Wie sich Online-Händler auf die neue SCA-Richtlinie vorbereiten sollten

Dienstag, 06. August 2019

Am 14. September tritt europaweit eine Regulierung in Kraft, die gravierende Folgen für die Online-Wirtschaft haben könnte. Die Rede ist von der "Starken Kundenauthentifizierung" oder SCA (Strong Customer Authentication). Wenn sie nicht gut umgesetzt wird, kostet das den europäischen Online-Handel jedes Jahr viele Milliarden Euro, warnt Olivier Godement, Product Manager bei Stripe, in seinem Gastbeitrag für HORIZONT Online. Er gibt Tipps, wie sich Händler am besten auf die neue Richtlinie vorbereiten sollten.

Ab Mitte September sind Online-Händler in der Pflicht, ihre Bezahlprozesse mit einer Zwei-Faktor-Authentifizierung abzusichern. Für Verbraucher bedeutet das, dass sie bei einem Großteil ihrer Online-Einkäufe ihre Identität mit mindestens zwei der folgenden Optionen verifizieren müssen: mit etwas, das sie wissen – also beispielsweise einem Passwort oder einer geheimen Frage –, einem Objekt, das sie besitzen – wie einem Smartphone oder einem anderen Authentifizierungsdevice –, oder einem biometrischen Merkmal wie einem Fingerabdruck oder Gesichtsscan.

Erklärtes Ziel der neuen Regelung: Online-Käufe für Verbraucher sowie Unternehmen sicherer zu machen. Für viele europäische Online-Händler stellt die neue Richtlinie jedoch – sofern sie nicht richtig vorbereitet wird – eine enorme Gefahr dar. E-Commerce-Unternehmen setzen heute viel daran, das Einkaufserlebnis für ihre Kunden so reibungslos wie möglich zu gestalten und so die Conversion Rate hoch zu halten. Sollte der Bezahlprozess für Käufer aber weniger leicht von der Hand gehen oder unter Umständen gar dazu führen, dass sie Käufe überhaupt nicht tätigen können, drohen entgangene Erlöse in enormer Höhe.

Als Indien im Jahr 2014 ein ähnliches Gesetz einführte und die Zwei-Faktor-Authentifizierung für alle Transaktionen vorschrieb, sank die Conversion Rate von Online-Händlern vom einen Tag auf den anderen um bis zu 25 Prozent. Eine Studie, die Stripe vor kurzem mit 451 Research durchführte, kam zu dem Ergebnis, dass der europäische Online-Handel um die 57 Milliarden Euro Verlust machen könnte – allein aufgrund des sperrigeren Kaufprozesses, verursacht durch den zusätzlichen Authentifizierungsschritt.

So wappnen sich Online-Händler für SCA

Online-Händler, die bis zum Tag X noch keine Umsetzung der durch die SCA vorgeschriebene Richtlinien in ihrem Checkout-Prozess vorgenommen haben, laufen Gefahr, dass die Bezahlungen ihre Kunden einfach abgelehnt werden könnten. Problematisch ist darüber hinaus, dass die Verordnung von nationalen Regulierungsbehörden und Kartennetzwerken teilweise unterschiedlich ausgelegt wird. Es gibt mehr als 6.000 europäische Banken, oft mit unterschiedliche Auslegungen der Starken Kundenauthentifizierung und ihrer Ausnahmen.

Sollte der Bezahlprozess für Käufer weniger leicht von der Hand gehen oder unter Umständen gar dazu führen, dass sie Käufe überhaupt nicht tätigen können, drohen entgangene Erlöse in enormer Höhe.

Olivier Godement, Stripe

Denn auch die Umstände, unter denen keine zusätzliche Authentifizierung durch den Käufer notwendig ist, sind unübersichtlich. So werden bei wiederkehrenden oder einmaligen Zahlungen von unter 30 Euro keine zusätzlichen Authentifizierungsschritte nötig, bei vielen sehr kleinen Transaktionen, die in Summe einen Gesamtwert von mindestens 100 Euro haben, aber doch wieder. Dieses Beispiel verdeutlicht die vielen komplizierten Einzelfallregelungen, die Händler in Zukunft beachten müssen. Wie können sich Händler also ganz praktisch vorbereiten?

Drei praxisorientierte Lösungsansätze:

Aufsetzen einer eigenen Zahlungsinfrastruktur: Händler verbinden sich mit dem Zahlungskartennetz und allen Zahlungsmitteln, die richtlinienkonform sind – also beispielsweise Apple Pay und Google Pay. Diese Lösung ist sehr komplex, da die Vorschriften und Sonderfälle aller potentiellen Zahlungsströme in alle Herkunftsländer der Bank, Kunden und Zahlungsmittel berücksichtigt werden müssen. Die Erfolgsaussichten dieses Ansatzes sind sehr gut, es bedarf aber massiver finanzieller und personeller Kapazitäten, um das Projekt stemmen zu können – dieser kommt also in erster Linie für große Online-Händler in Frage.

Integration und Anwendung von 3DS2 (3D Secure 2): Dieser Ansatz zielt darauf ab, mithilfe der Lösung eines technischen Partners die Transaktionssicherheit zu maximieren und einen reibungslosen Bezahlvorgang zu gewährleisten. Da voraussichtlich nicht alle Banken 3DS2 zum Stichtag akzeptieren werden, sind die Erfolgsaussichten mittelmäßig. In diesem Fall sind Händler gezwungen, auf 3DS1 zu setzen, was wiederum einen Umsatzrückgang zur Folge haben könnte.

Einbindung eines Payment Service Providers: Da bei diesem Ansatz ein Partner mit ins Boot geholt wird, der alle nötigen Gesetze, Ausnahmen und länderspezifischen Auslegungen kennt, ist die Erfolgsaussicht gut und die Umsetzung einfach. Hier gilt es zu beachten, einen kompetenten PSP zu finden, denn selbst Zahlungsdienstleister sind zum Teil noch nicht hundertprozentig auf SCA vorbereitet.

Auch kurzfristig bieten sich Online-Merchants noch verschiedene Möglichkeiten, sich auf die Starke Kundenauthentifizierung vorzubereiten. Die Erfahrung aus anderen Ländern zeigt: Tun sie es nicht, drohen herbe Verluste. Europäische Online-Händler sollten deshalb zeitnah handeln und sich vorbereiten.