Alles, was Unternehmen über SCA wissen müssen

Erhalten Sie alle wichtigen Informationen über SCA, sowie wann und wo SCA angewendet wird.


Einige Hintergründe zu PSD2 (Payment Services Directive)

PSD2 ist die zweite EU-Zahlungsverkehrsrichtlinie.

Die Richtlinie stützt sich auf drei Schlüsselbereiche der Gesetzgebung, die erstmals mit der ursprünglichen Richtlinie von 2007 eingeführt wurden. Zu diesen Bereichen gehören die Stärkung der Verbraucherrechte im Zahlungsverkehr, die Schaffung gleicher Wettbewerbsbedingungen durch die Einbeziehung der Regelung des Zugangs Dritter zu Kontoinformationen sowie die Verbesserung der Sicherheit.

Die verbesserte Sicherheit bezieht sich speziell auf eine Reihe von Anforderungen, die als Strong Customer Authentication (SCA) bezeichnet werden. Diese Anforderungen haben weitreichende Auswirkungen auf jedes Unternehmen mit einer Online-Präsenz.

In diesem Leitfaden werden wir Ihnen SCA vorstellen und erklären, wer und was davon betroffen ist. Außerdem erfahren Sie, wie sich Unternehmen auf die Umsetzung der kommenden Anforderungen vorbereiten können.

Was ist Strong Customer Authentication (SCA)?

 

Strong Customer Authentication ist eine Reihe von anstehenden gesetzlichen Anforderungen, die darauf abzielen, das Bezahlen im Internet sicherer zu machen und somit Betrug zu reduzieren.

SCA bietet eine zusätzliche Sicherheitsebene, wenn Kunden eine Online-Transaktion vornehmen. Bisher konnten Kunden ihre Zahlungsdaten einfach eingeben und so ihren Kauf abschließen (obwohl einige Unternehmen schon heute freiwillig eine weitere Authentifizierung anfordern).

Die SCA ist eine Form der 2-Faktor-Authentifizierung, die sicherstellen soll, dass der Kunde der ist, der er behauptet zu sein. Dabei gibt es bestimmte Regeln für die Authentifizierung.

Es sind zwei Formen der Überprüfung, aus insgesamt drei verfügbaren Kategorien, erforderlich.

Wie funktioniert SCA?

Was ist ein Verfahren zur Authentifizierung?

Im Rahmen von SCA stehen drei Authentifizierungskategorien zur Verfügung. Innerhalb jeder Kategorie wiederum, gibt es eine Reihe von möglichen Methoden, die Authentifizierung durchzuführen.

Die drei Kategorien sind:

  • Wissen (etwas, das nur der Zahler kennt) - Beispiele sind ein Passwort, eine PIN oder eine geheime Antwort/Tatsache
  • Besitz (etwas, das nur der Zahler besitzt) - Beispiele sind sein Mobiltelefon, seine Smart Watch, seine Smart Card oder ein Token
  • Inhärenz (etwas, das nur der Zahler hat) - Beispiele sind ein Fingerabdruck, die Gesichtserkennung, ein Stimmmuster, die DNA-Signatur oder das Iris-Format

Erst wenn der Zahler zwei dieser Authentifizierungsformen zur Verfügung stellen konnte, darf er seine Zahlung abschließen.

strong customer authentication de

Am 21. Juni 2019 veröffentlichte die EBA eine neue Stellungnahme dazu, was ein konformes Element in jeder der drei möglichen Kategorien von Inhärenz, Besitz und Wissen sein kann. Die Stellungnahme beschrieb auch die zusätzlichen Anforderungen an die dynamische Verknüpfung und die Unabhängigkeit von Elementen.

Für welche Transaktionen ist SCA erforderlich?

SCA tritt in Kraft, um den Umgang mit Geld und Zahlungen im Internet sicherer zu machen und den Betrug bei Online-Transaktionen zu reduzieren. Generell gesprochen wird SCA dann erforderlich sein, wenn ein Kunde Geld überweist oder auf sein Konto zugreifen will.

