Suchen

E-Commerce PSD2 und die Zukunft der Kundenauthentifizierung

| Autor / Redakteur: Mirko Hüllemann / Georgina Bott

Die neue Payment Services Directive 2 (PSD2) der EU wird im Januar 2018 in Kraft treten und die Kundenauthentifizierung im Onlinehandel neu regeln – für Händler und Dienstleister auch eine Chance.

In Zukunft wird die PSD2 bei einer Online-Kartenzahlung eine starke Authentifizierung fordern. Onlinehändler sollten darauf achten, welche Zahlungsmöglichkeiten sie ihren Kunden bieten – und wie komfortabel die Kundenauthentifizierung bei ihnen ist.
In Zukunft wird die PSD2 bei einer Online-Kartenzahlung eine starke Authentifizierung fordern. Onlinehändler sollten darauf achten, welche Zahlungsmöglichkeiten sie ihren Kunden bieten – und wie komfortabel die Kundenauthentifizierung bei ihnen ist.
(Bild: gemeinfrei / CC0 )

Die Richtlinie (EU) 2015/2366 wurde von der Europäischen Kommission im Oktober 2015 beschlossen und soll im Januar 2018 wirksam werden. Eine wesentliche Konsequenz dieser PSD2: Sie regelt den Bereich der Kundenauthentifizierung bei Zahlungen im Onlinehandel neu. Im Idealfall sollen für den Endkunden dadurch Sicherheit und Komfort steigen. Man darf aber davon ausgehen, dass für alle Bezahlverfahren die Komplexität bis zu einem gewissen Maß steigt. Gerade für Onlinehändler und Zahlungsdienstleister bieten sich durch die strengeren Bestimmungen aber auch neue Möglichkeiten. PSD2 eröffnet für alle Marktteilnehmer die Chance, sich durch neue Services im Bereich Onlinezahlung Wettbewerbsvorteile zu verschaffen. Die Gleichung wird lauten: mehr Komfort = mehr Kunden.

Drittanbieter und die Bankenwelt

Ein wichtiger Effekt der neuen Regularien ist es, dass sie gleichsam für alle Teilnehmer das Spielfeld auf denselben Level anheben. So öffnet PSD2 für Payment Service Providers (PSP) die bislang für Drittanbieter verschlossene Bankenwelt. Die Zahlungsdienstleiter profitieren von solch einer Öffnung und auch die Banken können sich mit neuen, komfortablen Services für ihre Kunden neu positionieren. Last but not least werden sich in Zukunft auch Onlinehändler im Wettbewerb noch stärker dadurch profilieren können, welche Zahlungsmöglichkeiten sie ihren Kunden bieten – und wie komfortabel die Kundenauthentifizierung bei ihnen ist.

Für Zahlungsdienstleister entsteht durch die begrenzte, aber direkte Kommunikation mit der Bankenwelt die Möglichkeit, bei Kundenauthentifizierungsvorgängen im Onlinehandel innovative Services zu bieten. Ein mögliches Szenario: Wenn sich der Kunde im Onlinebezahlvorgang etwa mit seiner EC-Karte und per Chip-TAN authentifizieren möchte, kann ein Zahlungsinstitut diese Authentifizierung in Zukunft sofort prüfen. So werden auch ganz neue Instant-Payment-Optionen möglich. Von einem derart engen Zusammenspiel von PSPs und Finanzinstituten profitieren am Ende alle: Der Onlinehändler, sein Kunde, das Zahlungsinstitut und die Bank.

Starke Authentifizierung mit zwei Faktoren

Bei gewissen Zahlungsverfahren macht PSD2 neue Kundenauthentifizierungsmethoden notwendig. So dürfte etwa beim Mobile Payment eine SMS-TAN auf das Smartphone nicht mehr zulässig sein. Denn in Artikel 97 schreibt die PSD2 eine sogenannte starke Kundenauthentifizierung vor, wenn der Zahlende beispielsweise online auf sein Zahlungskonto zugreift oder einen elektronischen Zahlungsvorgang auslöst. Stark wird die Authentifizierung, wenn dabei wenigstens zwei von drei möglichen Kategorien herangezogen werden.

Diese drei Authentifizierungskategorien sind:

  • Wissen: etwas, das nur der Nutzer weiß (etwa ein Passwort).
  • Besitz: etwas, das nur der Nutzer besitzt (etwa eine Chip-Karte).
  • Inhärenz: etwas, das dem Nutzer persönlich beziehungsweise körperlich zu eigen ist (etwa ein Fingerabdruck).

Umständliches 3D Secure

Schon die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legte in ihren „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) aus dem November 2015 einen Schwerpunkt auf eine starke Authentifizierung. Auch die einschlägigen Verfahren der Kreditkartenfirmen – wie der 3D Secure Code bei VISA oder der SecureCode bei MasterCard – sollen das Sicherheitsniveau erhöhen. Wobei manche Institute diese Verfahren noch um Elemente wie Push-TANs, Smartphone-Apps oder Kartenlesegeräte ergänzen, um die Sicherheit bei der Kartenzahlung im Internet weiter zu erhöhen.

(ID:44658078)