PSD2: Die SKA ist Pflicht – aber nicht immer zwingend

3-D Secure Datatrans PSD2
Datatrans AG – PSD2: Die SKA ist Pflicht – aber nicht immer zwingend

Mit Datatrans können Online-Händler 3-D Secure in alle Bezahlprozesse integrieren und mit drei einfachen Lösungen die PSD2-Ausnahmenregelungen für sich nutzen, um ihre Conversion zu optimieren.

Seit dem 1. Januar 2021 wird die von PSD2 verlangte starke Kundenauthentifizierung (SKA) nach und nach in den einzelnen Ländern des europäischen Wirtschaftsraums (EWR) durchgesetzt. Bis Mitte des Jahres wird dann das 3-D-Secure-Verfahren für die SKA bei Kartenzahlungen im Online-Handel in allen Mitgliedsstaaten Pflicht sein. Für Kunden ist das Bezahlen durch die Authentifizierung mit zwei Faktoren sicherer, aber leider auch etwas umständlicher.

Allerdings gibt es gesetzlich geregelte Ausnahmen, dank denen Kunden Zahlungen ohne SKA – also reibungslos (engl. frictionless) – durchführen und Shop-Besitzer das Risiko von Kaufabbrüchen verringern können. Datatrans bietet drei Lösungen, mit denen Händler auf diese Weise mühelos und PSD2-konform ihre Conversion stärken können. Alle Lösungen sind 3-D Secure 2 zertifiziert und werden permanent den neusten technischen Vorgaben der Karten-Schemes entsprechend weiterentwickelt.

Vom Händler initiierte Transaktionen.

Sogenannte «Merchant Initiated Transactions (MIT)», also Zahlungen wie z.B. der Einzug von Abo-Gebühren oder von variierenden Stromrechnungen, fallen nicht unter PSD2. Für diese Transaktionen müssen sich Käufer daher nur einmal während der Registrierung für einen Service oder dem ersten Kaufabschluss mit 3-D Secure authentifizieren und den Allgemeinen Geschäftsbedingungen des Shops zustimmen. Nachfolgende Abbuchungen können anschliessend direkt vom Händler ausgelöst werden.

Mit der standardmässig in alle Payment-Produkte von Datatrans integrierten MIT-Lösung speichern Online-Händler dazu die Kartendaten ihrer Kunden als Token ab. Anschliessend erkennt das Datatrans Payment Gateway MIT-Zahlungen automatisch und kennzeichnet diese entsprechend für die reibungslose Genehmigung durch den Issuer.

Datatrans, PSD2, Händler-initiierte Transaktionen, Merchant initiated transactions, MIT

Reibungsloses Bezahlen dank Ausnahmen für Transaktionen mit geringem Risiko oder Wert.

Auch den Kartenherausgebern (Issuer) ist ein möglichst bequemes Bezahlerlebnis mit ihren Produkten sehr wichtig. Daher gewähren sie ihren Kunden häufig von sich aus Ausnahmen von der SKA und übernehmen dafür die Haftung im Betrugsfall. Nach dem Inkrafttreten von PSD2 ist aktuell eine langsame aber stetige Zunahme an frictionless Transaktionen zu beobachten. Es ist davon auszugehen, dass der Anteil in Zukunft noch weiter stark zunehmen wird.

Für Online-Händler bieten die PSD2-Regeln ausserdem die Möglichkeit, eigene Ausnahmen bei den Kartenherausgebern zu beantragen. Die Krux hierbei: Die Issuer lassen sich nicht in die Karten schauen, ob sie für eine Transaktion auf die starke Authentifizierung verzichten. Daher müssen Händler generelle Regelungen für die von ihnen gewünschten Ausnahmen in ihrem Payment-Prozess hinterlegen.

Acquirer-Ausnahmen

Zur Wahl stehen zwei Kategorien dieser sogenannten Acquirer-Ausnahmen: Die Transaktionsrisikoanalyse (TRA) für Zahlungen mit nur kleinem Betrugsrisiko sowie die Low Value Transactions (LVT) für Zahlungen von geringem Wert.

