Payment Service Provider unsere Kunden regelmäßig über relevante Änderungen, die sich im Rahmen der neuen EU-Verordnung entwickeln.

Sie haben Fragen zu PSD2? Sprechen Sie uns einfach an: Kontaktformular