…und was ist wichtig zu wissen?
In diesem Artikel möchte ich einmal aus der bei paymentandbanking so beliebten Vogelperspektive auf die Bodenperspektive wechseln – und ein wenig Payment Know-How aus Händlersicht vermitteln. Das Thema ist 3D Secure – aus Händlersicht ein eigentlich eher unbeliebtes Thema, welches aber in bestimmten Szenarien durchaus nützlich sein kann. Zusätzlich soll bald auch ein Geschwisterchen (3D Secure 2.0) dazu kommen und auch darauf werde ich kurz eingehen. Ein Gastbeitrag von Moritz KönigsbüscherDie Idee
3D Secure ist das Verfahren, welches unter klangvollen Namen wie “Verified by Visa”, “Secure Code” (MasterCard) und “Safe Key” (Amex) benutzt wird. 3D Secure wurde bereits im Jahr 2000 konzipiert – viele Jahre bevor Smartphones erfunden wurden. Das Ziel von 3D Secure ist, Kartenzahlungen im Web sicherer zu machen. Dabei wird der Karteninhaber authentifiziert, indem er ein Merkmal (Passwort, SMS-Token, etc.) eingibt, welches nur er und seine Bank, bei der er seine Karte führt, kennt. Damit soll verhindert werden, dass Käufe mit gestohlenen Kreditkarten autorisiert werden können – in der Annahme, dass Fraudster dieses Merkmal zwischen Karteninhaber und Bank in der Regel nicht kennen. Mit 3D Secure einher geht die sogenannte Haftungsumkehr (liability shift), welche für den Händler durchaus vorteilhaft ist: Wenn es trotz des Einsatzes von 3D Secure zu einem Chargeback mit Betrugs-Hintergrund kommt, haftet die Karten führende Bank für den Schaden. Das hat dabei zwei positive Effekte für den Händler: Zum einen muss er den entsprechenden Betrag nicht zurückerstatten und zum anderen zählt der Chargeback auch nicht zur Berechnung der recht strengen Obergrenzen von Chargebackquoten von VISA und MasterCard. Die Quoten-Obergrenzen für Fraud gelten dann aber weiterhin – diese sind aber auch weniger streng. Hier ist aber auch wichtig zu wissen, dass die Haftungsumkehr bei 3D Secure eben nur für betrügerische Transaktionen gilt. Chargebacks aufgrund von schlechtem oder keinem Service seitens des Händlers, Chargebacks aufgrund von Abozahlungen trotz bereits gekündigtem Abo etc. fallen nicht unter die Haftungsumkehr und können so durch 3D Secure nicht vermieden werden.Brauchen wir das?
Die spannende Frage zu 3D Secure ist: Brauchen wir das eigentlich? Die Enttäuschung dabei gleich zu Anfang: Die Frage ist nicht mit einem einfachen Ja oder Nein zu beantworten. Am Ende sind es zwei Metriken, die in Balance gehalten werden müssen, nämlich Conversion und Chargebacks. Oder anders ausgedrückt: Geringerer Umsatz aufgrund von schlechterer Conversion vs. höhere Kosten durch Chargebacks (inkl. dem Risiko, die erlaubten Chargebackquoten der Schemes zu überschreiten) Folgende Parameter sind bei der Entscheidung für oder gegen 3D Secure zu beachten:- Vertrautheit des Endkunden mit dem 3D Verfahren
Je vertrauter der Endkunde mit dem Verfahren ist, desto weniger wird die Conversion negativ beeinflusst
- Viele Banken verwenden hinterlegte Passwörter für die Authentifizierung des Kunden. Wenn der Kunde nur selten im Web einkauft oder das 3D Verfahren generell nur selten verwendet wird ist die Chance hoch, dass der Kunde sich nicht mehr an das Passwort erinnert. Das führt dann zum Kaufabbruch oder im besten Fall zu einem aufwändigen Passwort-Recovery Prozess.
- Die Nutzung bzw. die Verbreitung von 3D Secure ist vom Land abhängig, aus welchem der Kunde kommt. Nach einer Studie von Adyen wurde die durchschnittliche Conversion-Rate bei UK-Händlers um 3% verbessert. Aber auch da ist das Ergebnis nicht allgemeingültig: Bei Käufen mit Debit-Karten war die Verbesserung deutlich, bei Käufen mit Business-Karten war die Conversion schlechter.
- Die Usability des 3D-Verfahrens Je schlechter die Usability, desto schlechter die Conversion. Beispiele für schlechte Usability:
-
- Üblicherweise ist der 3D-Dialog in einem iFrame auf der Seite des Händler eingebunden. Dadurch kann der User nur umständlich erkennen, von wo der Dialog tatsächlich kommt.
- Implementierung des 3D Screens als Popup Fenster. Per Default verhindern die allermeisten Browser das automatische Öffnen von popups. Unterdrückte popups sind teilweise kaum erkennbar und führen zu Verwirrung beim User. Im schlimmsten Fall probiert der User die Zahlung erneut und mehrfach, bis die beim Händler hinterlegten Fraud-Checks die Zahlung aufgrund von zu vielen Fehlversuchen ohne Ausnahme ablehnen.
- Verwendung von Styles (Schriftgrößen, Farben, …), die komplett anders aussehen, als die der vorausgehenden Webseite des Händlers.
