Am 14. September tritt die zweite Zahlungsdiensterichtlinie in Kraft, die von der EU-Kommission ausgearbeitet wurde. Infolgedessen wird die Europäische Bankaufsichtsbehörde die zusätzliche Authentifizierung „Starke Kundenauthentifizierung“ auf alle Online-Transaktionen anfordern.
Die Geschichte zur PSD
Im Jahr 2007 wurde für alle EU-Länder die PSD1 Zahlungsrichtlinie (Abkürzung PSD von englisch Payment Services Directive) eingeführt, um eine gleiche Bedingungen für bargeldlose Transaktionen und Online-Zahlung festzulegen. Hinzu kam eine Reihe neuer online Zahlungsanbieter, die nicht als Banken bezeichnet werden, sonder als Zahlungsdienste.
Jetzt die Europäische Union die Rechtsvorschriften für Zahlungsvorgänge überarbeitet und verbessert, um sich an die neuen digitalen Zahlungsdienste, beispielsweise solche, die über mobile Geräte erbracht werden, anzupassen. Zusätzlich wurde der Europäische Bankenaufsichtsbehörde eine größere Rolle bei der Koordinierung der finanziellen Organe zugewiesen und hat die Ausarbeitung technischer Standards beaufsichtigt.
Letztendlich konzentriert sich diese neue Gesetzgebung auf die Zuordnung weiterer Sicherheitsmaßnahmen für die online Zahlungsvorgänge. Sie finden einen interessanten Artikel zur aktuellen Situation der Online-Zahlungsvorgänge auf unserem Blog.
Nach Angaben der Europäischen Zentralbank resultieren 73% der Betrüge für Zahlungen ohne Kreditkarte (CNP), darunter befinden sich u.a die Zahlungen die über das Internet gemacht werden. Im Gegensatz hierzu, stehen die POS-Transaktionen mit einer Betrugsrate von 19% und 8% über die Geldautomaten.
Ein Blick voraus …
Vorteile der neuen PSD2-Verordnung
Möglichkeit von Online-Betrug verringern.
Möglichkeit zur Differenzierung gegenüber anderen Mitwettbewerbern.
Laut einer Studie von Stripe, befürworten 60% der europäischen Online-Käufer die SCA, was für die Verbraucher was ein positiver Schritt ist.
Hier erklären wir Ihnen alles, was Sie über PSD2 wissen müssen und auch, was Sie als Vermieter beachten müssen:
Kommen wir gleich auf den Punkt …
Mit der neuen EU-Richtlinie wird die PSDS für eine sichere Kundenauthentifizierung eingeführt, um nicht nur mehr Sicherheit bei dem zunehmenden Online-Zahlungsverkehr zu gewährleisten, aber auch bei dem Gebrauch der verschiedenen Geräte beim online Zahlungsprozess.
Was genau ist SCA?
Es handelt sich um eine zusätzliche Zahlungsbestätigung, die bei der Online-Zahlung des Kundens (Käufer) angewendet wird. Für eine korrekte Kundenauthentifizierung, müssen 2 von 3 der folgenden Zahlungsbestätigungen erfüllt werden:
- Etwas, das nur der Käufer weiß. Abfrage eines sicheren Passworts oder PINs.
- Etwas, was nur der Käufer besitzt. Dies kann eine Kreditkarte, ein Mobiltelefon oder ein weiteres tragbares Gerät sein, mit dem die Zahlungen getätigt wird.
- Etwas, das nur der Käufer sein kann. Hier geht es um die Biometrie, was entweder die Gesichtserkennung, Fingerabdruck oder Iris-Scan sein kann.
Was bedeutet 3D Secure?
Der 3D Secure ist ein Sicherheitsstandard für online Kreditkartenzahlungen der u.a. auch als “Verified by Visa” oder ¨Mastercard Identity Check¨ den Käufern bekannt ist. Die 3DS1 wurde von Reiseanbietern verwendet, um das Betrugsrisiko in der Branche zu verhindern. Aktuell ist die erste Version etwa 20 Jahre alt und deshalbn hat EMVCo (Organisation der 6 Mitglieder: American Express, Discover, JCB, MasterCard, UnionPay und Visa) die zweite Version 3DS2 entwickelt. In 2001 wurde die 3DS1 entwickelt, da die bereits bestehenden Sicherheitsmaßnahmen wie AVS und CVC immer noch ein hohes Betrugs- und Rückbuchungsrisiko aufwiesen.