Genauer gesagt ist :

  • Jedes Mal, wenn ein Kunde online auf sein Konto zugreift
  • Jedes Mal, wenn ein Kunde einen elektronischen Zahlungsvorgang einleitet
  • Jedes Mal, wenn ein Kunde Maßnahmen auf einem Remote-Kanal durchführt, die ein Risiko von Zahlungsbetrug oder anderem Missbrauch mit sich bringen können

Die Auswirkungen von SCA werden sehr wahrscheinlich am deutlichsten bei Kartenzahlungen und Banküberweisungen zu spüren sein. Der Grund dafür ist, dass Kartenzahlungen sofort erfolgen, vom Kunden initiiert werden und die Zahlung oder die Zustimmung zum Zugriff auf die Kontodaten sofort erfolgt – was ein Risiko mit sich bringt.

Doch es gibt eine Reihe von Ausnahmeregelungen, bei denen bestimmte Handlungen und Transaktionen keine SCA erfordern.

Ist SCA für wiederkehrende Zahlungen erforderlich?

Wenn Zahlungen von einem Kunden initiiert werden, ist die SCA nur für die erste Zahlung, in einer Reihe von wiederkehrenden Zahlungen der gleichen Höhe, erforderlich. Ändert sich der Betrag, muss auch die SCA erneuert werden.

Wenn der Händler, der das Geld erhält, Zahlungen veranlasst, wird SCA in der Regel (jedoch nicht bei Standardlastschriften) für die erste Zahlung in einer Reihe von wiederkehrenden Zahlungen benötigt. Solange die folgenden Zahlungen vom Händler veranlasst werden, ist keine weitere SCA erforderlich.

Das bedeutet, dass Abonnement-Unternehmen, SaaS-Unternehmen und Mitgliedschafts-Unternehmen sich auf SCA vorbereiten müssen.

Es gibt jedoch mehrere Ausnahmeregelungen für SCA, darunter einige, die Unternehmen mit wiederkehrenden Einnahmen zugute kommen werden.

Warum wird SCA eingeführt?

SCA ist Teil von PSD2 (Payment Services Directive). Eines der Hauptziele von PSD2 ist es, den Verbraucherschutz zu gewährleisten.

Seit der Einführung der ursprünglichen PSD-Richtlinie gab es neue technologische Fortschritte auf dem Markt des Zahlungsverkehrs, die zu einer Zunahme von sogenannten TPPs (Third Party Providers) führten. Diese TPPs bieten neue und innovative Möglichkeiten, um auf die Kontoinformationen der Verbraucher zuzugreifen und Zahlungen einzuleiten.

Toutefois, l’accès aux comptes des consommateurs crée un risque de sécurité accru. Ainsi, en contrepartie, la réglementation qui régit la façon dont les TPP et les fournisseurs de services de paiement obtiennent l’accès à ces comptes a été durcie.

Die Öffnung des Zugangs zu Verbraucherkonten auf diese Weise führt jedoch zu einem erhöhten Sicherheitsrisiko. Der Kompromiss ist eine strenge Regelung, auf welche Weise TPPs und Zahlungsdienstleister Zugang zu Konten erhalten.

Kurz gesagt: SCA zielt darauf ab, die Sicherheit der Kunden bei Online-Transaktionen zu verbessern und den Zahlungsbetrug zu reduzieren.

Die Kosten für Betrug

SCA wurde entwickelt, um Betrug bei Online-Transaktionen zu reduzieren. Aber wie viel Einfluss wird SCA haben?

Europol schätzte dass der Betrug mit nicht existierenden Karten, rund 66% von insgesamt 1,44 Milliarden Euro ausmachte, die durch betrügerische Kartentransaktionen anfielen. 2016 berechnete die Europäische Zentralbank (EZB) die Gesamtkosten des Betrugs mit Kartenzahlungen auf insgesamt 1,8 Milliarden Euro. Das Vereinigte Königreich, Frankreich und Dänemark litten dabei unter den höchsten Raten von Kartenbetrug.

Allein im Vereinigten Königreich wurden 2017, 2 Milliarden Pfund von Kredit- und Debitkarten gestohlen – rund 28% der Menschen im Land wurden Opfer von Online-Zahlungsbetrug.

Jede Verringerung der Betrugsrate könnte zu erheblichen Einsparungen in ganz Europa führen.

