Eine der wichtigsten Triebfedern der PSD2-Verordnungen war der Wunsch, Verbraucher gegen Missbrauch und Betrug zu schützen indem digitale Zahlungen für „Card Not Present“-Transaktionen (CNP) durch starke Kundenauthentifizierung (SCA) gesichert werden. Laut dem 7. Bericht der EZB über Kreditkartenbetrug resultieren 80 Prozent des Kartenbetrugs im Jahr 2019 aus CNP-Transaktionen, was zu geschätzten Fraud Verlusten in Höhe von 1,50 Milliarden Euro führt.
SCA macht potenziellen Betrügern das Leben schwer, indem es beim Abschluss des Kaufvorgangs eine Identitätsprüfung der Kunden einführt. Diese Kontrollen können zwar in einigen Fällen Betrug verhindern, sind aber nicht zu 100 Prozent wirksam. Raffinierte Betrüger können immer noch Wege finden, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen, die in der Regel durch 3-D Secure (3DS)-Prüfungen aktiviert wird. Eine Möglichkeit zur Umgehung von 2FA besteht beispielsweise darin, Handynummern zu fälschen, um Einmal-Passcodes (OTPs) abzufangen, die zur Überprüfung von Transaktionen benötigt werden.
Genauso wie nicht jeder Betrugsversuch durch SCA blockiert wird, ist nicht jeder durch SCA blockierte Datenverkehr zwingenderweise ein Betrugsversuch. Händler sind zu Recht besorgt über die Akzeptanz von SCA, da sie zu erheblichen Reibungsverlusten bei der Kaufabwicklung führt und sich somit negativ auf Konversionsraten auswirkt. Viele legitime Kunden werden eine Transaktion nicht fortsetzen, wenn der Aufwand zu groß ist und sie zum Beispiel dafür aufstehen und den Raum verlassen müssen, um eine 2FA-Anfrage auf ihrem Smartphone zu beantworten. Zusätzlich bietet eine 2FA-Anfrage den Kunden eine weitere Gelegenheit, ihren Kauf möglicherweise zu überdenken.
PSD2 erlaubt es, viele Transaktionen von der SCA auszunehmen, wenn der Zahlungsdienstleister des Händlers über ein effektives Risikoanalyse-Tool verfügt – eines, das feststellt, ob Transaktionen ein Risiko darstellen oder nicht. Auf diese Weise kann der Händler seinen Kunden ein reibungsloses Bezahlerlebnis bieten.
Risikoarme Kaufvorgänge durch Transaktionsrisikoanalyse
Die Methode zur Ermittlung risikoarmer Kaufvorgänge wird Transaktionsrisikoanalyse (TRA) genannt und kann bei der Einhaltung der SCA-Anforderungen sehr nützlich sein. TRA kann bei Transaktionen unter 500 Euro eingesetzt werden – allerdings nur, wenn der Acquirer, der die Ausnahmeregelung anwendet, eine niedrige Betrugsrate aufweist. Bei Transaktionen unter 100 Euro sollte die Betrugsquote unter 13 Basispunkten liegen (mit anderen Worten: weniger als 0,13 Prozent der Transaktionen eines Acquirers dürfen Betrug ausmachen). Je höher der Transaktionswert ist, desto niedriger ist die zulässige Betrugsrate.
Selbst wenn der Acquirer eine Transaktion als von der SCA ausgenommen kennzeichnet, hat nach der TRA der Kartenaussteller das letzte Wort darüber, ob eine Transaktion genehmigt wird oder nicht. Ebenfalls kann Einfluss auf die Genehmigungsrate genommen werden, wenn Transaktionen von mehr als einem Zahlungsdienstleister weitergeleitet werden. Händler, die ihre Ausnahmeregelungen durch den Einsatz der TRA und mehrerer Zahlungsdienstleister optimieren, sind dadurch in der Lage, den Gegenwind, den PSD2 für ihr Geschäft mit sich bringt, besser zu bewältigen.
Der Faktor Compliance
Die gängigste Methode für Händler, die SCA-Anforderungen zu erfüllen, war die Verwendung von 3DS für Transaktionen im Geltungsbereich. 3DS zwingt den Kunden seine Identität während der Zahlung zu verifizieren. Die geforderte Identitätsprüfung kann auf unterschiedliche Weise erfolgen, wie durch Einmal-Passcodes (OTP) per SMS, eine Passwort-Abfrage, oder einer Fingerabdruck-Erkennung. Die beiden häufigsten Ansätze die Händler gewählt haben, um die SCA-Anforderungen zu erfüllen, sind jede Transaktion an 3DS zu senden oder zu versuchen, jede Transaktion von 3DS auszunehmen. Beide Strategien führen allerdings zu suboptimalen Ergebnissen.
