Kommt sie, kommt sie nicht? Nach dem ganzen Hin und Her, ob sich die Einführung der PSD2-Richtlinie nach hinten verschiebt, oder nicht, ist es nun klar: Mitte letzter Woche verkündete die BaFin nun, dass sie nicht beanstanden wird, wenn Kreditkartenzahlungen im Internet vorerst ohne starke Kundenauthentifizierung ausgeführt werden.
Diese Schnittstellen sollen dazu dienen, dass Kunden Drittanbietern Zugriff auf das eigene Bankkonto gewähren können. Am 21. August verkündete die Aufsichtsbehörde jetzt, dass sie nicht beanstanden wird, wenn Kreditkartenzahlungen im Internet vorerst ohne starke Kundenauthentifizierung ausgeführt werden. Damit können Online-Kreditkartenzahlungen faktisch wie bisher angeboten werden. Wie lange die unverbindliche Aussetzung gelten soll, ließ die BaFin offen.
Eigentlich sollte die Zweite Europäische Zahlungsdienstrichtlinie, PSD2 genannt, mit 14. September starten. Nach Einschätzung der Aufsichtsbehörde sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen.
Vorbereitung aber ist alles, denn die Zahlen der neuen Payment-Studie des Bundesverbands Digitale Wirtschaft (BVDW) hat ergeben, dass 64,4 Prozent der Deutschen ihr Einkaufsverhalten in Online-Shops trotz der neuen Zahlungsdiensterichtlinie (PSD2) der EU nicht einschränken wollen. 13,1 Prozent der Befragten begrüßen sogar die neuen erhöhten Sicherheitsvorkehrungen und wollen daher nun noch stärker online shoppen.
Der Payment Service Provider Adyen hat als erster Zahlungsdienstleister seine 3DS2-Lösung im August 2018 auf den Markt gebracht, die durch die EMVCo zertifiziert wurde. Was eine Fristverschiebung bedeutet, wie Händler in Deutschland aufgestellt sind und was eigentlich passiert, wenn nun jedes Land sein eigenes PSD2-Ding macht, erklärt Alexa von Bismarck, Country Managerin Adyen Deutschland, im Interview.
Trotz Verschiebung der Frist sind es nur noch wenigen Wochen bis zur Umstellung auf das PSD2 Verfahren. Sind deutsche Händler mittlerweile ausreichend gut aufgestellt?
Vor einigen Monaten haben Zahlen noch gezeigt, dass erst knapp ein Viertel der deutschen Einzelhändler in Sachen PSD2 aktiv geworden sind. 21% hatten noch gar kein Vorgehen geplant. Es ist jedoch spürbar, dass das Thema in den vergangenen Monaten bei vielen Händlern in den Fokus gerückt ist und es bereits in Deutschland mehrere namhafte Händler wie Zalando und GetYourGuide gibt, die die Vorgaben zur Starken Kundenauthenifizierung unter PSD2 bereits erfolgreich umgesetzt haben. Wir empfehlen trotz Spekulationen rund um Fristverschiebungen in Deutschland, dass diejenigen Händler, die sich bisher noch nicht mit dem Thema auseinandergesetzt haben, das Gespräch mit ihrem jeweiligen Zahlungsdienstleister suchen bzw. sich einen Anbieter suchen, der ihnen heute anwendungsbereite Lösungen bieten kann.
Wenn Mitgliedstaaten nun beginnen, ihre eigenen unabhängigen Fristen festzulegen: Welche Folgen könnte das für den Markt haben und wie könnte man entgegenwirken?
Viele Händler verbinden die neue gesamteuropäische Verordnung mit komplizierten Systemänderungen auf ihrer Seite, die durch die kürzlichen Meldungen zu Fristverschiebungen in einzelnen Ländern zu mehr Unsicherheit führen. Man sollte jedoch nicht vergessen, dass die Grundidee der Zwei-Faktor-Authentifizierung nicht neu ist, denn diese gab es auch unter dem Vorgänger 3DS1.