Wann und wo tritt SCA in Kraft?

SCA (als Teil von PSD2) ist eine europaweite Verpflichtung und wird für jede Transaktion benötigt, bei der sowohl der Zahlungsdienstleister des Unternehmens, als auch die Bank oder der Kartenanbieter des Auftraggebers ihren Sitz im Europäischen Wirtschaftsraum (EWR) haben. Wenn einer dieser außerhalb Europas liegt, besteht die Verpflichtung, dass der Zahlungsdienstleister in Europa „nach besten Kräften“ SCA anwendet.

Das bedeutet: Selbst wenn ein Unternehmen seinen Hauptsitz außerhalb des EWR hat, können Online-Zahlungen immer noch SCA unterliegen, sofern der Auftraggeber der Zahlung aus dem EWR kommt.

Es ist sehr wahrscheinlich, dass SCA weiterhin für das Vereinigte Königreich gelten wird, unabhängig vom Ergebnis oder dem Zeitpunkt von Brexit. Die FCA (Financial Conduct Authority) hat ihre Pläne deutlich gemacht: sie will, dass SCA weiterhin gilt. Es gab bisher keinen gegenteiligen Vorschlag von anderen europäischen Regulierungsbehörden.

Die Rolle der Europäischen Bankaufsichtsbehörde bei SCA

Die Europäische Bankaufsichtsbehörde (EBA) ist eine unabhängige EU-Behörde, die sich für eine wirksame und einheitliche Regulierung und Überwachung im gesamten europäischen Bankensektor einsetzt. Ihre übergeordneten Ziele sind die Wahrung der Finanzstabilität in der EU und die Gewährleistung der Integrität, Effizienz und des ordnungsgemäßen Funktionierens des Bankensektors.

Die EBA hat technische Regulierungsstandards (RTS – Regulatory Technical Standards) veröffentlicht, die den vollständigen Auftrag von SCA für den EWR beschreiben.

Die zuständigen Behörden der einzelnen EWR-Länder, wie zum Beispiel die ECA im Vereinigten Königreich oder die BaFin in Deutschland, werden jedoch für die Durchsetzung von SCA zuständig sein, wenn diese in Kraft tritt.

Wann tritt SCA in Kraft?

Derzeit ist geplant, dass SCA ab dem 14. September 2019 im gesamten Europäischen Wirtschaftsraum in Kraft treten soll.

Auf Druck von Branchenverbänden in der gesamten EU, bestätigte die EBA jedoch am 21. Juni 2019, dass die EU-Regulierungsbehörden (wie die ECA) „mit Zahlungsdienstleistern und relevanten Interessengruppen (einschließlich Verbrauchern und Händlern) zusammenarbeiten, um den Emittenten begrenzte zusätzliche Zeit zu geben, damit sie zu SCA-konformen Authentifizierungsmethoden wechseln können“.

Dies bedeutet, dass einigen Zahlungsdienstleistern möglicherweise ein Aufschub gewährt wird, der auch als „Operational Readiness“ bezeichnet wird. In dieser Zeit werden die FCA und andere Aufsichtsbehörden wahrscheinlich keine Maßnahmen zur Durchsetzung von SCA ergreifen.

Der Zeitrahmen für diese verspätete Einführung wird derzeit noch festgelegt, es wurde jedoch vorgeschlagen, dass er ab September 2019 (dem geplanten Datum für das Inkrafttreten der neuen Anforderungen) ungefähr 18 Monate betragen sollte.

‹ Zur Übersicht Nächster Artikel ›

Aktuelle Tipps von unseren Experten

Der Push-up für dein Business

5 Gründe, warum Fitnessstudios Prozesse mit GoCardless ganz einfach automatisieren sollten.

Der vollständige Leitfaden zur Strong Customer Authentication (SCA)

Erhalten Sie alle wichtigen Informationen über SCA, sowie wann und wo SCA angewendet wird..

Was ist Strong Customer Authentication (SCA)? (in 2 Minuten)

Was ist Strong Customer Authentication (SCA) und was bedeutet es für Händler in Europa?

Alle Tipps sehen


GoCardless Handbuch

Ausführliche Information zum Lastschriftverfahren