Die Vorbereitung und Implementierung von SCA

Wie bereit sind Online-Unternehmen für SCA?

Obwohl PSD2 bereits erstmals im Jahr 2015 verabschiedet wurde (obgleich die technischen Regulierungsstandards für SCA erst im November 2018 fertiggestellt wurden), deuten Untersuchungen darauf hin, dass viele Unternehmen nicht auf den bevorstehenden SCA-Stichtag vorbereitet sind.

Im Jahr 2018 befragte Mastercard über 300 Online-Händler und stellte fest, dass 86% von ihnen noch nicht SCA-konform waren – 75% von ihnen waren nicht einmal über die bevorstehende Gesetzgebung informiert.

Eine Studie von 451 Research vom Mai 2019 ergab, dass sich nur 15% der Unternehmen „extrem vorbereitet“ fühlen. Während viele von denen, die zugeben, unvorbereitet zu sein, kleine Unternehmen sind, ist der Mangel an Vorbereitung weiter verbreitet. Laut der Studie fühlen sich nur 19% der Unternehmen mit mehr als 5.000 Mitarbeitern extrem vorbereitet, und nur zwei von fünf Unternehmen gehen davon aus, dass sie vor September 2019 SCA-konform sein werden.

Zumindest gibt es Anzeichen dafür, dass Online-Unternehmen SCA langsam wahrnehmen - SCA war ein wichtiges Gesprächsthema bei Fintech- und Zahlungs-Events wie dem Merchant Risk Council London 2019 und Money 20/20.

Die möglichen Auswirkungen von SCA auf Unternehmen

Während sich immer mehr Unternehmen mit der im September in Kraft tretenden SCA-Gesetzgebung auseinandersetzen, fragen sich viele immer noch, was die potenziellen Auswirkungen von SCA sein werden. Hier sind vier mögliche Auswirkungen von SCA:

1. Das Sinken der Konversionsrate

Für Transaktionen, die eine Authentifizierung erfordern, bedeutet die neue Gesetzgebung zusätzliche Schritte während des Checkout-Prozesses. Friktionen während der Kaufabwicklung können die Wahrscheinlichkeit erheblich erhöhen, dass ein potenzieller Kunde einen Kauf nicht abschließt. Im Jahr 2019 wurden 69% der Einkäufe abgebrochen 27% davon, weil der Vorgang laut den Befragten „zu lang“ oder „zu kompliziert“ war.

Zwar gibt es Ausnahmen für bestimmte Arten von Transaktionen und andere allgemeine Vorgehensweisen, die Unternehmen zu einer Verringerung von Friktionen beim Checkout-Prozess nutzen können, doch SCA wird wahrscheinlich dennoch zu niedrigeren Konversionsraten für Unternehmen führen, die die neuen Sicherheitsmaßnahmen nicht mit einem bequemen Checkout-Prozess für die Kunden in Einklang bringen können.

In Indien sank die Konversionsrate, nach ähnlichen Gesetzen, über Nacht in allen betroffenen Unternehmen um 25%.

2. Wirtschaftliche Auswirkungen durch SCA

Aufgrund des neuen Authentifizierungsprozesses werden vorraussichtlich weniger Kunden Online-Käufe abschließen. Dies wird einen negativen Einfluss auf die europäische Wirtschaft haben. Im ersten Jahr nach der Einführung von SCA werden Europäische Unternehmen schätzungsweise 57 Milliarden Euro verlieren.

3. Wer übernimmt die Haftung gegenüber Kunden?

Das European Payments Council stellte klar: „PSD2 sieht vor, dass der Zahler im Falle einer unbefugten Zahlung die volle Erstattung von seinem Zahlungsdienstleister verlangen kann, wenn es keine SCA-Maßnahme gab und wenn der Zahler nicht betrügerisch gehandelt hat.“

In der Praxis bedeutet dies, dass der Zahlungsdienstleister eines Händlers (zum Beispiel ein Karten-Acquirer), der sich entweder auf eine Ausnahmeregelung stützt (um SCA nicht anwenden zu müssen) oder SCA überhaupt nicht implementiert, für den daraus resultierenden Betrug haftbar ist. Im Falle von SCA kann diese Haftung auf die Partei übertragen werden, die SCA anwendet - das heißt auf den Zahlungsdienstleister des Zahlers (zum Beispiel den Kartenaussteller). Wenn ein Händler seinem Zahlungsdienstleister (zum Beispiel einen Karten-Acquirer) zwingt, eine bestimmte Ausnahmeregelung anzuwenden, müssen sich der Händler und der Zahlungsdienstleister darauf einigen, wer die Haftung trägt. Wir erwarten, dass die Haftung auf den Händler selbst übergeht.

