Online-Händler aufgepasst: So gelingt die Umsetzung der Zahlungsrichtlinie SCA

Am 14. September 2019 ist an vielen Online-Händlern, Kundinnen und Kunden weitgehend vorbeigegangen, dass es eigentlich weitreichende Änderungen im Online-Zahlungsverkehr hätte gegeben müssen. Das ist kein Wunder, denn die offizielle Deadline ist ohne spürbare Konsequenzen oder Änderungen für Konsumierende verstrichen. Die Rede ist von der Einführung der starken Kundenauthentifizierung (Strong Customer Authentication, SCA). Sie ist Teil von PSD2, einer EU-Richtlinie zur Förderung und Regulierung von Zahlungsdiensten, und die Frist wurde von der Europäischen Bankaufsichtsbehörde (EBA) auf den 31. Dezember 2020 verschoben. Das gibt Unternehmen, die online Waren oder Dienstleistungen verkaufen, mehr Zeit für die nötigen Anpassungen beim Zahlungsverkehr. Aber: Aufgeschoben ist nicht aufgehoben! Vor allem kleine Händler sollten die verbleibende Zeit nutzen, sich auf SCA vorzubereiten. Denn das Thema ist komplex. 

Was ist SCA?

Für diejenigen, die noch nie von SCA gehört haben: SCA ist eine neue Form der Zwei-Faktor-Authentifizierung, die eine zusätzliche Sicherheitsebene für Online-Zahlungen einführt. Sobald die neue Zahlungsrichtlinie in Kraft tritt, müssen die meisten Online-Transaktionen zweimal verifiziert werden, also durch mindestens zwei der folgenden drei Faktoren bestätigt werden: 

• Wissen (Passwort, Sicherheitsfrage, PIN)
• Besitz (Token, Smartphone)
• Inhärenz (Biometrische Eigenschaften wie Fingerabdruck, Gesichtserkennung)

Das Ziel ist klar: Online-Zahlungen für Verbraucherinnen und Verbraucher sowie Unternehmen sollen sicherer werden.

Hohe Umsatzeinbußen vor allem für kleine Händler möglich

Ein verlängerter Zeitraum, in dem sich die Regulierungsbehörden auf die Umstellung statt auf die Durchsetzung konzentrieren, ist eine gute Nachricht für die Branche, da so nun mehr Zeit bleibt, an einer sehr guten Kundenerfahrung zu arbeiten. Aber angesichts dessen, was für die europäische Wirtschaft auf dem Spiel steht, ist das nicht viel Zeit. Wäre SCA zum ursprünglichen Termin umgesetzt worden, hätte die europäische Wirtschaft nämlich in den folgenden zwölf Monaten nach einer Studie von Stripe einen Verlust von rund 57 Milliarden Euro erlitten. Den größten Schaden hätten dabei kleine und mittlere Unternehmen (KMU) erlitten, da drei von fünf Unternehmen mit weniger als 100 Mitarbeitern noch immer nicht mit SCA vertraut wären und viele von ihnen nicht vorhätten, demnächst die Vorschriften einzuhalten.

Während die EBA die unmittelbare Gefahr einer zusätzlichen Krise des E-Commerce in Europa gebannt hat, müssen die Unternehmen nun sicherstellen, dass sie angemessen auf den radikalsten Wandel in der Landschaft der Online Payments der letzten Jahrzehnte vorbereitet sind.
Um einmal Klartext zu sprechen: Die Banken werden alle Transaktionen ablehnen, die nicht ordnungsgemäß authentifiziert sind, sobald SCA in Kraft tritt. Das bedeutet, dass Unternehmen, die nicht bereit für SCA sind, legitimem Umsatz verlieren werden, weil sie nicht die notwendigen Änderungen vorgenommen haben.

Drei Möglichkeiten, wie Händler SCA umsetzen können

Eine Möglichkeit, wie Händler sich auf SCA vorbereiten können, ist die Integration von 3DS2 für Transaktionen, die unter den Anwendungsbereich der neuen Verordnung fallen könnten. Es handelt sich bei 3DS2 um einen Industriestandard zur benutzerfreundlichen und SCA-kompatiblen Authentifizierung von Online-Zahlungen. 
Die Mehrheit der europäischen Banken hat 3DS2 jedoch noch nicht in ihre Systeme integriert und wird den älteren 3DS1-Standard einsetzen. Nach Schätzungen der Industrie führt die Anwendung 3DS1 jedoch zu einem Rückgang der Conversion. Dies kann also nicht der einzige Weg sein, den die Händler zur Vorbereitung auf SCA einschlagen.

