Viele haben gezittert: Was wird am 14. September wohl passieren? Je näher das Datum der Einführung der Starken Kundenauthentifizierung rückte, desto größer wurde die Nervosität in der Branche. Und was ist passiert? Bislang nichts. Ohne weiter Nennenswertes trat die neue Regel in Kraft und außer Branchenkenner hätte es niemand wirklich gemerkt. Glück gehabt!
Ist die weiter anhaltende Laissez-faire Stimmung der Händler also berechtigt. Gründer für den laxen Umgang mit den neuen Vorgaben reichen von „zu komplex“ über „braucht kein Mensch“ bis hin zu „versaut uns die Conversion-Rate“. Nun hat die Europäische Bankaufsichtsbehörde hat einen gesamteuropäischen Aufschub für die vollständige Umsetzung von SCA bis zum 31. Dezember 2020 vorgeschlagen.
Denn: Wenn Händler jetzt nicht wichtige Entscheidungen und notwendigen Änderungen vornehmen, werden sie sich Ende 2020 doch die Augen reiben und feststellen, dass sie rechtmäßig getätigte Zahlungen verlieren und damit hohe Umsatzeinbuße hinnehmen müssen. Doch keine Panik: Mit einigen Tricks und Tipps können selbst auch kleine Händler, die über keine große IT-Abteilung verfügen, noch rechtzeitig fit zum Jahresende 2020 sein.
Ein Gastbeitrag von Felix Huber, Head of Central and Eastern Europe, Middle East, and Africa (CEEMEA), Stripe
Haben Sie am 14. September auch die Einführung der Starken Kunden-authentifizierung (Strong Customer Authentication, SCA) verpasst? Kein Wunder! Die offizielle Deadline ist ja auch ohne spürbare Änderungen oder Hindernisse für Konsumenten vorübergegangen.
Bei der SCA handelt es sich um eine vorgeschriebene Zwei-Faktor-Authentifizierung, die eingeführt wurde, um eine zusätzliche Sicherheitsebene zu gewährleisten, wenn Nutzer eine Online-Zahlung durchführen. Einmal umgesetzt, erfordert SCA also, dass die meisten Transaktionen im Netz durch mindestens zwei Faktoren verifiziert werden (Wissen, z. B. Passwort, Code, PIN; Besitz, z. B. Token, Smartphone; Biometrie, z. B. Fingerabdruck, Stimmerkennung).
Aber mehr als einen Monat nach Inkrafttreten kaufen Verbraucher in ganz Europa weiterhin wie gewohnt online ein. Der Grund dafür ist, dass die Europäische Bankaufsichtsbehörde (EBA) im Juni einen Aufschub der SCA-Umsetzung ins Gespräch gebracht und nun gerade einen gesamteuropäischen Aufschub für die vollständige Umsetzung von SCA bis zum 31. Dezember 2020 vorgeschlagen hat.
Kleine Händler sind von SCA am stärksten betroffen
Eine 14-monatige Frist, in der sich alle Beteiligten auf die Umstellung statt auf die Durchsetzung konzentrieren, klingt erst einmal wie eine gute Nachricht für die Branche. Aber das ist nicht viel Zeit angesichts dessen, was für die europäische Wirtschaft auf dem Spiel steht. Wenn SCA heute in Kraft treten würde, könnte das für die europäische Online-Wirtschaft in den nächsten zwölf Monaten Kaufabbrüche in Höhe von rund 57 Milliarden Euro bedeuten. Kleine Unternehmen würden hierbei am härtesten getroffen werden. Denn bis zu drei von fünf Unternehmen mit weniger als 100 Mitarbeitern sind mit SCA noch nicht vertraut – und viele haben auch keine konkreten Pläne, in naher Zukunft SCA-konform zu werden.
Während die EBA das unmittelbare Risiko einer E-Commerce-Krise in Europa eingedämmt hat, müssen die Unternehmen jetzt sicherstellen, dass sie angemessen auf die radikalste Veränderung der Online-Zahlungslandschaft in den letzten Jahrzehnten vorbereitet sind.
Es steht nämlich Einiges auf dem Spiel: Die kartenausgebenden Banken werden Transaktionen einfach ablehnen, die nach dem Inkrafttreten von SCA nicht ordnungsgemäß authentifiziert werden. Händler, die nicht auf SCA vorbereitet sind und nicht die notwendigen Änderungen vorgenommen haben, um SCA-konform zu sein, werden also rechtmäßig getätigte Zahlungen, und damit Einnahmen, verlieren.
So können sich die Unternehmen auf SCA vorbereiten
Eine Möglichkeit für Händler, sich vorzubereiten, ist die Integration des Zahlungsstandards 3D Secure 2 (3DS2), einer nutzerfreundlichen und SCA-kompatiblen Authentifizierungsmethode. 3DS2 sorgt für eine dynamische Aktivierung von SCA für Transaktionen, die in den Anwendungsbereich der neuen Verordnung fallen könnten.