Lorsqu’un commerçant force son fournisseur de services de paiement (par exemple, un acquéreur) à appliquer une exemption spécifique, le fournisseur et le commerçant peuvent malgré tout s’entendre pour déterminer la responsabilité, et celle-ci incombera sans doute au commerçant.

Kartenaussteller wie Visa haben hart daran gearbeitet, ihre Regeln zu aktualisieren, um diese Haftungsbestimmungen zu berücksichtigen.

4. Der Bedarf an Ressourcen

Um SCA-konform zu werden, sind kurzfristig zusätzliche Produkt-, Rechts-, Betriebs- und Finanzteams in den betroffenen Unternehmen erforderlich, um die Umsetzung der Änderungen zu unterstützen. Wenn Händler sich dafür entscheiden, die kommenden Änderungen an Ihre Kunden zu kommunizieren (mehr dazu weiter unten), ist auch ein gewisser Marketingaufwand erforderlich, um die gewünschte Resonanz zu erzielen.

71% der Unternehmen sind der Ansicht, dass die Ressourcenbelastung für die Umsetzung von SCA „erheblich“ ist.

Die Umsetzung von SCA

In diesem Abschnitt beschäftigen wir uns damit, wer für die Umsetzung von SCA verantwortlich und haftbar ist. Außerdem geben wir Ihnen Anleitungen und Ratschläge an die Hand, wie betroffene Unternehmen die Richtlinien einhalten können.

Wer ist für die Umsetzung von SCA verantwortlich?

Unternehmen, die Online-Zahlungen entgegennehmen, sind nicht direkt für die Einhaltung von SCA verantwortlich. Diese Verantwortung liegt bei den zwischengeschalteten Zahlungsdienstleistern (sofern relevante Online-Transaktionen in den Zuständigkeitsbereich dieses Anbieters fallen) und bei den Banken.

Genauer gesagt ist die Bank des Zahlers dafür verantwortlich, dass Transaktionen SCA-konform sind (und Transaktionen, die nicht SCA-konform sind, abgelehnt werden). Dazu muss die Bank die im SCA-Framework vorgeschriebenen Authentifizierungsinformationen sammeln.

Die Banken brauchen jedoch einen Ort, an dem sie diese Informationen sammeln können – und hier kommen die Zahlungsdienstleister ins Spiel. Sie müssen die Informationen sicher im Rahmen des Zahlungsprozesses erfassen und diese dann, über die sicheren Mechanismen der Banken, an die Banken weitergeben. Die Banken haben dann das letzte Wort darüber, ob diese bestimmte Transaktion konform ist.

Es liegt in der Verantwortung jedes Zahlungsdienstleisters SCA anzuwenden. Es kann jedoch zu Schwierigkeiten kommen, wenn ein Zahlungsdienstleister die Aktivitäten oder die Konformität eines anderen Zahlungsdienstleisters kontrolliert. Letztendlich muss jeder Zahlungsdienstleister die eigene Einhaltung von SCA sicherstellen, was in einigen Fällen dazu führen könnte, dass einige Zahlungsdienstleister strenger auf SCA reagieren werden, als dies in der Vergangenheit der Fall war.

Die Auswirkungen von SCA, die wir bereits beschrieben haben (einschließlich potenzieller Konversionsverluste), liegen jedoch in erster Linie auf den Schultern der Händler.

Die Zusammenarbeit mit einem Zahlungsdienstleister, der auf SCA vorbereitet und proaktiv ist, ist also unerlässlich.

Wenn Sie mehr über SCA und die Auswirkungen auf Ihre Zahlungen erfahren möchten, stehen wir Ihnen gerne zur Verfügung.

Die Anpassung des Checkout-Prozesses

Die Einhaltung von SCA bedeutet für Ihre Kunden einen zusätzlichen Schritt während des Checkout-Prozesses zu durchlaufen – dies wird die offensichtlichste Änderung für sie sein. Abhängig von der Zahlungsmethode kann dieser zusätzliche Schritt sehr offensichtlich oder nahezu unbemerkt sein. Bei mobilen Zahlungen wird beispielsweise bereits das Scannen von Fingerabdrücken oder die Gesichtserkennung verwendet, um Einkäufe zu genehmigen. Dies sind zulässige Authentifizierungsmaßnahmen, die sich auf die Inhärenz beziehen.