Eine zweite Möglichkeit ist die Optimierung für SCA-konforme Zahlungsmethoden wie Apple Pay und Google Pay. Beide sind eine gute Möglichkeit, hohe Conversion Rates beizubehalten und gleichzeitig die SCA-Anforderungen durch biometrische Verifizierung zu erfüllen. Aber nicht jeder Kunde beziehungsweise jede Kundin in Europa hat ein Smartphone, und nicht jede Bank in Europa bietet diese Zahlungsmethoden für ihre Kreditkarten an.

Damit bleibt den Händlern ein dritter Optimierungsweg: nämlich die kluge Anwendung der SCA-Ausnahmen und Analyse der abgelehnten Zahlungen. Die Verordnung wurde nämlich nie so konzipiert, dass alle Transaktionen über SCA laufen. Es gibt eine Reihe von Ausnahmen. Zum Beispiel sind Summen, die unter 30 Euro liegen, oder wiederkehrende Beträge in gleicher Höhe – etwa bei Abos – von der Zwei-Faktor-Authentifizierung befreit. Daher ist die Option, SCA nur bei Bedarf auszulösen, für Händler sehr bedeutend. Die Schwierigkeit dabei ist, dass nicht alle Banken die SCA-Befreiungen gleich interpretieren und umsetzen werden. Einige werden alle Ausnahmen anwenden, andere werden sie einfach ignorieren. Und die Unternehmen werden keine Möglichkeit haben, dies vorher zu erfahren. Für die Händler wird es also entscheidend sein, abgelehnte Zahlungen in Echtzeit zu überwachen und ihre Prozesse entsprechend zu optimieren. Große Händler werden die Möglichkeit haben, eigene Teams für die Überwachung aufzubauen und einzusetzen, um entsprechend schnell zu reagieren. Kleine und mittlere Unternehmen mit begrenzten Ressourcen, werden die Daten allerdings wochenlang mühselig auswerten müssen, bevor sie ein klares Muster finden können.

Deshalb ist SCA auch eine große Chance für die Branche

Für viele Händler wird sich das alles sehr komplex anhören. Es ist sicherlich eine große Herausforderung für die gesamte Branche, sich ausreichend auf SCA vorzubereiten. Regulierungsbehörden, Zahlungsdienstleister, Banken, Händler und Co. – alle werden von dem neuen Standard betroffen sein. Aber am Ende haben die Unternehmen am meisten zu verlieren. Denn sie werden von ihren Kunden nach der Qualität ihrer Payment-Erfahrung beurteilt. Die Investition in Authentifizierungsmethoden, die SCA-konform und für die Verbrauchenden so reibungslos wie möglich funktionieren, werden der Schlüssel sein. Denn eins ist klar: Wenn für Endkundinnen und -kunden die Bezahlung zu kompliziert wird oder sogar fehlschlägt, werden sie anderswo einkaufen – und möglicherweise werden sie nie wieder zurückkommen.  
Dabei ist alarmierend, dass trotz aller Debatten rund um SCA in den letzten Monaten zu viele Shops und Online-Unternehmen noch immer nichts von der Verordnung gehört haben, geschweige denn die Bedrohung ihres Online-Umsatzes ernst nehmen. Das ist neben den Auswirkungen von Corona das wichtigste Problem der Branche. Alle Unternehmen, die online Waren oder Dienstleistungen verkaufen, sollten sich schleunigst mit Lösungen befassen. Denn ansonsten wäre die Verschiebung der SCA-Frist umsonst gewesen.

SCA kann auch als eine große Chance für die Branche gesehen werden: Die erhöhte Sicherheit bei Online-Zahlungen führt zu weniger Betrug und wird so das Vertrauen der Konsumierenden stärken. Stripe hat die letzten zwei Jahre außerdem damit verbracht, sehr stark in SCA-Tools zu investieren. SCA soll für die Kundinnen und Kunden so einfach und nahtlos wie möglich vonstattengehen. Daher hat Stripe viel Entwicklungsarbeit in die Optimierung des Zahlungsvorgangs gesteckt – vor allem aus dem Entwicklungszentrum in Dublin heraus. Eine SCA-Prüfung soll nur ausgelöst werden, wenn diese auch wirklich erforderlich ist. Letztendlich wollen wir die Umsätze der Händler nicht nur schützen, sondern sie bestenfalls steigern. Zumindest aber können wir helfen, die SCA-Anforderungen zu erfüllen.