SCA: So wirkt sich die neue europäische Richtlinie über Zahlungsdienste (PSD2) auf Abonnement-Unternehmen aus
Zuletzt bearbeitetJuni 2024 Lesezeit 3 min.
Im September 2019 wird in Europa eine neue Verordnung über die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) zum Authentifizieren von Online-Zahlungen als Teil der zweiten Zahlungsdiensterichtlinie (Second Payment Services Directive, PSD2) eingeführt.
Eines der Hauptziele der SCA ist die Eindämmung von Betrug sowie die Verbesserung der Sicherheit im Zahlungsverkehr durch Einführen einer Zwei-Faktoren-Authentifizierung bei elektronischen Zahlungen.
Welche Arten von Transaktionen sind betroffen?
Die Verordnung tritt am 14. September 2019 in Kraft und wird sich auf alle Unternehmen auswirken, die Online-Zugriff auf Zahlungskonten in Europa gewähren oder elektronische Zahlungen einziehen, die vom Zahler ausgelöst werden.
Für den Lastschrift-Zahlungsdienst von GoCardless gilt die SCA derzeit nicht. Das liegt daran, dass Zahlungen über GoCardless durch den Zahlungsempfänger ausgelöst und Einzugsermächtigungen ohne direkte Interaktion des Zahlers mit seiner Bank eingerichtet werden.
Welche Transaktionen sind also von der SCA betroffen?
In erster Linie sind Kartenzahlungen betroffen, die online getätigt werden. Ab nächstem Jahr müssen alle elektronischen Einzelzahlungen anhand von mindestens zwei der drei folgenden Elemente authentifiziert werden:
Wissen: Etwas, das nur der Nutzer kennt, z. B. ein Kennwort.
Besitz: Etwas, das nur der Nutzer besitzt, z. B. ein Token oder ein Mobiltelefon.
Inhärenz: Etwas, das dem Nutzer persönlich oder körperlich zu eigen ist, z. B. ein Fingerabdruck.
Aus der EHI-Studie „Online-Payment 2018“ geht hervor, dass inzwischen 82 % der Händler Kreditkartenzahlungen mittels sogenannten 3D-Secure-Verfahren (z. B. Verified by Visa oder Mastercard Secure Code) absichern. Lediglich 18 % der Händler verzichten grundsätzlich auf die Nutzung von 3D-Secure, im Vorjahr waren es noch 27 %.
Die SCA wird auch für einige kontaktlose Zahlungen gelten, umgesetzt in Form von regelmäßigen Überprüfungen, um sicherzustellen, dass die Zahlungskarte von ihrem rechtmäßigen Besitzer verwendet wird. Chip- oder PIN-basierte Kartenzahlungen in Geschäften erfüllen bereits die Vorschriften.
Wo stehen Abo-Dienstleister?
Für Abonnement-Unternehmen, die regelmäßig Kartenzahlungen einziehen, wird die SCA zumindest beim ersten Einrichten für wiederkehrende Kartenzahlungen gelten.
Ahmed Badr, Leiter der Rechtsabteilung bei GoCardless, erklärt: „Ab September werden Unternehmen, die Kartenzahlungen einziehen, feststellen, dass neue Kunden zusätzliche SCA-Authentifizierungsschritte durchlaufen müssen, um die erste Zahlung abschließen zu können. Noch ist umstritten, ob die SCA danach bei jeder Belastung der Karte durchgeführt wird – aktuelle Leitlinien der UK Financial Conduct Authority suggerieren, dass dies nicht der Fall sein wird. Es bleibt jedoch abzuwarten, wie die Vorgehensweise anderer Regulierungsbehörden der EU aussehen wird.“
In den meisten Fällen ermöglicht die Bank des Zahlers die Authentifizierung, während der Zahlungsdienstleister des Zahlers die zusätzlichen Schritte bei der Zahlungsabwicklung ermöglicht. Ist dies nicht der Fall, wird von den von der Verordnung betroffenen Zahlungsdienstleistern (z. B. Kartenanbietern) erwartet, dass sie die Authentifizierungsmechanismen selbst bereitstellen.