Wir sehen das neue Sicherheitsverfahren als Weiterentwicklung, welches Händlern viele Möglichkeiten zur Innovation bietet, um reibungslose, sichere Online-Zahlungen, insbesondere auf Mobilgeräten, zu schaffen. Natürlich ist die Umsetzung der SCA-Anforderungen eine Aufgabe, die Herausforderungen für alle am Bezahlprozess beteiligten Instanzen bringt, vom Händler bzw. Payment Service Provider über die Kartensysteme bis hin zum Issuer. Für Händler ist es daher wichtig, sich einen Partner für die Zahlungsabwicklung suchen, der sie bestmöglich bei der Anwendung von Ausnahmen, der korrekten Abfrage der SCA, aber auch bei unterschiedlichen Fristverlängerungen unterstützen kann. So können sie gewährleisten, dass das Einkaufserlebnis für ihre Kunden positiv bleibt, während die Transaktion abgesichert ist und reibungslos autorisiert wird.
Händler sollten die Kommunikation und das Informationsangebot ihres Payment Providers nutzen, um die Folgen für ihr Business abzuschätzen und entsprechende Maßnahmen zu ergreifen. Wir bei Adyen haben beispielsweise zahlreiche Roundtables, Webinare, direkte Meetings und Guides aufgesetzt, um Händler immer auf dem neusten Stand zu halten.
Was bedeutet die Fristverlängerung für Händler, die in mehreren Ländern aktiv sind?
Die Europäische Bankaufsichtsbehörde (EBA) hat im Juni angekündigt, dass einige EU-Länder unterschiedliche Fristen für die Überwachung der Einhaltung der PSD2 festlegen können. Mit der großen Anzahl von involvierten Parteien bestehend aus nationalen Regulierungsbehörden, Banken, Kartensystemen, 3D-Secure-Anbietern, die PSD2 auf unterschiedliche Weise interpretieren und implementieren, wird das Gefüge für Händler damit sehr multidimensional. Diese Komplexität aufgrund von einer Vielzahl erforderlicher Prüfungen von Compliance-, Transaktions-, Risiko- und Issuerdaten hat Einfluss auf ihre Autorisierungsrate – und somit auf ihren Umsatz.
Hierbei gibt es keinen „one size fits all“-Ansatz; das Profil jeder einzelnen Transaktion muss auf Basis des Betrags, anwendbarer lokaler Regularien, Ausnahmen, Authentifizierungspräferenzen der Issuer, der Beziehung zum Kunden berücksichtigt werden. Händler sind gut beraten eine Anbieterlösung zu finden, welche der Komplexität der Länderfristen und allen Vorgaben gerecht wird. Im Idealfall wird jede Transaktion auf dem besten Weg zur Autorisierung geschickt, ohne dass der Kunde beim Checkout etwas merkt.
Es gibt beispielsweise spezielle Tools, die die PSD2-Komplexität für sie reduzieren, besonders wenn sich diese in ihren europäischen Zielmärkten mit unterschiedlichen Fristen und unterschiedlicher 3DS2-Einsatzfähigkeit bei Banken 3DS2 konfrontiert sehen. Möglich ist das fortschrittliche Datenanalysen in Kombination mit Machine Learning.
Worin lagen und liegen kurz vor Startschuss noch immer die größten Schwierigkeiten und wie könnten Banken und Händler sich kurz vor knapp doch noch für den 14. September wappnen?
Grundsätzlich war es von Beginn an wichtig, nicht die Augen vor den anstehenden Veränderungen zu verschließen, sondern Maßnahmen zu ergreifen. Auch das ist jetzt noch möglich. Verständlicherweise sind Händler verunsichert und fragen sich, was PSD2 für sie bedeutet und welche Schritte sie konkret gehen müssen. Wichtige Fragen sind beispielsweise, ob es für sie Ausnahmen gibt, wann dem Kunden Sicherheitsanfragen gestellt werden müssen und wie die neuen Informationen vom Issuer im System technisch abgebildet werden können. Zur Klärung dieser Fragen empfehlen wir Händlern, das Gespräch mit ihrem jeweiligen Zahlungsdienstleiter zu suchen, der ihnen genau erklären kann, welche die nächsten Schritte für ihr Business sein sollten.