Wie bereits erwähnt, wird SCA hauptsächlich Kredit- und Debitkarten-Transaktionen betreffen. Um Ihren Checkout-Prozess für diese Transaktionen zu aktualisieren, wurde 3D Secure 2 (3DS2) bereits freigegeben. Es handelt sich hierbei um eine weit verbreitete Methode der konformen Authentifizierung.

In einem kürzlich für Forbes verfassten Artikel, wies Jordan Mckee, Research Director bei 451 Research, darauf hin dass „Händler, die SCA am besten in ihren Checkout-Prozess integrieren und Ausnahmen effektiv anwenden können, sich durch eine Minimierung der Auswirkungen auf die Kunden von der Masse abheben werden.“

3D Secure 2

3D Secure (3DS) ist eine Authentifizierungsmethode, die erstmals von Visa eingesetzt wurde und die speziell für Online-Käufe mit Kredit- und Debitkarten entwickelt wurde. Die Methode verpflichtet die Kunden ein Passwort anzugeben, um die Transaktion abzuschließen. Online-Unternehmen erhalten in der Regel über einen entsprechenden Zahlungsdienstleister Zugang zu 3D Secure.

3D Secure 2 (3DS2) ist eine neue Version, die alle SCA-Anforderungen erfüllt: - Sie ermöglicht den Einsatz von Authentifizierungsanforderungen, zum Beispiel die Anforderung an den Kunden, ein zugesandtes Passwort oder einen zugesandten Code einzugeben oder eine biometrische Autorisierung vorzunehmen - Sie ermöglicht dem Karten-Aussteller die Transaktion zu akzeptieren oder abzulehnen

Es ist jedoch unwahrscheinlich, dass die Tests und die Einführung durch alle Vertragspartner bis zum 14. September abgeschlossen sein werden.

Das Hauptziel von 3DS2 ist es, eine „friktionslose Autorisierung“ (auch angesichts der von SCA geforderten zusätzlichen Sicherheitsmaßnahmen) zu schaffen. Wenn die Transaktion keine SCA erfordert oder davon freigestellt ist, sollte 3D Secure 2 diese umgehen. Eine wesentliche Verbesserung gegenüber dem ursprünglichen 3D Secure (3DS)-Protokoll ist die Möglichkeit, die notwendigen Prüfungen durchzuführen, ohne den Kunden von der Checkout-Seite weg zu leiten.

Mögliche Probleme mit 3D Secure 2

Das ursprüngliche 3D Secure (3DS) brachte für Händler einige Probleme mit sich besonders durch den gefürchteten Konversionsverlustes aufgrund der bereits erwähnten Wegleitung von der Checkout-Seite sowie durch die als schlecht wahrgenommene Benutzerfreundlichkeit. Eine Studie von Ravelin ergab, dass 22% aller mit 3D Secure authentifizierten Transaktionen abgebrochen wurden.

Auch wenn die neue Version entwickelt wurde, um die Nachteile des Originals zu minimieren (inklusive einer verbesserten Benutzerfreundlichkeit für Mobiltelefon-Nutzer), wird man erst nach der Markteinführung der neuen Version wirklich sehen, ob die Optimierungen erfolgreich waren.

3DS2-Unterstützung und die Verbraucher-Anerkennung

Der Erfolg von 3D Secure 2 bei der Bewältigung von SCA-Konvertierungsproblemen wird von der Akzeptanz bei Banken und Endkunden abhängen. Doch trotz der kurz bevorstehenden SCA-Implementierung unterstützen viele Banken das 3DS2-Programm noch nicht.

Was die Endkunden betrifft, so ist die Verwendung des ursprünglichen 3DS-Protokolls in Europa begrenzt. Laut PYMNTS waren bis Ende 2017 nur 50% der Endkunden registriert und nur 25% der Transaktionen wurden verifiziert.

Die SCA Regulatory Technical Standards (RTS)

Die Regulatory Technical Standards (RTS) von SCA enthalten die vollständigen Spezifikationen dessen, was SCA abdeckt und was von allen Beteiligten erwartet wird. Die finale Version wurde von der EU-Kommission im November 2018 fertig gestellt und verteilt.