Die Mehrheit der europäischen Banken hat 3DS2 jedoch noch nicht in ihren Systemen implementiert und wird auf den älteren 3DS1-Standard zurückgreifen. Nach Branchen-schätzungen führt der Einsatz von 3DS1 – das nicht für den mobilen Handel optimiert ist – zu einem Rückgang der Umsätze für Unternehmen um 11 Prozent. Händler, die sich auf SCA-Konformität vorbereiten, können sich also nicht darauf verlassen, dass Banken 3DS2 nutzen.
„Händler, die sich auf SCA-Konformität vorbereiten, können sich nicht darauf verlassen, dass Banken 3DS2 nutzen.“
Eine weitere Möglichkeit ist die Optimierung für SCA-fähige Zahlungs-methoden wie Apple Pay, Google Pay oder ähnliche. Sie sind eine gute Möglichkeit, hohe Konversionsraten aufrechtzuerhalten und gleichzeitig die SCA-Anforderungen durch biometrische Verifikation zu erfüllen. Aber nicht jeder Kunde in Europa hat ein Smartphone, und nicht jede Bank in Europa, die Kreditkarten ausgibt, unterstützt Apple Pay oder Google Pay.
Schließlich gibt es noch einen dritten Weg für Händler: nämlich die kluge Anwendung der SCA-Ausnahmen und Analyse der abgelehnten Zahlungen. Die Verordnung war nie so konzipiert, dass für alle Transaktionen eine Zwei-Faktor-Authentifizierung erforderlich ist. Es gibt eine Reihe von Ausnahmen – zum Beispiel für Beträge, die unter 30 Euro liegen, oder wiederkehrende Zahlungen in jeweils gleicher Höhe. Für die eigene Conversion-Rate ist es wichtig, SCA nur anzuwenden, wenn dies wirklich erforderlich ist.
Die Herausforderung besteht hierbei darin, dass nicht alle Issuer die SCA-Ausnahmen gleich auslegen werden. Einige werden alle Ausnahmen anwenden, andere werden sie einfach komplett ignorieren. Die Händler werden keine Möglichkeit haben, das aus erster Hand zu erfahren. Für sie wird es daher auch entscheidend sein, abgelehnte Zahlungen in Echtzeit zu überwachen und ihre Prozesse entsprechend zu optimieren. Aufgrund der Anzahl der Issuer in Europa werden es Händler schwer haben, genau zu verstehen, was mit ihren abgelehnten Transaktionen passiert. Große Händler sollten Teams aufbauen, die sie überwachen und entsprechend reagieren.
Und kleine Händler werden sich die Daten wochenlang ansehen müssen, um ein klares Muster zu finden. Oder einen Zahlungsdienstleister finden, der sie hierin unterstützen kann.
Bleiben die Händler auf der Strecke?
Wenn Sie nun denken, dass das alles ziemlich komplex klingt, dann sind Sie damit sie nicht allein. Es war sicherlich auch so schon eine große Herausforderung für die Branche, sich auf SCA vorzubereiten. Regulierungsbehörden, Zahlungsdienstleister, Issuer, Händler usw. – jeder wird von der neuen Regulierung betroffen sein. Aber am Ende haben die Händler am meisten zu verlieren. Sie werden von ihren Kunden nach der Qualität der User Experience beurteilt. Wenn das Bezahlen zu komplex wird, oder schlimmer noch: wenn Zahlungen fehlschlagen, werden die Kunden ihren Kauf an anderer Stelle tätigen und möglicherweise nie wiederkommen.Man kann SCA auch als eine Chance sehen. Stripe hat die letzten zwei Jahre damit verbracht, in SCA-Tools zu investieren. SCA soll für die Kunden so einfach und nahtlos wie möglich vonstattengehen.
Daher haben wir viel Entwicklungsarbeit in die Optimierung des Zahlungsvorgangs gesteckt – vor allem aus dem Stripe-Entwicklungszentrum in Dublin heraus. Eine SCA-Prüfung soll nur ausgelöst werden, wenn diese auch wirklich erforderlich ist. Letztendlich wollen wir die Umsätze der Händler nicht nur schützen, sondern sie bestenfalls steigern helfen. Zumindest aber können wir helfen, die SCA-Anforderungen zu erfüllen.
„Wir wollen die Umsätze der Händler nicht nur schützen, sondern sie bestenfalls steigern helfen.“
Es ist dennoch alarmierend, dass trotz aller Berichterstattung zu SCA in den letzten Monaten immer noch zu viele Unternehmen nichts von der Richtlinie gehört, geschweige denn die Bedrohung für ihre Online-Umsätze erkannt haben. Aus unserer Sicht ist SCA weiterhin das wichtigste Thema, auf das sich die Branche in den nächsten 14 Monaten konzentrieren sollte. Ansonsten wäre der Aufschub umsonst gewesen.
Über den Autor:
Felix Huber leitet die Region Zentral- und Mitteleuropa, Naher Osten und Afrika (CEEMEA) bei Stripe. Zuvor war er als Engagement Manager bei McKinsey & Company tätig, wo er zahlreiche Projekte in den Bereichen Telekommunikation und Hightech betreute. Auch bei Google und als CTO bei fotocommunity war er tätig. Huber absolvierte ein Studium in Management Science & Engineering an der Stanford University, USA.