Ausnahmeregelungen für SCA

Transaktionen außerhalb des Anwendungsbereichs

Außerhalb des Anwendungsbereichs liegen Transaktionen, die nie zum Aufgabenbereich von SCA gehörten und daher keine Freistellung erfordern. Sie benötigen schlicht keine Strong Customer Authentication.

Eine wichtige Art von Transaktionen, die nicht in den Anwendungsbereich fallen (besonders für Abonnement-Unternehmen und solche mit wiederkehrenden Einnahmen), sind vom Händler initiierte Transaktionen:

Eine vom Händler veranlasste Transaktion ist eine Zahlung, die zu einem vereinbarten Zeitpunkt, mit Zustimmung des Zahlers, vorgenommen wird und, wie der Name schon sagt, von dem Händler initiiert wird, der die Zahlung einzieht.

Wenn eine Transaktion vom Händler initiiert wird, sind sowohl feste als auch variable Zahlungen von SCA befreit.

Im Gegensatz zu den meisten Transaktionen, die von Endkunden initiiert werden, finden die Transaktionen, die von Händlern initiiert werden, häufig nicht unmittelbar statt. Die Daten des Endkunden werden zu einem bestimmten Zeitpunkt erfasst und zu einem anderen Zeitpunkt an die Bank des Endkunden übermittelt. Die Kommunikation zwischen Endkunde, Bank und Zahlungsdienstleister erfolgt daher nicht in Echtzeit. Im SCA-Sprachgebrauch wird dies als asynchrone Transaktion bezeichnet. Es wäre unpraktisch und in einigen Fällen unmöglich, SCA auf diese Transaktionen anzuwenden.

Beachten Sie jedoch, dass bei einigen von Händlern initiierten Transaktionen, zum Beispiel bei wiederkehrenden Kartentransaktionen, SCA weiterhin auf die erste Zahlung angewendet werden muss, wenn dies unter Einbeziehung des Zahlungsdienstleisters des Zahlers (zum Beispiel eines Kartenausstellers) erfolgt.

Das elektronische Papierlose Lastschriftmandat

Eine Art von vom Händler initiierten Transaktionen sind sogenannte elektronische Papierlose Lastschriftmandate, für die keine SCA erforderlich ist – auch nicht für die erste Zahlung (sofern die folgenden Kriterien erfüllt sind). Genau diese Methode verwendet GoCardless, um Zahlungen einzurichten und einzuziehen.

Um Lastschriften einzuziehen, muss der Endkunde, von dem die Zahlungen eingezogen werden, dem Händler bzw. dem Zahlungsdienstleister, der diese Zahlungen einzieht, ein Mandat erteilen.

Es gab viele Unklarheiten darüber, ob zum Zeitpunkt der Erteilung des Mandats vom Zahler eine SCA erforderlich ist - insbesondere, ob es sich bei der Mandatserteilung um eine „Maßnahme über einen entfernten Kanal“ handelt, „die ein Risiko von Zahlungsbetrug oder anderen Missbräuchen mit sich bringen kann“.

Am 7. Juni 2019 bestätigte die EBA durch ihre Q&A-Seite dass SCA für die Erteilung von elektronischen Papierlosen Lastschriftmandaten zugunsten von Zahlungsempfängern des Händlers nicht erforderlich ist, sofern der Zahlungsdienstleister des Endkunden (zum Beispiel ein Kartenaussteller) nicht direkt an dieser Einrichtung beteiligt ist.

Konkret bestätigte die EBA:

Ausnahmeregelungen

Die SCA-Ausnahmeregelungen gelten nur für Zahlungsdienstleister. Sie beziehen sich auf den Betrag des Zahlungsvorgangs, das Risiko der Zahlung, das Wiederauftreten des Zahlungsvorgangs und den für die Ausführung der Zahlung verwendeten Zahlungsweg. Sie beinhalten:

Regelmäßig wiederkehrende Transaktionen und Abonnements

Bei der Verwendung einer vom Zahler initiierten Zahlungsmethode, wie zum Beispiel Daueraufträge, ist SCA nur für die erste Zahlung eines festen Abonnements erforderlich. Solange der gezahlte Betrag gleich bleibt, sind weitere Transaktionen ohne SCA möglich.

Sollte sich der Betrag jedoch ändern, was bei vielen nutzungsabhängigen Abonnements der Fall ist, wird SCA für jede einzelne Änderung erneut benötigt.

