SCA (Strong Customer Authentication), zu Deutsch die starke Kundenauthentifizierung soll die Verbrauchersicherheit beim Online-Bezahlvorgang stärken – so sieht es die Europäische Union mit ihrer PSD2-Richtlinie vor.
Die starke Kundenauthentifizierung für Online-Zahlungen mit Kreditkarten sollte im September 2019 vollständig in Kraft treten. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gewährte der Branche aber im Einklang mit anderen EU-Regulierungsbehörden zusätzlich Zeit bis zum Ende dieses Jahres zur Umsetzung der neuen Richtlinien.
Im Gegensatz zu dem bisher geltenden einstufigen Authentifizierungsverfahren werden die meisten Online-Zahlungen nach dem SCA-Verfahren nun eine „Zwei-Faktor-Authentifizierung“ erfordern. Ziel dieser neuen Regeln ist es, Authentifizierungen sicher zu machen – nicht nur für Kunden und Finanzdienstleister, sondern auch für Händler. Die Kundenauthentifizierung nach SCA setzt auf das Zusammenspiel verschiedener Faktoren zum Identitätsnachweis:
- Wissen (z. B. Passwort, PIN oder TAN)
- Besitz (z. B. Telefon)
- Inhärenz (höchstpersönliches Merkmal wie z.B. der Fingerabdruck)
American Express ist bei der Umsetzung der Starken Kundenauthentifizierung (SCA) in Europa technisch weit fortgeschritten. Die Mehrheit unserer Online-Händler ist in der Lage, die neuen Vorgaben technisch zu bewältigen.
Die wichtigste EU-weite Frist für die Umsetzung der Richtlinie bleibt das Ende des Jahres, obwohl die Industrie auf die Herausforderung hingewiesen hat, die die Coronakrise (insbesondere für kleinere Händler) bei der Einhaltung dieser Frist geschaffen hat. Positiv zu bewerten sind eine Reihe von Diskussionen einiger EU-Länder, um potenzielle Störungen durch eine schrittweise Umsetzung der Regeln zu minimieren. Im Idealfall gäbe es dazu einen auf einander abgestimmten europäischen Plan. Bisher hat sich dieser aber noch nicht herauskristallisiert.
Großer Handlungsbedarf bei Händlern
Da die Zeit drängt, lautet unsere Empfehlung an unsere Handelspartner seit vielen Monaten, sich so schnell wie möglich auf die neuen Richtlinien vorzubereiten, indem sie SafeKey (unsere 3D-Sicherheitstechnogie) aktivieren lassen und testen.
Die große Herausforderung der starken Kundenauthentifizierung besteht jedoch darin, dass dies eine gemeinsame Anstrengung aller Beteiligten ist: Händler müssen die Sicherheitstechnologien aktivieren und nutzen. Kunden müssen bereit sein, sich zu authentifizieren, und ein breites Spektrum von Dritten (insbesondere in komplexen Branchen wie der Reiseindustrie) muss Maßnahmen ergreifen, die sicherstellen, dass die technischen Systeme wie gewünscht funktionieren. Auch wir sind von der breiteren Branchendynamik abhängig.
Die Umstellung zum Jahreswechsel dürfte in der gesamten Branche sehr holprig verlaufen. Durch die aktuelle Coronakrise ist die Umsetzung von SCA bei Händlern erheblich ins Stocken geraten. In den vergangenen Monaten lag die erste Priorität vieler darin, ihr Geschäft aufrechtzuhalten. Die Umstellung auf die SCA-Richtlinie rückte hier verständlicherweise in den Hintergrund. Viele Händler haben zudem derzeit keine Ressourcen für die notwendigen technischen Implementierungen, damit Transaktionsablehnungen nach dem 31. Dezember 2020 vermieden werden. Selbst wenn Händler glauben, dass sie technisch bereit sind und sich zur Anwendung der neuen Regeln verpflichtet haben, können unerwartete Probleme auftauchen, die ihre Fähigkeit zur Annahme von Kartenzahlungen stören. Dies haben Tests in verschiedenen Ländern gezeigt.
Die Tatsache, dass eine Vielzahl unterschiedlicher nationaler Pläne entstehen, erhöht ebenfalls das Risiko einer Beeinträchtigung des Zahlungsverkehrs. Wir befürworten zwar jede zusätzliche Flexibilität und sehen einen großen Vorteil in Plänen für stufenweise Tests, wie sie in Ländern wie Frankreich und Belgien eingeführt wurden, aber: die Tatsache, dass ein Händler in Deutschland (oder einem anderen EU-Land) mit unterschiedlichen Regeln umgehen muss, je nachdem, aus welchem EU-Land sein Kunde kommt, zeigt, dass wir zumindest im Zahlungsverkehr noch weit vom Ideal eines echten Binnenmarktes entfernt sind.
Die deutsche Finanzaufsichtsbehörde Bafin hat eine detaillierte Branchendiskussion vorangetrieben, um die Risiken in Deutschland zu bewerten und zu prüfen, was zu deren Minimierung getan werden muss. Der proaktiven Ansatz der Bafin ist ermutigend und wir hoffen weiterhin, dass das Ergebnis dieser Analyse zu einer koordinierten Übergangsphase von drei bis sechs Monaten führen wird, wie sie in anderen EU-Ländern in Erwägung gezogen wird. Im Idealfall kann dieser Stufenplan mit der deutschen Führung auf europäischer Ebene abgestimmt werden.
Das Ziel ist unterstützenswert, jetzt zählt das Ergebnis
Autor: Sonja Scott, Country Manager American Express Deutschland.
Auch wenn der Übergang wahrscheinlich holprig sein wird, das Ziel der starken Kundenauthentifizierung, Betrug zu reduzieren, ist lobenswert.
In einer Zeit, in der die Händler bereits vor extremen wirtschaftlichen Herausforderungen stehen, wäre es enttäuschend, wenn technische Vorschriften die Händler zwingen würden, Umsätze in zweistelliger Millionenhöhe zu verlieren. Dies führt nicht nur zu wirtschaftlichen Verlusten für die Händler, sondern betrifft auch die Verbraucher und gewerblichen Nutzer, denen wahrscheinlich nicht bewusst ist, warum es zu Schwierigkeiten beim Bezahlen mit der Karte kommt.
Wir vertrauen darauf, dass die nationalen Regulierungsbehörden und die European Banking Authority den richtigen Weg finden werden, um bei der Umsetzung der starken Kundenauthentifizierung SCA zu unterstützen sowie das Risiko für die Händler in den nächsten entscheidenden Monaten zu minimieren, wenn sich die Wirtschaft von der zweiten Corona-Welle erholen könnte.
