E-Payment: Netcetera unterstützt Händler mit risikobasierter Authentifizierung von Inform

Der Bedarf an reibungslosen Bezahlverfahren im E-Commerce wurde in den vergangenen Jahren stetig größer und erreichte 2020 durch die Pandemie ein bisher ungekanntes Ausmaß: Allein in Deutschland ist der Bruttoumsatz von Waren im E-Commerce laut Branchenverband BEVH um 14,6 Prozent gestiegen. Gleichzeitig ist der Schutz vor Betrug für 90 Prozent der Händler eine große Herausforderung. Um dieser Lage Herr zu werden, plädieren die Netcetera und Inform für einen durchgängigen Datenfluss zwischen allen Stakeholdern, eine risikobasierte Authentifizierung in Echtzeit mittels KI-Verfahren sowie digitale, algorithmisch gestützte Entscheidungshilfen.

Risikobasierte Authentifizierung: Zahlungssysteme gegen Betrug absichern

Seit 2021 setzt die zweite EU-Zahlungsrichtlinie (PSD2) die Umsetzung von SCA für alle europäischen Banken verpflichtet voraus. Durch die Abfrage zusätzlicher Daten für die Authentifizierung wie

• Wissen (etwa PIN oder Passwort),
• Besitz (etwa Smartcard oder Handy-App) oder
• Inhärenz (etwa Fingerabdruck oder Gesichtserkennung)

soll die Sicherheit von Transaktionen steigen. Gleichzeitig werden Zahlungsvorgänge für die Verbraucher umständlicher, was zu vermehrten Abbrüchen und damit Umsatzverlusten bei Händlern führt. Daher sieht PSD2 streng reglementierte Ausnahmen (Exemptions) für den begründeten Verzicht auf eine SCA vor. Dafür muss der Zahlungsbetrag unter einem bankspezifischen Wert (Exemption Threshold Value) liegen oder eine Transaktionsrisiko-Analyse muss ergeben haben, dass für die jeweilige Transaktion ein niedriges Betrugsrisiko vorliegt. Nutzername und Passwort sind die beiden häufigsten Elemente, mit denen Online-Händler ihre Kunden authentifizieren. Dies allein genügt selbstverständlich nicht als Grundlage für die Bewertung des Betrugsrisikos.

Eine zuverlässige Transaktionsanalyse in Echtzeit durchzuführen, ermöglicht ein reibungsloses Einkaufserlebnis, ist aber eine enorme Aufgabe. Es gilt nicht nur, all die Kanäle, Zahlungsmethoden und Betrugsmuster miteinzubeziehen, die ständig neu erfunden und weiterentwickelt werden, sondern auch technologische und organisatorische Hürden zu überwinden. Daher setzt Netcetera auf die Echtzeit-Risikoanalyse der Systeme von INFORM.

Das volle Datenpotenzial von 3-D Secure-Verfahren nutzen

Als Anbieter von digitalen Zahlungslösungen und global zertifizierten 3-D Secure-Produkten betreut das Schweizer Unternehmen Netcetera weltweit mehr als 2.000 Banken und Issuer sowie 150.000 Händler. Die Lösungen unterstützen die neusten Versionen des international anerkannten Sicherheitsprotokolls 3-D Secure 2.X. Diese transportieren mehr als 100 Datenelemente pro Transaktion, darunter Basisdaten und folgende Informationen:

• Kartennummer
• Rechnungsbetrag
• Rechnungs- und Lieferadresse
• Informationen über die verwendeten Geräte
• Standorte
• Zeitzonen
• Verhalten
• Kundenbeziehung
• Dauer der Geschäftsbeziehung
• Zahlungsmoral

Zusätzlich lässt sich die Transaktion mit weiteren Informationen anreichern, etwa mit Listen von Karten, die bei Banken oder Strafverfolgungsbehörden registriert sind. Seit der Version 2.0 lassen sich außerdem auch In-App-Käufe oder Digital Wallets verarbeiten, weitere neue Kanäle, über die Betrugsversuche getätigt werden können.

Risikobasierte Authentifizierung mittels künstlicher Intelligenz

„Der Markt bietet Verbrauchern immer neue Möglichkeiten und mehr Komfort. Gleichzeitig wächst die Anzahl der in kurzer Zeit zu verarbeitenden Daten exponentiell. Neue Akteure, Zahlungssysteme und Verfahren – Stichwort Instant Payment – erfordern von unseren Systemen, immer größere Transaktionsvolumina zuverlässig in Echtzeit zu verarbeiten“, erklärt Roy Prayikulam, Bereichsleiter Risk & Fraud bei Inform. Das Unternehmen bietet mit RiskShield einen hybriden KI-Ansatz, der daten- und wissensgetriebene Verfahren integriert. Dabei helfen lernende Systeme (Machine Learning), auch komplexe Betrugsmuster aus Daten zu erlernen und entsprechende Transaktionen zu verhindern.