Für die Umstellung benötigt der Händler einen guten Payment-Partner, der 3DS2-Lösungen bereitstellt. Hand aufs Herz: Welcher kleine Online-Händler soll sich das leisten können?
Pauschal lässt sich die Frage nach den Kosten dabei nicht beantworten, da diese von der Art der Integration der 3DS2-Lösung (standalone vs. über den bestehenden Zahlungsabwickler), Größe des Abwicklungsvolumens und Ressourcenverfügbarkeiten auf Seiten des Händlers abhängt. Um Händlern jeder Größe eine zuverlässige Lösung anzubieten, haben wir bei Adyen beispielsweise auch unsere Payment-Plugins für Partnerplattformen 3DS2-ready gemacht, um den Aufwand für diese Händler gering zu halten. Kleinere Händler, die zukünftig nicht 3DS2-konform sind, müssen sich Gedanken machen, welche Auswirkungen das auf ihren Umsatz durch Autorisierungsausfälle oder erhöhtes Betrugsrisiko hat.
Für Händler jeder Größe gibt es Möglichkeiten im Markt, die Umstellung zu bewerkstelligen.
Müssen Händler ihrer Einschätzung nach Umsatzausfälle fürchten, wenn die Banken noch nicht für SCA bereit sind?
Wir versuchen grundsätzlich immer die Transaktionsroute für unsere Händler zu finden, die die beste Chance auf eine Autorisierung hat und reibungslos für den Kunden verläuft. Durch den Einsatz des Sicherheitsverfahrens liegt die Verantwortung im Betrugsfall nun nicht mehr beim Händler, sondern beim Issuer. Diese Verschiebung des Risikos wird Haftungsumkehr (Liability-Shift) genannt. Mit der Umsetzung von PSD2 muss der Großteil der Online-Transaktionen über 3DS2 abgesichert werden, so dass viele Händler von der Haftungsumkehr profitieren können bis alle am Bezahlprozess beteiligten Instanzen die neuen Sicherheitsanforderungen umgesetzt haben.
Bereits eine Weile war klar, dass die kommende Verpflichtung zu SCA für tiefgreifende Änderungen im Payment-Sektor führen würde. Sehen Sie Deutschlands Banken und Händler wenigen Wochen vor Start mittlerweile gut aufgestellt oder erwarten Sie das große Chaos?
Wir sehen unsere Kunden optimal aufgestellt und die Aufmerksamkeit für das Thema in den letzten Monaten lässt hoffen, dass insgesamt viel für die bevorstehende Umstellung getan wurde. Für uns ist es von außen schwer einzuschätzen, was die Banken in dieser Frage unternommen haben.
Halten Sie die Öffentlichkeit bzw. die Kunden ausreichend über den kommenden Prozess informiert oder wird es bei den Händlern zu höheren Kaufabbrüchen kommen, weil auch der Kunde nicht weiß, was zu tun ist?
Den Vorgänger 3DS1 gibt es schon lange Zeit, sodass so mancher Kunde mit dem zusätzlichen Sicherheitsschritt vertraut sein dürfte. 3DS2 ist die Weiterentwicklung dessen und stellt eine Verbesserung des Zahlungsprozesses für den Kunden dar: Zum einen entfällt die Weiterleitung auf eine Seite außerhalb der Onlineshop-Umgebung, wie es bei 3DS 1 noch üblich war.
Stattdessen spielt sich nun der gesamte Zahlungsprozess auf der Händlerseite ab. Zum anderen wurden Sicherheitspasswörter öfter vergessen und der Kaufvorgang konnte nicht abgeschlossen werden. 3DS 2 ist im Vergleich zu 3DS 1 auch für Zahlungen über Smartphones ausgelegt, und erleichtert es den Kunden, innovative Authentifizierungsmethoden über mobile Apps zu nutzen.
Wichtig ist, dass der Händler den Vorgang im Checkout wiederum für seine Kunden so komfortabel wie möglich gestaltet und sie aufklärt, dass in Zukunft der Bezahlprozess sicherer wird und welche Veränderungen zu erwarten sind. Zalando hat beispielsweise ein Video veröffentlicht, das die Veränderungen beim Checkout für seine Kunden anschaulich schildert.
