PSD2-Regulation: Das müssen jetzt Händler und Zahlungsdienstleister wissen

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Die European Banking Authority (EBA) hat mit ihrer kürzlich veröffentlichten EBA Opinion 2019-06 zur PSD2-Regulation einige Fragen beantwortet und neue aufgeworfen. Betroffen sind neben Zahlungsdienstleister auch Online-Händler. Ein Kommentar von Ralf Gladis, Geschäftsführer der Computop.
PSD2-RegulationQuelle: Ivan_Kislitsin - Shutterstock

Vor allem die Bekanntgabe einer gewissen Flexibilität beim Starttermin hat – nach den Erfahrungen der SEPA-Einführung – die Hoffnung geschürt, dass der Zeitplan bis zur verpflichtenden Anwendung der Zwei-Faktor-Authentifizierung etwas mehr Spielraum lässt. Davon betroffen sind insbesondere Zahlungsdienstleister, die mehr Daten verarbeiten, Banken, die Online-Banking-Verfahren umstellen, und Händler, die ihre Checkout-Prozesse anpassen müssen.

Auch der Umgang mit dem bisherigen 3D-Secure-Verfahren für sichere Kreditkartenzahlung steht seitdem Fokus: Kann es weiter, wenigstens als Fallback-Lösung, verwendet werden oder müssen Händler befürchten, dass künftig jede Kreditkartenzahlung rigoros abgelehnt wird, die nicht mit 3D Secure 2.0 übertragen wird?

PSD2-Regulation: Zahlungsdienstleister unzureichend vorbereitet

Leider ist die Payment-Branche nicht gut vorbereitet. Der für alle Beteiligten kritische Aspekt ist der Austausch zusätzlicher Daten, die für das 3D-Secure-2.0-Verfahren nötig sind. Einige kartenausgebende Banken haben bis heute noch nicht alle Software-Anforderungen erfüllt. Der Handel fragt schon seit Wochen nach Lösungen. Und die deutschen Acquirer, die die Kartenzahlungen für den Handel verarbeiten, haben erst am 26.Juni die technische Spezifikation „GICC 5.3“ verabschiedet, die den Datenaustausch zwischen Händler und Acquirer regelt. In anderen Ländern waren die Acquiring-Banken deutlich schneller, und zwar um mehrere Monate schneller. Nun versuchen alle Marktteilnehmer, den Termin am 14. September einzuhalten.

Online-Händler müssen mit Testverfahren beginnen

Selbst wenn alle Techniker sofort Gewehr bei Fuß stünden und extrem schnell arbeiten würden, benötigt ein Händler ein bis zwei Wochen, um das neue System seriös zu testen. Entsprechende Tests müssten also spätestens am 1. September starten. Da bis zu 100 zusätzliche Datenfelder übertragen werden, darf man den Technikern wenigstens vier Wochen für die Software-Entwicklung zugestehen, also hätte der Handel bereits am 1. August mit der Programmierung beginnen müssen.

Das war aber nur wenigen Payment-Dienstleistern möglich, weil sie neben der Bewältigung technischer Herausforderungen auch zahlreiche Verträge mit den Kartenmarken schließen mussten. Ebenso werden viele Händler die Implementierung bis zu dem Stichtag nicht schaffen. Bei Computop haben erste Händler die Authentisierung mit 3D Secure 2.0 einschließlich 100 zusätzlichen Datenfeldern erfolgreich getestet. Wir raten unseren Kunden aber schon lange, vorsichtshalber 3D Secure 1.0 (PSD2-konformer Standard) einzusetzen und parallel dazu Rechnungskauf und Lastschrift einzuführen, damit der Käufer Auswege hat, falls er mit seiner Kartenzahlung nicht zurechtkommt.

PSD2-Regulation: Authentifizierung vom der Bezahlung

3D Secure 1.0 ist grundsätzlich mit der PSD2-Regulation konform, weil vor dem Bezahlvorgang eine Authentisierung stattfindet. In den meisten Fällen ist die Authentisierung mit 3DS 1.0 heute schon konform mit der Zwei-Faktor-Authentisierung (2FA). Früher haben die Banken in Deutschland ihren Kunden nur ein statisches Passwort für 3DS gegeben. Das würde nicht reichen, weil das Passwort nur ein Faktor ist. Heute sind die Sicherheitsverfahren der Banken aber viel weiter. Viele Bankkunden nutzen zum Beispiel pushTAN-Apps ihrer Banken für Online-Überweisungen und Kreditkartenzahlungen mit 3DS 1.0.

Eine pushTAN-App erfüllt die SCA-Anforderungen, weil der Kunde beim Entsperren der App ein Passwort (Wissen), Fingerabdruck oder FaceID nutzt (Biometrie/Inhärenz) nutzen muss und die App außerdem prüfen kann, ob der Kunde sein eigenes Handy verwendet (Besitz). Das ist ein seit mehreren Jahren gelerntes Verhalten der Sparkassenkunden. Die Sm@rt-TAN bei den VR-Banken gibt es als kleinen TAN-Generator sowie mit Foto und App. Auch das ist PSD2-konform. Sparkassen und VR-Banken haben zusammen rund 80 Prozent Marktanteil, aber andere Banken bieten ebenfalls PSD2-konforme Lösungen an.

Ohne 3D Secure 2.0 funktioniert die Kartenzahlung trotzdem mit 3D Secure 1.0. Das hat aber den Nachteil für die Konsumenten, dass sie immer eine Zwei-Faktor-Authentisierung machen müssen. Das ist unbequem und kann zu temporären Konversionsproblemen führen. Deshalb ist es wichtig, dass der Handel seinen Kunden gesicherte Lastschriften und Rechnungskauf als alternative Lösung anbietet, die jeder gute Zahlungsdienstleister schnell zur Verfügung stellen kann. Es besteht also insgesamt kein Grund zur Panik.

Ralf Gladis ist Gründer und Geschäftsführer der Computop.

Über den Autor: Ralf Gladis ist Geschäftsführer der Computop. Der 1997 von Ralf Gladis und Frank Arnoldt in Bamberg gegründete Payment Service Provider bietet Lösungen für den weltweiten Zahlungsverkehr. Ob E-Commerce, M-Commerce, Mail Order/Telephone Order (MOTO) oder Point of Sale – die PCI-zertifizierte Bezahlplattform Computop Paygate stellt Händlern alle wichtigen Absatzkanäle bereits. (sg)

Mehr zum Thema Zahlungsverkehr lesen Sie hier: Mobiles Bezahlen – ungeahnte Vorteile im stationären Handel

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken
Werbung

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.