Entscheidend ist, dass diese Verfahren transparent arbeiten, als Whitebox also, damit sich die Schlussfolgerungen der Algorithmen nachvollziehen lassen. Bleiben die Entscheidungslogiken transparent, sind weitreichende Erkenntnisse über die Betrugsabwehr möglich. Compliance-Experten können Szenarien in Echtzeit simulieren und schnell auf Marktentwicklungen reagieren. Außerdem braucht es die wissensgetriebenen Methoden, die zum Beispiel auf Basis von Fuzzy Logic arbeiten. Deren Entscheidungsmodelle und Regeln können schließlich ad hoc angepasst werden und ermöglichen es, auch aus ungenauen Daten konkrete Entscheidungen und Handlungsempfehlungen abzuleiten.

Ein System, das diesem Ansatz folgt, kann auf Basis der ausgewerteten Daten Betrugsrisiken in Echtzeit evaluieren, ohne das Nutzererlebnis zu beeinträchtigen. Durch die Vielzahl der verschiedenen Datenelemente, die in die feingranulare Bewertung (Scoring) einfließen, lassen sich auch Graustufen identifizieren, Anomalien entdecken und dynamische Profile bilden.

Risikobasierte Authentifizierung: Zusammenspiel der Technologien

Vereint man nun die Stärken dieser beiden Systeme zu einer gemeinsamen Lösung kann eine zuverlässige Transaktionsanalyse zur Risikobewertung durchgeführt werden, um eventuelle Ausnahmen zu begründen. Der Ansatz der risikobasierten Authentifizierung (RBA) hilft also, das Betrugsrisiko zu mindern und kundenseitige Zahlungsausfälle durch Zahlungsabbruch zu reduzieren.

„Indem wir unser Angebot mit der risikobasierten Authentifizierung von RiskShield ergänzen, können wir ein optimales Gleichgewicht zwischen Sicherheit und Komfort bieten“, sagt Roger Burkhardt, Senior Product Manager bei Netcetera. Ziel ist es, die Datenströme der einzelnen Stakeholder durchgängig auf Betrug zu überprüfen und Daten der einzelnen Prozessschritte auch für weitere Prozesse verfügbar zu machen . So liegen für die Authentifizierung bei Händlern oder Acquirern in der Regel meist deutlich mehr Informationen vor, als für die Autorisierung bei Issuer-Banken. Netcetera bietet mit seinen Lösungen die dafür nötige Infrastruktur.

Ein Verbraucher wird bei einem Online-Einkauf im besten Fall schon auf der Website des Händlers identifiziert und erstmals hinsichtlich des Risikos bewertet. Dafür sind Kundenprofile nützlich, etwa bezüglich IP-Adresse und Standort des Kunden, die die Händler erstellen können. Es kann dann bereits Überprüfung stattfinden, ob die Transaktion die Voraussetzungen für eine Ausnahme von der SCA erfüllt. Je nach Konfiguration der Server, findet diese Entscheidung bei Acquirer oder Issuer statt und wird durch weitere Analysen bekräftigt. Diese werden kontinuierlich mit weiteren Transaktionsdaten angereichert und mittels der KI-Lösung von INFORM innerhalb von Millisekunden ausgewertet (siehe Abbildung 2). Das Ergebnis ist eine Empfehlung, ob eine Transaktion autorisiert, abgelehnt oder mittels weiterer Authentifizierungsschritte (SCA) abgesichert werden muss.

SCA auf dem Weg zum internationalen Standard

Indem die SCA also überall da vermieden wird, wo es sicherheitstechnisch möglich ist, verbessert sich das Einkaufserlebnis der Verbraucher signifikant. Das Ergebnis ist ein ausgewogener Ansatz, der sowohl die Reduzierung von Betrug als auch eine Erhöhung der Konversionsraten ermöglicht. Das wird es Händlern erleichtern, Kunden über die neuen Verfahren zu informieren und falls nötig zum Einsatz einer SCA zu bewegen. Eine verbesserte Kollaboration im Datenfluss zwischen Banken und Zahlungsdienstleistern kann schließlich genauere Risikoanalysen ermöglichen, Algorithmen besser anlernen und Betrug verhindern.

Über 20 europäische Kunden konnten Netcetera und Inform auf diese Weise bereits bei der Umsetzung reibungsloser Online-Zahlungen unterstützen. Obwohl die Anforderungen von PSD2 speziell für den europäischen Raum gelten, erregt die Lösung internationale Aufmerksamkeit. „Wir glauben, dass wir zusammen mit unserem Partner Netcetera den Sweet Spot gefunden haben, um Compliance, Betrugsbekämpfung und einen reibungslosen Zahlungsverkehr zu ermöglichen“, sagt Prayikulam. Derzeit wird die Lösung bei drei weiteren Kunden im Nahen Osten eingeführt.