Am 14. September tritt die „Starke Kundenauthentifizierung“ oder SCA (Strong Customer Authentication) in Kraft. Es ist eine tickende Zeitbombe, die die europäische Online-Wirtschaft jedes Jahr viele Milliarden Euro kosten könnte, wenn sie schlecht vorbereitet ist.
Ab dem 14. September müssen sich Hunderte Millionen europäischer Verbraucher bei Online-Käufen umstellen. Das Inkrafttreten der „Starken Kundenauthentifizierung“ oder SCA (Strong Customer Authentication) wird auf den Geschäftserfolg europäischer Unternehmen vermutlich weit größere Auswirkungen haben wird als die Einführung der Datenschutzgrundverordnung (DSGVO) im vergangenen Jahr. Es ist eine tickende Zeitbombe, die die europäische Online-Wirtschaft jedes Jahr viele Milliarden Euro kosten könnte, wenn sie schlecht vorbereitet ist.
Ab dem 14. September 2019 müssen Verbraucher ihre Identität bei den meisten Online-Käufen mit mindestens zwei der folgenden Optionen bestätigen: mit etwas, das sie wissen (Passwort, geheime Frage), einem Objekt, das sie besitzen (Smartphone, Bestätigungsschlüssel) oder einem Merkmal ihrer Identität (biometrische Eigenschaften wie ein Fingerabdruck oder das Gesicht). Das Ziel ist klar: Online-Zahlungen für Verbraucher und Unternehmen sollen sicherer werden.
Bis zum Inkrafttreten der Richtlinie müssen Unternehmen die neuen Standards einhalten können, ohne das Bezahlen für ihre Kunden allzu stark zu erschweren. Denn diese bevorzugen reibungslose Einkäufe: mit einem Klick kaufen, automatische Abbuchungen usw. Fünf Monate vor dem Inkrafttreten kennen jedoch drei von vier Online-Einzelhändler in Europa weder die SCA noch ihre Konsequenzen.
Es steht viel auf dem Spiel
Wenn Unternehmen am 14. September noch nicht bereit für SCA sind, können Kunden ihre Einkäufe möglicherweise nicht online bezahlen. Als Indien 2014 ein ähnliches Gesetz einführte, sank bei einigen E-Commerce-Händlern die Conversion-Rate über Nacht um 25 Prozent.
Und wenn der Zahlungsvorgang für Kunden zu komplex wird, kann auch die SCA für Unternehmen sehr teuer werden. Heutzutage investieren Online-Händler viel, um kleinste Conversion-Verbesserungen zu erreichen. Ein zu starres Zahlungserlebnis (das beispielsweise eine Starke Kundenauthentifizierung für alle Transaktionen vorsieht) könnte den Geschäftsumsatz nach Schätzungen von Branchenexperten an einem Tag um etwa 10 bis 15 Prozent senken. Das ist aus Sicht vieler Händler und auch mit Blick auf die Kundenfreundlichkeit beängstigend.
Was macht die SCA so komplex?
Die SCA ist die wichtigste Reform des Zahlungsverkehrssektors seit 2001, als grenzüberschreitende Zahlungssysteme in Europa eingeführt wurden (woraus sich später SEPA entwickelte). Die Anwendung der Verordnung erfolgt dezentral auf mehreren Auslegungsebenen:
- Auf regulatorischer Ebene: Die SCA ist Teil der PSD2-Richtlinie, die den gesetzlichen Rahmen darstellt. Da es sich um eine Richtlinie handelt, gibt es keine direkte Anwendung. Die SCA muss von den 31 nationalen Regulierungsbehörden des Europäischen Wirtschaftsraums individuell ausgelegt werden.