Auswirkungen auf Unternehmen
Jede Initiative zur Bekämpfung des gravierenden Problems mit Betrug im Zahlungsverkehr ist zu begrüßen, zumal die E-Commerce-Revolution keine Anzeichen für einen Abschwung erkennen lässt.
Einer Studie der Deutsche Bank Research zufolge entstand 2016 in Deutschland ein Schaden von 132 Mio. Euro durch etwa 800.000 betrügerische Kartenzahlungen. Der vergleichsweise größte Schaden entfiel auf den virtuellen Einsatz der Karte. Betrüger erbeuteten 87 Mio. Euro von insgesamt 38 Mrd. Euro, die über Internet oder Telefon mit Karte gezahlt wurden.
Die Auswirkungen der SCA dürften jedoch weitere Kreise ziehen als nur bis zur Zahl der Betrugsfälle. Sie könnte zudem Kosten und Konversionsrate von Unternehmen beeinflussen, so Duncan Barrigan, VP Product bei GoCardless.
„Noch können wir das volle Ausmaß der SCA nicht sehen, doch die Auswirkungen sind möglicherweise weitreichend. Unternehmen dürften weniger Rückbuchungen an Kunden verzeichnen und somit potenziell niedrigere Betriebskosten.“
„Es könnten jedoch höhere Kosten an anderer Stelle entstehen“, ergänzt er. „Eine Haftungsverlagerung z. B., bei der der Serviceanbieter des Zahlers für Kosten im Zusammenhang mit Betrug und Rückbuchungen aufkommen muss, könnte durchaus Kostensteigerungen nach sich ziehen.“
Der goldene Mittelweg zwischen geringem Risiko und hoher Konversionsrate
Während die Auswirkungen auf die Betriebskosten noch nicht ersichtlich sind, ist eine Vielzahl von Unternehmen besorgt darüber, dass die SCA die Konversionsrate in den Keller fallen lassen könnte. Die zusätzliche Zahlungsauthentifizierung kann für Unannehmlichkeiten beim Online-Erlebnis des Kunden sorgen, da sie extra Schritte beim Bezahlvorgang erfordert.
„Unternehmen, die Zahlungen online einziehen, müssen einen unaufhörlichen Balanceakt zwischen Risiko und hoher Konversionsrate ausführen“, so Duncan. „Auf der einen Seite könnte man das benutzerfreundlichste Angebot bereithalten – es wäre völlig problemlos zugänglich, aber auch anfällig für Betrug. Auf der anderen Seite könnte man den sichersten Service der Welt kreieren. Letztendlich wäre die Zugangsbarriere jedoch so hoch, dass niemand ihn nutzen will. Es ist wichtig, dass jedes Unternehmen seinen Mittelweg findet.“
Das bedeutet die SCA für GoCardless
Wie zuvor bereits erwähnt, gilt die SCA nicht für den Lastschrift-Zahlungsdienst von GoCardless. Wir werden Sicherheit und Betrugsvorbeugung jedoch nach wie vor sehr ernst nehmen. Das Risikomanagement-Team sowie das Produktteam von GoCardless setzen alles daran, die richtige Balance zwischen hoher Konversionsrate und Sicherheit für unsere Kunden zu schaffen.
„Wir sind der Ansicht, dass man mit Technologie und Daten die Kompromisse zwischen geringem Risiko und hoher Konversionsrate optimieren kann, die Händler eingehen müssen“, erklärt Duncan. „Bei GoCardless arbeiten wir an einer Zahlungserfahrung, die unseren Kunden ermöglicht, von diesen Fortschritten zu profitieren und gleichzeitig ihre Risikobereitschaft an ihre Geschäftsbedürfnisse anzupassen.“
„Einen Weg zu finden, das Risiko auf intelligente Weise zu senken und dabei die Konversionsrate so wenig wie möglich zu beeinträchtigen, ist für alle Beteiligten am lohnenswertesten“.
Weitere Informationen über die SCA finden Sie in unseren FAQs.
Sie möchten wiederkehrende Zahlungen akzeptieren?
GoCardless macht das Einziehen von wiederkehrenden Zahlungen zum Kinderspiel: für kleine und große Unternehmen.