- Keine Optimierung für Mobilgeräte. Im schlimmsten Fall werden bei mobiler Nutzung Texte nicht angezeigt oder abgeschnitten, und wichtige Elemente wie Eingabefelder oder Submit-Buttons werden bzw. sind nicht sichtbar.
- Unklarheit beim User, was im nächsten Schritt passiert, bzw. wann denn nun die Zahlung abgeschlossen ist?
- Die Art und die Menge von Chargebacks
Da 3D Secure diejenigen Chargebacks verhindert, die aufgrund von Betrug entstanden wären, sollte natürlich eine ausreichende Menge an Betrugs-Chargebacks vorhanden sein, damit 3D Secure hilft. Das ist dann der Fall:
- Wenn sich die Chargebackquote in Richtung der magischen 1%-Marke bewegt und die Betrugs-Chargebacks mindestens ca. 20% aller Chargebacks ausmachen.
- Wenn die 1%-Marke noch nicht in Sicht ist, und die Kaufbeträge hoch sind, die Ware bereits versendet und die Marge niedrig ist.
- Wenn die Chargeback-Gebühren in keinem Verhältnis zum tatsächlichen Kaufbetrag stehen, z.B. bei Online-Abos mit Transaktionsbeträgen unter 10 EUR
- Manche PSPs / Acquirer bepreisen 3D Secure-Transaktionen günstiger als nicht-3D Secure Transaktionen, bzw. berechnen einen Aufschlag, wenn 3D Secure nicht verwendet wird. Früher wurden tatsächlich 3D Secure Transaktionen durch geringere Interchange-Fees seitens VISA und MasterCard incentiviert, heute allerdings gibt es kaum noch Unterschiede. Offenbar aus historischen Gründen bleiben diejenigen PSPs / Acquirer dabei.
Einsatz von 3D Secure
Letztendlich hängt der Einsatz von 3D Secure davon ab, wie groß das Chargeback-Problem ist bzw. erwartet wird und wie viel Umsatzverlust der Händler durch die grundsätzlich schlechtere Conversion hinnehmen möchte. Es gibt aber auch Ansätze, um eine Entscheidung pro/contra 3D Secure smarter zu gestalten. Basis zu allen Ansätzen ist, dass jeder Karten-Akzeptanzvertrag sowohl den Einsatz von 3D Secure erlaubt wie auch das Abwickeln von Transaktionen ohne 3D Secure:- A/B Tests A/B-Test sind der beste Weg, Veränderungen von relevanten Metriken (hier: Conversion und Chargebacks) zu messen und gegen eine Kontrollgruppe (kein 3D Secure) zu setzen. Nachteil ist allerdings, dass zum Erlangen einer statistischen Relevanz eine große Zahl an Transaktion prozessiert werden muss und/oder ein langer Betrachtungszeitraum gewählt werden muss.
- Dynamisches 3D Secure Bei dynamischem 3D Secure werden Regeln definiert, die abhängig von Kriterien (z.B. Höhe des Betrages, Land des Users, Fraudscore etc.) entscheiden, ob der 3D Secure Prozess verwendet werden soll oder nicht. Diese Entscheidungen können beim PSP konfiguriert werden. Wenn der PSP das nicht unterstützt, kann der Händler auch mit einfachen Regeln die Entscheidungen selber treffen.
- Ausnutzen der “Enrollment” Info Im (technischen) 3D-Secure Prozess wird immer zunächst abgefragt, ob die entsprechende Karte bereits mit 3D Secure verwendet wird (dann ist sie “Enrolled”) Ist sie das nicht, kann sie trotzdem über den 3D-Secure Vertrag abgewickelt werden, so dass dann auch die Haftungsumkehr gilt. Es ist also möglich, die Vorteile von 3D zu nutzen, ohne alle Nachteile zu haben. Eine Karte mit dem Status “Enrolled” würde dann über den Nicht-3D Vertrag abgewickelt, und so die Anzahl an Fraud-Chargebacks reduziert, wenn auch nicht vollständig verhindert. Das ist so aber nicht im Sinne der Schemes, und vermutlich ist es auch von deren Seite untersagt.
Ausblick: 3D Secure 2.0
Die nicht ganz unerheblichen Probleme von 3D Secure und die leicht angestaubten technischen Lösungen haben die Schemes dazu bewogen, mit 3D Secure 2.0 eine neue Version zu schaffen. Damit soll 3D Secure zum einen alle relevanten Endgeräte unterstützen und in Bezug die Authentifizierung sollen Lösungen angeboten werden, die auch heute schon Beste Practices vor allem im eCommerce sind. Die wichtigsten Änderungen sind dabei:- 3D Secure 2.0 ist sowohl für den Einsatz im Web als auch in Apps geeignet. Hierzu werden eigene SDKs zur Verfügung gestellt. Ziel ist auch, die User-Interfaces für Web, Mobile-Web und Native Apps zu harmonisieren.
- Die Möglichkeiten zur Authentifizierung der Karteninhaber wurden erweitert und beinhalten nun Token (z.B: SMS-PIN), Biometrie, Beantworten von multiplen Fragen und die dynamische Verwendung von Bildern.
- Von den Endgeräten können Deviceinformationen an den Issuer übermittelt werden, der dann risikobasierte Entscheidungen treffen kann. Wie ein solches Device-Fingerprinting im Kontext Händler, PSP und Issuer im Bezug auf das Datenschutzrecht zu sehen ist, ist aber noch nicht wirklich klar.