3DS1 VS 3DS2
Ohne viele in die technischen Details einzugehen, besteht der Hauptunterschied zwischen den beiden Versionen darin, dass die 3DS2 über weitere Funktionen verfügt, die das Kundenerlebnis im Bezahlprozess verbessern und sicherer machen. Zudem wird der Kaufprozess über Mobil- und App-Geräte unterstützt.
Obwohl die Hauptstrategie der SCA (Starke Kundenauthentifizierung) darin besteht, den 3D Secure Zahlungsprozess bei den Banken und den online Zahlungsanbieter zu aktivieren, sollten Sie auch wissen, welche Ausnahmen es gibt und welche Zahlungsarten von der neuen PSD2-Verordnung ausgeschlossen sind.
Zahlungsarten, die keine SCA brauchen
Einseitige Transaktionen
Diese Verordnung gilt nur für Finanzunternehmen, die Zahlungsdienste innerhalb der EU erbringen. Wenn beispielsweise ein Besitzer einer US-Kreditkarte eine Zahlung auf Ihrer Webseite (mit Sitz in der EU) vornehmen will, gelten die SCA-Verordnungen nicht für diesen Käufer.
MOTO (Mail oder Telephone Order)
Die Transaktionen, die über das Telefon oder schriftlich per E-Mail durchgeführt werden, benötigen keine zusätzliche SCA-Authentifizierung.
MIT (Merchant Initiated)
Dabei handelt es sich um Transaktionen, bei denen der Karteninhaber nicht anwesend ist und vom Händer eingeleitet werden. Die Zahlungen, die in den Anwendungsbereich der Europäischen Bankenaufsichtsbehörde fallen und die keine zusätzliche Authentifizierung durchlaufen müssen, sind folgende:
- Nebenkosten wie Haushaltsrechnungen, Pay-TV-Diensten und Mobilabonnements
- Transaktionen für Car / Bike-Sharing
- Abonnements für digitale Dienste (z. B. Spotify, Netflix usw.)
- Zahlungen für Versicherungsleistungen
Bei den oben genannten Zahlungen (Transaktionen) handelt es sich um Lastschriften, bei denen der Kunde offline ist. Die EBA ist daher der Ansicht, dass eine Authentifizierung als solche nicht möglich ist, da der Käufer zuvor eine vertragliche Abbuchungsgenehmigung erteilt hat.
Beachten Sie jedoch, dass Zahlungen, die mit einer registrierten on-file Kreditkarte beim Händlern getätigt werden, eine zusätzliche Authentifizierung unterstehen.
Ein gutes Beispiel hierfür ist, wenn ein Kunde seine Kreditkarte auf einer Webseite oder App registriert und die Zahlung über eine Kauf-Schaltfläche tätigt.
Der Grund hierfür ist, dass die EBA der Ansicht ist, dass dieser Kauf vom Verbraucher ohne vorherige Zustimmung online getätigt wird, und daher eine zusätzliche Sicherheitsbestätigung benötigt.
Nur Unternehmen, die beim Bezahlprozess, den Kunden mit den gespeicherten Zahlungsinformationen (zuvor durch Kunden autorisiert) belasten, gelten als MIT-Zahlungen.
Ausnahmen
Kleinbetragszahlungen
Die Käufe, die unter 30€ liegen, sind von der SCA befreit. Hier gibt es jedoch einen Ausnahme: Die SCA wird von der Bank des Kunden angefordert, wenn diese Transaktionen mehr als 5 Mal durchgeführt wird oder einen Gesamtbetrag von 100€ erreichen.
