PSD2 (Payment Services Directive): Die Anforderungen an eine starke Kundenauthentifizierung.

3-D Secure PSD2
Datatrans AG – PSD2 (Payment Services Directive): Die Anforderungen an eine starke Kundenauthentifizierung.

Seit Anfang Jahr ist die Europäische Zahlungsdienstrichtlinie PSD2 verbindlich in Kraft. Ziel der Richtlinie ist die Förderung technischer Innovationen im Zahlungsverkehr bei gleichzeitiger Stärkung der Verbraucherrechte, Verbesserung der Sicherheit und Vereinfachung der Zahlungsabwicklung. Doch welche Konsequenzen hat PSD2 für Händler innerhalb und ausserhalb der EU? Welche Massnahmen müssen heute oder in naher Zukunft ergriffen werden?

Die wichtigsten Änderungen bzw. Neuerungen im Überblick:

  • Starke Kundenauthentifizierung (im Laufe von 2019): weitere Infos siehe unten.
  • Abschaffung von Zahlungsgebühren (bereits in Kraft): die Erhebung von Gebühren bei der Bezahlung mit Kreditkarten ist seit August 2017 in der Schweiz und seit Januar 2018 in der EU unzulässig.
  • Öffnung Bankenschnittstellen (bereits in Kraft): PSD2 sieht vor, dass Banken Schnittstellen zur Verfügung stellen, über die Drittanbieter Kontoinformationen auslesen und Zahlungen initiieren können. Aktuell gilt für Schweizer Banken noch keine gesetzliche Pflicht in der Umsetzung. Es bleibt jedoch abzuwarten, inwieweit bestimmte Vorgaben der PSD2 zukünftig im Schweizer Recht zu implementieren sind.

Starke Kundenauthentifizierung (SKA)
Kunden müssen sich zukünftig mit mindestens zwei Elementen der Kategorien Wissen, Besitz und Inhärenz (Biometrischer Faktor wie z.B. Fingerabdruck) ausweisen (2-Factor-Authentication). Vor allem der letzten Kategorie wird im Sinne einer kundenfreundlichen und reibungslosen Authentifizierung im mobilen E-Commerce eine grosse Bedeutung beigemessen (mehr Informationen zur SKA in den technischen Standards RTS).

Ausnahmen von der SKA
Bei Transaktionen mit einem geringen Risiko soll weiterhin ein bequemer und schneller Checkout gewährleistet sein. Es können deshalb folgende Ausnahmen von der SKA geltend gemacht werden:

  • Kleinbeträge: Zahlungen bis EUR 30 verlangen keine SKA, sofern der Gesamtbetrag seit der letzten SKA nicht EUR 100 überschritten hat oder alternativ seither nicht mehr als fünf aufeinanderfolgende Transaktionen ausgeführt wurden.
  • Wiederkehrende Zahlungen: Gemäss Auslegung der «Card Schemes» kommt die SKA-Ausnahmeregelung bei wiederkehrenden Zahlungen in derselben Höhe und an denselben Zahlungsempfänger zur Anwendung.
  • Whitelisting: Erstellung einer Liste vertrauenswürdiger Händler, bei denen die Ausnahmen gelten.
  • Geringes Risiko: Eine risikobasierte Authentifizierung kann anstelle einer SKA durchgeführt werden, solange der Kaufbetrag unter einem maximalen Grenzwert von EUR 500 liegt. Der zulässige Höchstbetrag bemisst sich anhand der auf Seiten des Zahlungsanbieters berechneten Betrugsrate. Die risikobasierte Authentifizierung prüft in Echtzeit das Risiko der Transaktion auf Basis verschiedener Parameter wie Verhaltensmuster und Herkunft des Käufers, Kaufbetrag, etc.

Bei sogenannten One-Leg-Out-Transaktionen (OLO), wo nur einer der beteiligten Zahlungsdienstleister (Acquirer oder Issuer) in der EU ansässig ist, betrifft die PSD2 nur den Zahlungsdienstleister mit Sitz in der EU.

Da es zum heutigen Zeitpunkt noch umstritten ist, ob und in welchem Umfang die SKA-Pflichten bei OLO-Transaktionen umzusetzen sind, empfehlen wir allen Händlern, sich proaktiv dem Thema der SKA zu widmen, das Gespräch mit ihrem Acquirer zu suchen und die weiteren Entwicklungen zu beobachten.

3-D Secure 2.0 (3-DS 2.0)
Die internationalen Kreditkartenorganisationen lancieren über das gemeinsame Standardisierungsgremium EMVCo den neuen Authentifizierungsstandard 3-D Secure 2.0 (3-DS 2.0). Das 3-DS 2.0-Verfahren erlaubt die standardisierte Implementierung der SKA und deren Ausnahmeregelungen nach den Vorgaben der PSD2.

Noch bedarf es weiterer Konkretisierungen bezüglich der praktischen Umsetzung der Vorgaben. Datatrans empfiehlt Händlern in der EU, aber auch in der Schweiz, die 3-DS 2.0-Anforderungen sowie die geplanten Termine für die technische Umsetzung zusammen mit ihren Acquirern zu erörtern. Entsprechende technische Lösungen werden von Datatrans zurzeit evaluiert und zu gegebener Zeit bereitgestellt.

Infos
Weitere Informationen zu PSD2 und 3-DS 2.0 finden Sie unter:
https://eur-lex.europa.eu/ 
https://www.emvco.com/

Datatrans wird sie fortlaufend unter www.datatrans.ch über die Entwicklungen im Bereich PSD2 und insbesondere 3-DS 2.0 informieren.

Haben Sie Fragen zu den Themen PSD2 und 3-DS 2.0, können Sie uns gerne unter der folgenden E-mail-Adresse kontaktieren: support@datatrans.ch