Kontaktloses Bezahlen

Kontaktlose Zahlungen, die eine der folgenden Bedingungen erfüllen, erfordern keine SCA:

• Individuelle kontaktlose Zahlungen unter 50 Euro

• Fünf oder mehr Zahlungen unter 50 Euro

Wurden seit der letzten Anwendung von SCA Zahlungen in Höhe von 150 Euro und mehr geleistet, so ist SCA erneut erforderlich.

Die Freistellung ist spezifisch für jede verwendete Karte, so dass für Gemeinschaftskonten die Freistellung für jede Karte gilt, die dem Konto zugeordnet ist.

Online-Transaktionen unter 30 Euro

Ähnlich wie bei kontaktlosen Zahlungen (aber mit einem niedrigeren Wert), sind auch Zahlungen unter 30 Euro von SCA befreit.

SCA ist jedoch erforderlich, wenn ein Endkunde Folgendes ausführt:

• Fünf oder mehr Zahlungen unter 30 Euro

• Wenn die Summe mehrerer geringwertiger Zahlungen mehr als 100 Euro beträgt

Diese Grenzwerte sind nicht händlerspezifisch. Das heißt, die fünf Transaktionen, die zusammen 100 Euro oder mehr ergeben, können Zahlungen an verschiedene Unternehmen sein.

Vertrauenswürdige Begünstigte (Whitelisting)

Kunden werden die Möglichkeit haben, ihnen bekannte Unternehmen auf eine Liste von sogenannten „Vertrauenswürdigen Begünstigten“ zu setzen.

Diese Liste wird von dem ASPSP (Account Servicing Payment Service Provider, aktualisiert und gepflegt, der auch befugt ist, Begünstigte zu entfernen. Der Zahlungsdienstleister eines Händlers kann Mechanismen aufbauen, um dem ASPSP im Namen des Endkunden vertrauenswürdige Empfänger „vorzuschlagen“.

Mastercard beispielsweise schlägt vor, dass es im Checkout-Prozess ein Kontrollkästchen geben könnte, das den Endkunden auffordert, den Händler in die Liste der vertrauenswürdigen Empfänger des ASPSPs aufzunehmen. Dieser Antrag wird an den ASPSP weitergeleitet, der vom Kunden eine SCA verlangt, um die Liste der vertrauenswürdigen Begünstigten zu genehmigen. Der Kunde wird die Liste der vertrauenswürdigen Empfänger auch direkt mit dem ASPSP verwalten können.

Beachten Sie, dass die ASPSPs die Liste der vertrauenswürdigen Begünstigten nicht unbedingt selbst bereitstellen müssen - sie können diese auch auslagern. Unternehmen wie Visa entwickeln genau hierfür Produkte.

Befindet sich ein Unternehmen auf der so genannten Whitelist eines Endkunden, ist SCA nicht erforderlich – unabhängig von der Menge, der Häufigkeit oder der Variation der Käufe.

Obwohl es sich um eine vielversprechende Art der potenziellen Nutzung von SCA handelt, war die Übernahme des Prozesses durch die Banken bisher unregelmäßig und es gibt noch viele Fragen, wie der Prozess in der Praxis funktionieren wird. Es wird vermutet, dass Whitelisting erst weit nach September 2019, zu einer praktikablen Taktik werden wird.

Es ist jedoch wichtig zu beachten, dass SCA nicht nur immer dann angewendet werden muss, wenn ein vertrauenswürdiger Begünstigter zu einer Whitelist hinzugefügt wird, sondern auch, wenn es Änderungen gibt oder der Zahlungsdienstleister des Händlers die Entfernung aus der Liste anfordert.

3D Secure 2 (Version 2.2) bietet Händlern Whitelisting als verfügbare Option an.

B2B-Zahlungen

Zahlungen, die direkt zwischen zwei Unternehmen getätigt werden, sind von SCA befreit – jedoch nur, wenn es sich bei der verwendeten Zahlungsmethode um eine spezielle B2B-Methode handelt, zum Beispiel ein zugangskontrolliertes Reisemanagement für Unternehmen oder ein Einkaufssystem für Unternehmen.

UK Finance konkretisiert: „SCA ist nicht erforderlich für Zahlungen, die für juristische Personen mit speziellen Zahlungsverfahren oder -protokollen initiiert wurden und die auf Endkunden beschränkt sind, die keine Verbraucher sind (z. B. Host-to-Host, einige SWIFT-Dienste und einige Corporate Card Produkte).“

Die RTS spezifizieren genau, was unter diese Ausnahmen fallen wird und was nicht:

• Es wird erwartet, dass: „Die Verwendung von proprietären, automatisierten Host-zu-Host (Maschine-zu-Maschine) -beschränkten Netzwerken, hinterlegten oder virtuellen Unternehmenskarten, wie sie beispielsweise im Rahmen des zugriffskontrollierten Geschäftsreisemanagements oder des Unternehmenseinkaufssystems verwendet werden, potenziell in den Anwendungsbereich dieser Freistellung fallen werden.“

• Die Verwendung von physischen Unternehmenskarten, die an Mitarbeiter für Geschäftsausgaben ausgegeben werden, fällt, wenn kein sicherer, dedizierter Zahlungsprozess und kein sicheres Zahlungsprotokoll verwendet werden (zum Beispiel wenn Online-Einkäufe über eine öffentliche Website getätigt werden), nicht unter diese Ausnahmeregelung.