Die TRA-Ausnahmeregelung hängt von der Betrugsrate beim Acquirer des Händlers (dessen Vertragspartner für die Akzeptanz von Kartenzahlungen) in Verbindung mit definierten Transaktionswerten ab. Die maximal möglichen Transaktionswerte sind in drei Stufen von 100 Euro, 250 Euro bis 500 Euro definiert. Je höher der Wert umso niedriger muss die Missbrauchsrate beim Acquirer liegen. Für die beiden höchste Stufe darf diese zum Beispiel maximal 0.01 Prozent betragen.
Der für einen Online-Händler erlaubte Höchstbetrag einer Zahlung wird vom Acquirer festgelegt. Daher benötigen Händler dessen Einverständnis bevor sie die Ausnahme beim Issuer anfragen können.

Unter LVT-Ausnahmen fallen Online-Transaktionen unter 30 Euro. Allerdings dürfen seit der letzten starken Authentifizierung nicht mehr als fünf Transaktionen bzw. nicht mehr als 100 Euro Gesamtwert verbucht worden sein. Der Zähler hierzu läuft allein bei dem Kartenherausgeber und ist daher für Händler oder Acquirer nicht nachverfolgbar.

Datatrans, PSD2, 3-D Secure, Ausnahmen, Exemptions

Auch die Entscheidung, ob eine Zahlung durch eine Acquirer-Ausnahme von der SKA befreit wird, liegt beim Issuer. Genehmigt er sie, dann liegt die Haftung im Betrugsfall beim E-Commerce-Händler. Besteht der Kartenherausgeber jedoch auf die starke Authentifizierung, dann übernimmt er auch die Haftung.
Aufgrund dieser komplexen Abhängigkeiten ist die generelle Entscheidung für oder gegen diese Art von Ausnahmen eine Abwägungsfrage zwischen potenzieller Kosten durch z.B. Kartenmissbrauch oder Rückbuchungen und dem Umsatzgewinn durch eine verbesserte Conversion.

Weiterführende Informationen in unserer Dokumentation.

Interessiert? Datatrans Kunden können in Absprache mit ihrem Acquirer die gewünschten Ausnahmen ganz einfach im Datatrans Backoffice einstellen. Anschliessend übernimmt das Payment Gateway automatisch die Anfrage beim Kartenherausgeber und leitet die Kunden nur dann durch den 3-D-Secure-Prozess, wenn der Issuer diese ablehnt.

Dynamische Anwendung von 3-D Secure.

Für Händler mit Absatzmärkten sowohl innerhalb als auch ausserhalb des EWR bringt PSD2 einen zusätzlichen Level an Komplexität mit sich. Denn Transaktionen mit Karten von ausserhalb des europäischen Wirtschaftsraums können ohne 3-D Secure verarbeitet werden, wenn dem keine Vorgaben seitens des Acquirers des Händlers oder Haftungskostenüberlegungen entgegenstehen.

Möchten Online-Händler möglichst viele ihrer Nicht-EWR-Kunden das Bezahlen ohne Authentifizierung erlauben, bietet «Dynamic 3-D Secure» eine einfache Lösung. Mit ihr lenkt das Datatrans Payment Gateway nur die Transaktionen durch die Zwei-Faktor-Authentifizierung, bei denen es zwingend notwendig ist.

Datatrans, PSD2, 3-D Secure, Dynamic 3-D Secure

Dazu prüft es, ob eine Karte aus einem Land des europäischen Wirtschaftsraums stammt und leitet die Kunden entsprechend durch den Checkout-Prozess. Das Gateway reagiert dabei auch automatisch auf sogenannte «Soft Declines», mit denen Kartenherausgeber Zahlungen vorläufig ablehnen und eine starke Authentifizierung einfordern. Dank dieser automatischen Verarbeitung kann die Lösung Zahlungsvorgänge retten, die sonst mit einem Abbruch enden würden.

Mit «Dynamic 3-D Secure» profitieren Händler so von einem hohen Anteil an reibungslosen Transaktionen und bleiben jederzeit PSD2-konform.

Interessiert? Online-Händler, die «Dynamic 3-D Secure» für Ihre Merchant-ID aktivieren möchten, wenden sich bitte an [email protected] .