Ein Großteil dieses Leitfadens zielt darauf ab, die wichtigsten Aspekte der RTS für Sie verständlich zusammenzufassen. Die vollständige, finale Version kann für Sie jedoch interessant sein, wenn Sie alles über SCA im Detail erfahren möchten.

SCA und Ihre Kunden

SCA wird nicht nur zweifellos Auswirkungen auf Ihr Unternehmen haben, sondern auch für Kunden, die online einkaufen möchten, eine spürbare Veränderung darstellen. Was halten Kunden von SCA? Ist ihnen zusätzliche Sicherheit überhaupt wichtig? Wissen sie, dass Veränderungen auf sie zukommen?

Die Sensibilisierung der Verbraucher für SCA

Viele Banken haben bereits damit begonnen, die Implementierung von SCA an Unternehmen zu kommunizieren (Beispiel 1, Beispiel 2). Die meisten Endverbraucher wurden jedoch noch nicht über die bevorstehenden Änderungen informiert.

In Großbritannien wissen weniger als 25% über SCA und die damit verbundenen Veränderungen für sie Bescheid.

Sicherheit und Komfort in Einklang bringen

Werden Endkunden bereit sein, einen Teil des Komforts des Online-Shopping zu verlieren, um den umfangreicheren Sicherheitschecks von SCA gerecht zu werden? Schließlich gilt das 1-Klick-Bestellsystem von Amazon als Meilenstein in Sachen Bequemlichkeit, mit dem alle anderen Checkout-Prozesse verglichen werden.

In einer Studie wurden 4.000 Kunden in Großbritannien, Frankreich, Deutschland und Spanien zu ihrer Einstellung zu Sicherheit und Komfort beim Online-Shopping befragt.

Den Kunden wurden auch Fragen zu Gefühlen über bestimmte spezifische Elemente der neuen SCA-Anforderungen gestellt und darüber, wie sich eine erhöhte Sicherheit im Checkout-Prozess auf ihr Kaufverhalten auswirken würde.

Die Ergebnisse zeigten eine leichte Präferenz für die Sicherheit gegenüber dem Komfort – rund 58% der Kunden legen mehr Wert auf Sicherheit.

Auf die Frage, wie sie sich bei komplexen Sicherheitsverfahren beim Online-Shopping fühlen würden, antwortete die Mehrheit (54%) jedoch, dass sie entweder misstrauisch oder frustriert wären. Nur 39% gaben an, dass sie sich sicherer fühlen würden.

Die Umfrage zeigte auch, dass die Einstellungen zur Sicherheit und zum tatsächlichen Kaufverhalten sehr unterschiedlich sein können. 41% der Befragten hatten schon einmal einen zu komplexen Online-Kauf abgebrochen – und fast ein Viertel (24%) würde sogar weniger bei ihrer Lieblingsmarke einkaufen, wenn der Checkout-Prozess zusätzliche Sicherheitsmaßnahmen bekäme.

Diese Diskrepanz in den Einstellungen deutet darauf hin, dass das, was die Endkunden denken und wie sie handeln, unterschiedlich sind. Sie können positiv auf die Idee der zusätzlichen Sicherheit reagieren, aber ihr tatsächliches Verhalten, wenn sie mit SCA konfrontiert werden, könnte sehr stark davon abweichen.

Die Kommunikation von SCA an Ihre Kunden

Im Zuge der DSGVO-Gesetzgebung (Datenschutz-Grundverordnung) von 2018 erhielten viele Endkunden eine Flut von E-Mails von Unternehmen, die sie über Änderungen der Datenschutzrichtlinien informierten. Dies wurde von den Endkunden schlecht aufgenommen – wobei viele der E-Mails, laut der DSGVO, sogar illegal waren.

Der Punkt ist, dass die Kommunikation von wesentlichen Änderungen an Ihre Endkunden mit eigenen Problemen behaftet ist. Werden Ihre Kunden verwirrt sein, wenn Sie die Änderungen nicht kommunizieren und SCA in Kraft tritt? Oder wird die Ankündigung von SCA zu unnötigen Bedenken bei Ihren Kunden führen? Es ist außerdem sehr schwierig, die genaue Art der Änderungen zu kommunizieren, wenn Sie aktuell noch dabei sind, neue Checkout- und Autorisierungsprozesse zu implementieren.