Transaktionen mit geringem Risiko

Gesetzt der Annahme, dass SCA normalerweise für eine Transaktion gilt, sind die Zahlungsdienstleister befugt, Transaktionen zu bewerten und sich dafür zu entscheiden, die SCA-Protokolle nicht auf diejenigen anzuwenden, die ein „geringes Betrugsrisiko“ darstellen.

Die Zahlungsdienstleister haben strenge Grenzwerte, um die Risikoraten von Transaktionen in Echtzeit bewerten zu können. Die Betrugsraten des Zahlungsdienstleisters (insgesamt - nicht nur für einen bestimmten Händler) müssen die folgenden Grenzwerte für die verwendete Zahlungsart und den Wert der Transaktion unterschreiten:

*Die Betrugsrate darf nicht höher sein als diese Beträge, damit die Freistellung in Anspruch genommen werden kann.

Sowohl der Zahlungsdienstleister des Zahlungsempfängers, als auch der Zahlungsdienstleister des Endkunden (z. B. ein Kartenaussteller), können diese Ausnahmeregelung anwenden (basierend auf ihren eigenen Gesamtbetrugsraten für diese Zahlungsart). Der ASPSP kann jedoch entscheiden, ob er die Anwendung dieser Ausnahmeregelung akzeptiert oder nicht. So kann beispielsweise ein Karten-Acquirer (der Zahlungsdienstleister des Händlers) die Ausnahmeregelung anwenden, der Kartenaussteller kann sie jedoch wieder außer Kraft setzen.

In der Praxis gehen wir davon aus, dass der Antrag des Zahlungsdienstleisters des Händlers Bestand haben wird, da die Verantwortung für jede daraus resultierende betrügerische Zahlung bei dem Zahlungsdienstleister liegt, der die Freistellung in Anspruch genommen hat.

Transport- und Parkautomaten

Für die Zahlung von Transportkosten oder Parkgebühren an einem Terminal ist keine SCA erforderlich.

Konto-Informationen

Lorsqu’un client utilise un fournisseur tiers (TPP) pour obtenir des services de données de compte afin d’accéder aux données de son compte de paiement, la SCA doit être appliquée si le client :

• Zum ersten Mal auf den Saldo eines Kontos zugreift

• Zum ersten Mal auf vertraulichere Informationen eines Kontos zugreift, z. B. Details aller Transaktionen

SCA muss in folgenden Fällen nicht angewendet werden:

• Wenn erneut auf den Kontostand zugegriffen wird

• Wenn auf die zurückliegenden Transaktionsdaten der letzten 90 Tage, nach der letzten Anwendung von SCA, zugegriffen wird

Überweisungen

Bei Überweisungen zwischen (zum Beispiel) einem Girokonto auf ein Sparkonto, bei denen beide Konten bei derselben Bank von derselben Person geführt werden, ist keine SCA erforderlich.

Die Umsetzung von SCA-Ausnahmeregelungen

Diese SCA-Ausnahmeregelungen sind wichtig, um die durch den zusätzlichen Autorisierungsprozess verursachte Friktion zu minimieren (oder sogar zu beseitigen). Aber wie stellen Sie sicher, dass diese Ausnahmeregelungen tatsächlich angewandt werden, wenn ein Kunde einen Kauf tätigt?

Zunächst wird es erforderlich sein, dass Zahlungsdienstleister und ASPSPs zusammenarbeiten und sich um die Verwendung gemeinsamer Standards bemühen – zum Beispiel 3DS2.

Was passiert, wenn eine Freistellung fehlschlägt?

Die Liste der Ausnahmeregelungen ist zwar inzwischen recht klar, dennoch wird die Bank des Endkunden letztlich entscheiden, ob eine Freistellung erteilt wird. Wird eine Freistellung nicht gewährt, löst die Zahlung einen Ablehnungscode aus. Die Zahlung muss erneut eingereicht und mit Hilfe von SCA-Protokollen autorisiert werden.