Wohl kaum ein Kunde wird bislang mit dem Begriff “PSD2” etwas anfangen können, obwohl das Thema Banken, Fintechs und Händler seit geraumer Zeit beschäftigt. Das dürfte sich in den kommenden Wochen ändern, wenn Institute und Zahlungsdienstleister die Kunden anschreiben.
In ihren Briefen werden sich die Absender auf die PSD2 berufen und darin Änderungen beim Einloggen ins Online-Banking ankündigen. Denn die neue EU-Zahlungsdienstleisterrichtlinie („Payment Service Directive" Version 2) umfasst im Kern zwei große Themen. Da ist die Verpflichtung für Kreditinstitute, auch Dritten Zugriff auf Kontodaten einzuräumen. Zudem soll der Zahlungsverkehr europaweit sicherer werden. Und dieser Aspekt ist für alle (Online-) Händler von großer Relevanz. Wir erklären in diesem Blogbeitrag warum.
Stark soll sie sein, die Authentifizierung
Sprengkraft für den Handel hat die Forderung nach einer starken Kundenauthentifizierung (Strong Customer Authentication, SCA). Und stark ist diese dann, wenn sie auf zwei Faktoren basiert.
Der Unterschied wird sehr anschaulich, wenn die bisher in vielen Shops praktizierte Zahlung per Kreditkarte analysiert wird. Um seinen gefüllten Warenkorb zu bezahlen, gab der Kunde meist nur seine Kreditkartennummer, das Ablaufdatum sowie in aller Regel die auf der Karte notierte Prüfzimmer (CVC) ein. Im Rahmen der PSD2 genügt dies dagegen nicht mehr, da diese Daten auch entwendet worden sein könnten.
Bei der 2-Faktor-Authenfizierung werden zwei verschiedene Elemente benötigt, die aus zwei von drei Bereichen stammen müssen:
- Wissen: Ein Passwort, eine PIN oder beispielsweise eine Geheimfrage
- Besitz: Smartphone, Hardware-Token, eine Smartwatch
- Persönliche Merkmale, was Inhärenz genannt wird: Das kann der Fingerabdruck sein oder auch die Gesichtserkennung.
Im Falle der Kreditkartenabrechnung könnte die Lösung also beispielsweise so aussehen, dass der Kunde nach Eingabe seiner Kreditkartendaten nun vom System auf eine Seite der Kreditkartengesellschaft weitergeleitet wird, auf der er eine in seiner App angezeigte Transaktionsnummer eingeben muss. Er muss also zum Zeitpunkt der Transaktion nicht nur im Besitz des mit seiner Nummer verknüpften Smartphones sein, sondern „kennt" auch die korrekte TAN.
Bei der konkreten Umsetzung der Authentifizierung sind zahlreiche Spielarten denkbar. Wie diese kombiniert werden sollen, lässt die PSD2 offen.
Das Online-Bezahlen wird komplizierter
Der E-Commerce kennt seit seinen Anfängen eine goldene Regel. Der Kunde soll es möglichst einfach haben. Jede Aktion auf dem Weg zum Kaufabschluss kann einen Abbruch zur Folge haben. Und genau das befürchten nicht wenige Händler mit der Einführung der SCA. Es ist ein zusätzlicher Schritt beim Onlinekauf nötig.
Das Bezahlen wird damit ohne Zweifel sicherer, aber eben auch umständlicher. Und das kann, muss aber nicht, in Kaufabbrüchen enden.
Nicht betroffen von der Richtlinie sind Lastschriften, denn hier wird die Zahlung vom Empfänger ausgelöst. Und das Angebot von „Barzahlen" wird vor dem Hintergrund interessant, da der Kunde hier der doppelten Authentifizierung aus dem Weg gehen kann.
Stationärer Handel kennt bereits die SCA
Nicht betroffen von der starken Kundenauthentifizierung ist der stationäre Handel. Bei der Bezahlung per Karte und PIN kommen ja bereits zwei Faktoren zum Einsatz. Kontaktloses Bezahlen („Tappen") hat von sich aus bereits einen Sicherheitsmechanismus eingebaut. Hier sorgen Zähler dafür, dass der Kunde zwischendurch seine Karte doch wieder in ein Terminal stecken muss, damit nicht unbegrenzt im Falle eines Verlustes der Karte eingekauft werden kann. Ähnlich gibt es eine Ausnahmeregel bei Online-Transaktionen unter 30 Euro.
Eine Gnadenfrist, die dennoch zum Handeln zwingt
Eigentlich sollte die PSD2 bis zum 14. September umgesetzt sein. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gewährte allen Beteiligten einen Aufschub, um die ordnungsgemäße Umsetzung sicherzustellen.
Zwar werden Händler mit der unmittelbaren technischen Umsetzung der PSD2 nicht konfrontiert sein, sondern sich auf den Service eines Dienstleisters verlassen. Wer es allerdings bisher versäumt hat, sich intensiver mit dem Thema zu beschäftigen, sollte dies schleunigst nachholen, um gemeinsam mit dem Zahlungsdienstleister eine Lösung im Shop zu implementieren, die die Hürden für den Kunden möglichst klein hält.