Bei Vermittlungsagenturen gilt diese Befreiung beispielsweise dann, wenn der Kunde über die Webseite eine zusätzliche Leistung bezahlt und wenn diese den oben genannten Betrag nicht überschreitet. Wenn jedoch derselbe Kunde mehr als das Fünffache des gleichen Betrags bezahlt oder den oben genannten Betrag überschreitet, muss die SCA-Authentifizierung über seinen PSP (Zahlungsdienstleister) oder Bank erfolgen.
Whitelisting
Diese Ausnahme gilt, wenn der Kunde eine Transaktion einleitet und der Händler in einer Liste vertrauenswürdiger Begünstigter aufgeführt ist. Diese Ausnahmeregelung berücksichtigt sowohl Remote- als auch Face-to-Face-Zahlungen. Beachten Sie jedoch, dass der Kunde eine Erst-Authentifizierung durchführen muss, bevor dieser in der Liste aufgeführt wird.
Wie soll die SCA in diesem Fall funktionieren? Grundsätzlich fügen ausstellende Banken für das 3DS-Iframe ein neues Kontrollkästchen hinzu, in dem gefragt wird, ob Sie diesem Reiseanbieter vertrauen. Sobald der Kunde das Kästchen anklickt, wird das Unternehmen in die Whitelist aufgenommen. Die gute Nachricht ist, dass der Zahlungsprozess nicht stark beeinträchtigt wird.
Bei dieser Ausnahme müssen Sie jedoch berücksichtigen, dass die Implementierung auf technischer Ebene schwierig ist. Daher werden nicht alle Unternehmen in der Lage sein, diese technische Anpassung bis September fertig zu stellen.
Unternehmerischer Zahlungsverkehr (Corporate Payments)
Bei B2B-Unternehmenszahlungen findet die SCA-Authentifizierung nicht statt. Dies wird nur gelten, wenn bereits ein sicherer Zahlungsvorgang durchgeführt wurde oder wenn eine Firmenkarten verwendet wird, die nicht von einer Personen verwendet wird, wie z. B. Lodged-Karte (speziell bei Geschäftsreisen) und virtuelle Kreditkarten.
Transaktionen mit geringem Risiko
Diese Ausnahmeregelung, wird auch als TRA (Transaction Risk Analysis, dt. Analyse zum Transaktionsrisiko) bezeichnet und kann von den Zahlungsdienstleistern oder Banken implementiert werden. Es handelt sich um eine Echtzeit-Risikoanalyse, die durchgeführt wird, um zu entscheiden, ob eine SCA-Autorisierung benötigt wird oder nicht.
Im Falle dieser Ausnahmeregelung müssen Zahlungsdienstleister (PSP) und Banken jedoch einen zusätzlichen Kontrollpunkt durchlaufen, wenn sie die Echtzeit-Risikoanalyse verwenden möchten. Sie müssen sicherstellen, dass ihre Betrugsraten für Kartenzahlungen die folgenden Schwellenwerte nicht überschreiten*:
- 0,13% für Transaktionen unter 100€
- 0.06% für Transaktionen unter 250€
- 0.01% für Transaktionen unter 500€
Laut Stripe wird diese Ausnahmeregelung von Unternehmen bevorzugt und höchstwahrscheinlich von den Banken in Zukunft in Anspruch genommen.
Um diese Ausnahmen zu implementieren, müssen Sie sich an Ihren aktuellen Zahlungsdienstleister (PSP) wenden und fragen, ob Ihnen diese Option für ‘exemption engines’ zur Verfügung gestellt werden kann.
Borja Santos, Leiter für Spanien und Portugal bei Stripe, erklärt, wie diese Ausnahme-Option (exemption engines) funktionieren:
Wir verwenden Machine Learning (maschinelle Lernverfahren), um zu entscheiden, welche Ausnahmeregelung am besten geeignet ist, um die Autorisierungsrate zu maximieren und die Authentifizierung zu vermeiden. Während andere Anbieter Benutzern die Auswahl einer Ausnahme ermöglichen, können wir die nützlichste Ausnahme für eine bestimmte Transaktion vorhersagen und dynamisch anwenden.
Was wird mit dem komplexen Zahlungsverkehrsumfeld der Reisebranche passieren?
