Die Richtlinie (EU) 2015/2366 wurde von der Europäischen Kommission im Oktober 2015 beschlossen und soll im Januar 2018 wirksam werden. Eine wesentliche Konsequenz dieser PSD2: Sie regelt den Bereich der Kundenauthentifizierung bei Zahlungen im Onlinehandel neu. Im Idealfall sollen für den Endkunden dadurch Sicherheit und Komfort steigen. Obwohl davon auszugehen ist, dass die Komplexität aller Bezahlverfahren bis zu einem gewissen Maß steigen wird, bieten die strengeren Bestimmungen insbesondere für Onlinehändler und Zahlungsdienstleister neue Möglichkeiten. PSD2 eröffnet für alle Marktteilnehmer die Chance, sich durch neue Services im Bereich Onlinezahlung Wettbewerbsvorteile zu verschaffen.
Drittanbieter und die Bankenwelt
Ein Effekt der neuen Regularien ist es, dass sie für alle Teilnehmer gleichsam das Spielfeld auf ein gemeinsames Level anhebt. Für Payment Service Providers (PSP) öffnet die PSD2 die bislang für Drittanbieter verschlossene Bankenwelt und die Banken können sich mit Services für ihre Kunden positionieren. Auch Onlinehändler sollen sich im Wettbewerb noch stärker dadurch profilieren können, welche Zahlungsmöglichkeiten sie ihren Kunden bieten – und wie komfortabel die Kundenauthentifizierung bei ihnen ist. Zahlungsdienstleistern soll die begrenzte, aber direkte Kommunikation mit der Bankenwelt erlauben, bei Kundenauthentifizierungsvorgängen im Onlinehandel neuartige Services zu bieten. Wenn sich ein Kunde im Onlinebezahlvorgang etwa mit seiner EC-Karte und per Chip-TAN authentifizieren möchte, kann ein Zahlungsinstitut diese Authentifizierung in Zukunft sofort prüfen. Auch Instant-Payment-Optionen werden möglich.
Starke Authentifizierung mit zwei Faktoren
Bei gewissen Zahlungsverfahren macht PSD2 neue Kundenauthentifizierungs-Methoden notwendig. So wird etwa beim Mobile Payment eine SMS-TAN auf das Smartphone nicht mehr zulässig sein, da die PSD2 in Artikel 97 eine sogenannte starke Kundenauthentifizierung vorschreibt, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei der drei möglichen Authentifizierungskategorien herangezogen werden:
a) Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort)
b) Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte)
c) Inhärenz: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (etwa ein Fingerabdruck)
3D Secure
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte in ihren „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) im November 2015 einen Schwerpunkt auf eine starke Authentifizierung. Auch die einschlägigen Verfahren der Kreditkartenfirmen – wie der 3D Secure Code bei Visa oder der Secure Code bei Master Card – sollen das Sicherheitsniveau erhöhen. Manche Institute ergänzen diese Verfahren um Elemente wie Push-TANs, Smartphone-Apps oder Kartenlesegeräte, um die Sicherheit bei der Kartenzahlung im Internet weiter zu erhöhen. Verfahren wie das bisherige 3D Secure sind für den Kunden sind vergleichsweise umständlich anzuwenden, Onlinehändler bieten sie ungern an, da diese Verfahren häufig niedrigere Konversionsraten nach sich ziehen – die Gefahr von Kaufabbrüchen steigt. Der Nachteil für einen Händler, der sich solch einem starken Kundenauthentifizierungsverfahren verweigert, ist, dass er eigenständig das finanzielle Risiko etwaiger Chargebacks trägt.
Ausnahmen und Innovationschancen
In Zukunft wird die PSD2 bei einer Online-Kartenzahlung also eine starke Authentifizierung fordern – mit Ausnahme von Beiträgen unter 30 Euro, für deren Bezahlung keine Zwei-Faktoren-Authentifizierung verlangt wird. Auch bei Transaktionssummen im Bereich von 30 bis 500 Euro soll die starke Kundenauthentifizierung verzichtbar sein, wenn das jeweilige Zahlungsmittel definierte Betrugsquoten nicht überschreitet. Welche Konsequenzen das für welches Zahlungsmittel haben wird, ist noch nicht klar absehbar. Für eine starke Zwei-Faktoren-Authentifizierung lassen sich neue Methoden entwickeln. Vorstellbar sind etwa schnelle Verfahren wie ein Iris-Scan oder eine Videoauthentifizierung via Smartphone des Kunden. Den Kombinationsmöglichkeiten zwischen den Faktoren Wissen, Besitz und Inhärenz setzt die PSD2 keine Grenzen.
Komfort bei der Authentifizierung bieten
Dass in Zukunft in vielen Fällen eine starke Zwei-Faktoren-Authentifizierung nötig wird, dürfte den Markt der Zahlungsverfahren und der Zahlungsdienstleister ein wenig durchrütteln. Der bisherige Komfort eines Dienstes wie Pay Pal beispielsweise wird dadurch hinfällig. Auch die Sofortüberweisung wird sich zumindest technisch ändern: In Zukunft benötigt der Zahlungsdienstleister eine sichere, dedizierte Schnittstelle zur Bank. Um Lastschriftmandate einzuholen, wird ein Zahlungsdienstleister gebraucht, der die elektronische Zwei-Faktoren-Authentifizierung übernimmt. Die PSD2 reduziert das Betrugsrisiko beim Onlinekauf, aber eine obligatorische Zwei-Faktoren-Authentifizierung erhöht zugleich die Komplexität der Bezahlprozesse. Im Wettbewerb könnte es darum immer wichtiger werden, wie bequem das Authentifizierungsverfahren ist, das der Zahlungsdienstleister anbietet. Onlinehändler werden sich darum in Zukunft genau ansehen müssen, welchen Mix an Zahlungsoptionen ihr Payment Service Provider offeriert – und wie komfortabel sein Angebot für die Zielgruppe ist, die der Händler im Blick hat. Per Zugriff auf die Daten der kontoführenden Bank kann ein Zahlungsdienstleister den Authentifizierungsprozess selbst durchführen.
Herausforderung und Chance
Es ist auch möglich, dass die PSD2 bis zu einem gewissen Grad die Marktmacht der E-Commerce-Riesen stärken wird, die die Kunden gerne und oft frequentieren, da die Direktive für Endkunden die Möglichkeit eröffnet, individuell ausgewählte Onlinehändler auf eine „Whitelist“ zu setzen und sie als grundsätzlich vertrauenswürdige Zahlungsempfänger zu deklarieren. So spart sich der Endkunde die Zwei-Faktoren-Authentifizierung für jeden einzelnen Kaufvorgang. Onlinehändler sollten sich deswegen um Kundenbindung bemühen und es ihren Kunden so einfach wie möglich machen, sie zu „whitelisten“.
Foto: Fotolia/Mooshny
Weitere Informationen: www.heidelpay.de