Shopbetreiber müssen 2-Faktor-Authentifizierung für sicheren Zahlungsverkehr umsetzen

Durch die Payment Services Directive 2 der Europäischen Union (PSD2) sollen Verbraucher beim Online-Shopping sicherer bezahlen können. Shopbetreiber müssen daher ihre Zahlungsarten PSD2-konform anpassen, um keine Abmahnungen und Bußgelder zu kassieren.

Die Europäische Union arbeitet schon seit langem an einem Konzept, um den Bezahlvorgang in Online-Shops sicherer zu gestalten. Mit der Zahlungsdiensterichtlinie (PSD2), die zweistufig im Januar 2018 und September 2019 in Kraft getreten ist, wird nun erreicht, dass Verbraucher, Händler und Unternehmen eine maximale Wahlmöglichkeit und Transparenz bei Zahlungsdiensten haben.

Rückblick: Schon seit 2007 wurden die EU-Binnengrenzen sukzessiv abgeschafft und die verschiedenen Zahlungsverkehrsmärkte der EU-Mitgliedstaaten harmonisiert, was den freien Verkehr von Waren, Dienstleistungen und Kapital zwischen den Mitgliedstaaten ermöglichte. Seitdem können auch Zahlungsdienstleister wie Klarna oder Paypal europaweit ohne Wettbewerbsnachteile agieren. Kunden haben dadurch mehr Rechte bei Auskünften, Autorisierungen und Durchführungen von Transaktionen, Erstattungen von Zahlungen sowie Haftungen im Falle von unautorisierten Zahlungen.

Neuen und innovativen Zahlungsmitteldienstleistern soll durch die PSD2 der Markteintritt erleichtert werden. Um dies zu erreichen, müssen Banken ihre Schnittstellen zu Konten und Zahlungssystemen öffnen. Um die dadurch entstehenden Sicherheitsrisiken abzufedern und Verbraucher bei elektronischen Zahlungen angemessen zu schützen, findet die neue Kundenauthentifizierung SCA (Strong Customer Authentification) Anwendung.

Durch die SCA und den damit verbundenen zusätzlichen Verifikationsmechanismus können Banken und Kartenaussteller leichter überprüfen, ob eine online veranlasste Zahlung tatsächlich legitim ist. Dabei können folgende Faktoren zum Einsatz kommen, aus denen jede Bank und jeder Zahlungsdienstleister individuell zwei Kombinationen auswählen kann:

– etwas, was nur der Kunde weiß, bspw. ein Passwort

– etwas, was nur der Kunde besitzt, bspw. ein Token oder ein registriertes Handy

– etwas, was den Kunden eindeutig identifiziert, bspw. ein Finger- oder Gesichtsabdruck

Seit Inkrafttreten der PSD2-Bestimmungen müssen Shopbetreiber die sichere 2-Faktor-Authentifizierung in ihrem Bezahlsystem integrieren. Ist dies nicht der Fall, muss eine Bank die Kartenbelastung ablehnen. Die Folge: Bestellungen werden aufgrund von abgelehnten Kartenzahlungen storniert. Zudem drohen Abmahnungen und Bußgelder. Shopbetreiber müssen bis spätestens 31. Dezember 2020 die PSD2-konforme Umstellung der Zahlungsarten in ihrem Online-Shop umsetzen. Diesen zeitlichen Aufschub hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gewährt.

Standard Online-Shops, die mit Magento oder Shopware betrieben werden, sind meist nicht selbst Zahlungsanbieter, sondern setzten den Bezahlvorgang mit Hilfe eines Payment-Service-Providers wie Wirecard oder PayOne um. Hier sind also die Zahlungsanbieter selbst in der Pflicht, die SCA in den Bezahlvorgang zu integrieren. In diesem Fall genügt es, Kontakt mit dem Payment-Service-Provider aufzunehmen und das Extension-Update für den Bezahlvorgang nachzurüsten. Shopbetreiber können in diesem Zuge auch überlegen, neue Online-Zahlungsmittel für ihre Kunden anzubieten, die nicht nur SCA-zertifiziert sind, sondern auch einfache Umstiegsszenarien anbieten.

Ein Nachteil der starken Kundenauthentifizierung: Erfahrungsgemäß steigt mit jedem zusätzlichen Schritt innerhalb des Bezahlvorgangs die Kaufabbruchrate – Kunden wollen möglichst einfach und schnell bezahlen können. Daher empfiehlt es sich, im Zuge der Integration der PSD2-konformen Zahlungsarten, den Online-Shop systematisch zu optimieren, um dem Kunden ein attraktives Einkaufserlebnis zu ermöglichen.

Schon kleine Verbesserungen wie eine leichte Navigation auf der Seite, mobil-angepasste Bilder und konkrete Produktbeschreibungen können die Nutzer-Convenience erhöhen und Kaufabbrüche verhindern.

Hendrik Herms