Die Implementierung der neuen Authentifizierungsmethode ist bei E-Commerce-Plattformen, bei denen die vollständige Zahlung in einer einzigen Transaktion erfolgt, recht einfach. Berücksichtigten sie jedoch alle unterschiedlichen Zahlungsszenarien, insbesondere die der Reisebranche?
In der Reisebranche gibt es viele Akteure, die miteinander interagieren. Zu den großen Playern zählen die OTAs (Buchungsportale) und Metasearch Engines (Vergleichsportale), in denen Fluggesellschaften, Ferienwohnungen und andere Dienstleistungen rund ums Reisen angeboten werden.
Im Falle von Vermietungsagenturen können die Zahlungsvorgänge je nach den Buchungsbedingungen variieren und schließen u.a. die unterschiedliche Zahlungsfristen mit ein.
Wenn sie über einen Channel Manager mit einem Buchungsportal, eine Vermarktungsplattform oder ein Vergleichsportal verbunden sind, müssen außerdem viele weitere Variablen berücksichtigt werden, da die Zahlungsbedingungen in den verschiedenen Kanälen variieren können. Es kommt zu einer Drei-Wege-Kommunikation zwischen Zahlungsdienstleistern, Channel Manager und der Buchungsmaschinen der Kanäle.
Es gibt noch viele Faktoren und technische Details, die die EBA nicht berücksichtigt hat und es wird sich in den kommenden Monaten herausstellen, welche weiteren Herausforderungen auf die Reisebranche warten.
Wie können sich die Agentur auf die SCA vorbereiten?
Bei so vielen Herausforderungen ist die beste Vorbereitung für die Agentur, zunächst alle Parameter zu verstehen, die mit der neuen SCA-Regelung verbunden sind.
Darüber hinaus müssen sie sich an ihre Bank wenden, um zu überprüfen, ob sie mit dem 3DS-Verfahren arbeiten. Im Fall, dass Ihre Bank über das 3D secure Authentifizierungsverfahren verfügt, fragen Sie die Aktivierung an.
Wenn Sie mit einem Zahlungsdienstleister (PSP) zusammenarbeiten, können Sie sich direkt an diesen wenden, um weitere Informationen zur Implementierung von der 3DS zu erhalten und herauszufinden, ob eine der Ausnahmestrategien anwendbar ist.
Die SCA kann den Agenturen einen Wettbewerbsvorteil verschaffen
Die PSD2-Verordnung und die zusätzliche SCA-Authentifizierung sollten nicht als Bedrohung, sondern als Chance für die Agenturen angesehen werden. Den Gästen wird eine Zahlungssicherheit gewährleisten und die Agentur kann sich einen Wettbewerbsvorteil verschaffen.
Laut unserem CEO Manuel Giner sehen wir in der Regelung PSD2 und der zusätzlichen SCA-Authentifizierung eher eine Chance als eine Bedrohung:
Die mit der Richtlinie verfolgten Ziele, die Betrugsbekämpfung und Kostenreduzierung, sind sehr positiv, obwohl es sicherlich einige Zeit dauern wird, bis die vorgeschriebenen Richtlinie vollständig eingehalten werden.
Die PSD2 bietet die Möglichkeit, eine fortschrittliche online Zahlungsplattform einzuführen, die neben der Einhaltung der PSD2-Verordnung und der Erhöhung der Zahlungssicherheit dazu beiträgt, noch effizienter und wettbewerbsfähiger zu arbeiten.
Diese neue Authentifizierung eröffnet der Ferienhausvermittlung neue Möglichkeiten, flexiblere Zahlungsrichtlinien anzuwenden und somit die Buchungskonvertierung über ihrer eigene Webseite zu steiern.
Avantio bereitet sich ebenfalls auf die Einführung der neuen PSD2-Verordnung vor und wird Ihnen ordnungsgemäße Lösungen anbieten. Mit Avantio Payments können die Agenturen 3D Secure-Zahlungen über unser Ferienhaus Verwaltungssoftware automatisieren.
Für weitere Informationen zu unserer PSD2-Lösung können Sie sich hier an einen unserer Account Manager wenden.