Jede Transaktion an 3DS zu senden bedeutet, dass die Reibungsverluste im Zahlungsprozess größer sind als nötig, dass immer mehr Kunden ihre Einkäufe abbrechen und dass die Möglichkeit besteht, dass 3DS versagt. Der Versuch, jede Transaktion auszunehmen, geht fälschlicherweise davon aus, dass nicht zulässige Transaktionen nur einen vorläufigen sogenannten „Soft Decline“ durch den Issuer erhalten, die es dem Acquirer ermöglicht, die Transaktion über 3DS umzuleiten. Dies ist nicht der Fall, tatsächlich wird nämlich meist die Anzahl der endgültigen „harten“ Ablehnungen erhöht. Reibungsverluste bei der Bezahlung senken dadurch die Konversionsrate von Warenkörben und führen insgesamt zu einem Verlust an abgeschlossenen Transaktionen und Einnahmen.
Konversionskiller statt Fraud-Schutz
Untersuchungen von Forter zeigen, dass einige Händler in Deutschland bis zu 40 Prozent ihrer Transaktionen verlieren, wenn 3DS eingesetzt wird. Diese fehlgeschlagenen und abgebrochenen Transaktionen beinhalten unweigerlich auch Betrugsversuche, aber es stellt sich die Frage: Wie viele dieser Transaktionen sind eigentlich legitim und werden fälschlicherweise blockiert?
Händler verlieren in einigen Fällen 26-39 Prozent der Transaktionen, bei denen 3DS angewendet wird. Nicht jeder Kunde wird versuchen, den Bezahlprozess erneut durchzuführen, was für die Händler einen erheblichen Umsatzverlust bedeuten kann. Manchmal scheitern legitime Kunden bei der 3DS-Anfrage aufgrund von sogenannten „False Declines”, die durch menschliche und technische Fehler entstehen können. Zum Beispiel könnte ein Kunde den falschen Passcode eingeben oder das OTP nicht erhalten, bevor es abläuft, was zu eben solchen False Declines führt. Eine Umfrage ergab, dass 33 Prozent der Kunden nicht wieder bei einem Händler einkaufen, nachdem sie einen False Decline erlebt haben. Unsere Untersuchungen haben außerdem ergeben, dass Händler durch False Declines bis zu 75-Mal mehr Umsatz verlieren können als durch Betrug.
Das Ende des Betrugsgeschehens?
PSD2 ist kein Allheilmittel wenn es um Betrug geht. Wenn Betrüger auf Hindernisse für eine bestimmte Art von Betrug stoßen, werden sie ihre Aufmerksamkeit auf andere Betrugsarten richten. Ihr Anreiz oder ihre Motivation für die Begehung von Betrug – ihr Betrugsdruck – wird sich ändern.
Wir haben Daten von PSD2-Transaktionen vor der Durchsetzung (2020) mit Transaktionen nach der Durchsetzung (2021) verglichen und festgestellt, dass alternative Zahlungsmethoden (APMs) wie Gutscheinkarten im Jahresvergleich 60 Prozent mehr Betrugsdruck von Betrügern erhalten haben. Darüber hinaus ist der Betrugsdruck bei Rücksendungen von nicht erhaltenen Artikeln (INR) um 30 Prozent gestiegen. Es ist klar, dass Betrüger ihren Fokus auf andere Schwachstellen verlagern, was bedeutet, dass Händler mehr denn je die gesamte Customer Journey untersuchen und schützen müssen.
Eines der attraktivsten Merkmale von 3DS ist, dass sich die Haftung für betrügerische Rückbuchungen von den Händlern auf den Kartenaussteller verlagert. Für Rückbuchungen nach 3DS 2.0 müssen zwei Kriterien erfüllt sein: (1) dass die Transaktion erfolgreich authentifiziert wurde und (2) dass die Rückbuchung auf Betrug beruht. Wie bereits erwähnt, wird ein Händler, der 3DS auf alle Transaktionen anwendet, einen Rückgang seiner Umsätze verzeichnen, was zu geringeren Einnahmen und Gewinnen führen kann. Der Händler kann jedoch Technologien wie Smart 3DS einsetzen, die 3DS nur dann anwenden, wenn es notwendig ist. Smart 3DS erkennt Fälle, in denen 3DS wahrscheinlich zu einer verweigerten Autorisierung führen würde, und empfiehlt, bei diesen Transaktionen keine Ausnahme zu machen. Dies ermöglicht es den Händlern ein reibungsloses Einkaufserlebnis zu schaffen, wo immer dies möglich ist.
Fazit
Die Auswirkungen der PSD2 auf den Betrug sind gemischt. Einerseits erhöht die SCA-Anforderung die Sicherheit bei CNP-Zahlungen (aber auch die Friction beim Einkaufen), aber sie verhindert nicht alle Formen von Betrug. Zweitens haben Händler angesichts der hohen Anzahl fehlgeschlagener und abgebrochener Transaktionen zweifellos Szenarien erlebt, in denen sie mehr Umsatz durch fehlgeschlagene und abgebrochene 3DS-Transaktionen als durch Betrug verloren haben. Und schließlich sehen wir, dass sich der Betrugsdruck verlagert, aber insgesamt nicht wesentlich sinkt. Durch PSD2 sind Reibungsverluste entstanden, es wurde aber keine vollständige Lösung zur Betrugsverhinderung geschaffen.