- Auf Bankebene: Die PSD2 sieht Ausnahmen für die Anwendung der SCA vor, insbesondere für Transaktionen mit geringem Risiko. Die Anwendung dieser Ausnahmen hängt von der Bank des Kunden und nicht von der Bank des Händlers ab. Ohne eine direkte Beziehung zu den über 6.000 europäischen Banken hat ein Händler nicht die Möglichkeit, im Voraus zu wissen, ob eine risikoarme Zahlung von einer Befreiung profitieren kann. Und die Zahlung kann sogar dann noch abgelehnt werden – egal, ob eine Ausnahme gesetzlich vorgesehen ist.
- Auf technischer Ebene: Die SCA wird die meisten Zahlungserfahrungen verändern, einschließlich Kartenzahlungen, die in ganz Europa sehr beliebt sind – und mittlerweile auch in Deutschland zunehmen. Die verschiedenen Kartennetzwerke haben jedoch unterschiedliche Auslegungen der SCA-Vorschriften, und ihre technischen Anforderungen variieren erheblich. Es ist Aufgabe des Händlers, die verschiedenen Teile des Puzzles anzupassen und wieder zusammenzufügen, um seinen Kunden ein reibungsloses Zahlungserlebnis zu bieten.
Welche Lösungen für Händler gibt es?
Bis zum 14. September muss jeder Online-Händler in Europa eine Strategie zur Einhaltung der SCA-Verordnung parat haben. Mit dem Wissen, dass es eine Katastrophe wäre, einfach gar nichts zu tun, gibt es drei sinnvolle Möglichkeiten.
- Die erste Option ist die systematische Integration und Anwendung von 3D Secure 2 (3DS2), der von der Branche entwickelten Lösung zur Maximierung der Transaktionssicherheit und Gewährleistung einer reibungslosen Zahlung, insbesondere auf Mobilgeräten. Neben der Notwendigkeit, sich auf einen technischen Partner zu verlassen, der 3DS2 anbietet, besteht ein erhebliches Risiko, dass einige europäische Banken am 14. September 2019 nicht bereit sein werden, 3DS2 zu akzeptieren. In diesem Fall müssen Banken und Händler auf den systematischen Einsatz von 3DS1 zurückgreifen – eine Lösung, die sich nicht gut für Einkäufe per Smartphone eignet und deren Auswirkungen auf die Conversion Rate nach wie vor sehr hoch sind (durchschnittlich rund elf Prozent Umsatzrückgang laut Visa).
xx - Die zweite Möglichkeit ist es, selbst eine angepasste Zahlungsinfrastruktur zu entwickeln. Konkret müsste sich ein Händler dazu mit dem Zahlungskartennetzwerk und allen SCA-kompatiblen biometrischen Zahlungsmitteln (zum Beispiel Apple Pay, Google Pay) verbinden. Darüber hinaus müsste eine komplexe technische Infrastruktur geschaffen werden, die die SCA-Vorschriften und ihre Ausnahmen berücksichtigt und tausende potenzieller Zahlungsströme berücksichtigt, je nach Herkunftsland des Kunden, der Bank und der Zahlungsmittel.
Diese Option ist nur sehr großen Händlern vorbehalten, da sie erhebliche Kosten verursacht (rechtlich, technisch und personell). Die Ausnahmen sind einfach zu komplex, und es wird bei über 6.000 europäischen Banken zu unterschiedlichen Auslegungen kommen. Diese Option ist schwer zu handhaben, da sie einer permanenten Überwachung der Interpretation der Akteure bedarf.
xx - Die dritte Option ist die Nutzung eines Zahlungsdienstleisters (PSP, Payment Service Provider). Das vollständige Delegieren des SCA-Managements an einen PSP verhindert, dass der Online-Händler sich selbst tief in die Regulierung einarbeiten muss, und minimiert so die finanziellen Auswirkungen. Theoretisch kennt ein moderner Zahlungsdienstleister die europäischen Gesetze, Ausnahmen und Auslegungen durch die europäischen Banken und die Kartennetzwerke genau und schlägt Zahlungslösungen vor, die mit SCA kompatibel sind (zum Beispiel Apple Pay oder Google Pay).
