Ab September 2019 tritt für die zweite EU-Zahlungsdiensterichtlinie (PSD2) in Kraft. Das bringt einige Änderungen bei Online-Zahlungen mit sich. Abgesehen von den Banken, die Zahlungsdienstleistern nach Zustimmung des Kunden Zugriff auf die Online-Konten gewähren müssen, kommt vor allem auch der Zwang zur starken Authentifizierung mittels zweitem Faktor.

2fA

PSD2 fällt nicht vom Himmel, ebenso wenig wie die DSGVO. Nach nunmehr zweijähriger Frist wird die Regulierung zum Schutz von Online-Transaktionen wirksam. Ziel ist es die Betrügereien mit Kreditkarten zu minimieren. Zwar sind die Schäden im Zusammenhang mit Kreditkarten im Onlinehandel in den letzten Jahren rückläufig, aber immer noch hoch.

Die Regulierung sieht unter anderem technische Maßnahmen vor um sicherzustellen, dass der Kunde auch wirklich Inhaber des Zahlungsmittels ist. Dazu wird im SCA Standard zur starken Kunden Authentifizierung gefordert, dass bei der Benutzung des Zahlungsmittels zwei von drei Faktoren geprüft werden:

  • Besitz
  • Wissen
  • Biometrisches Merkmal

Als Ausnahme gelten Zahlungen bis zu 30€, solange diese eine Tageslimit von 100€ nicht überschreiten.
Dazu stellt das bereits seit 2016 verfügbare Verfahren 3-D Secure 2.0 eine Grundlage dar, die einen wesentlichen Vorteil für Händler bietet:

Da die Authentifizierung eindeutiger ist, werden weniger Zahlungen zurückgewiesen und Betrugsversuche minimiert. Das wirkt sich positiv auf den Kunden aus. Noch besser ist, dass sich die Haftung bei Betrug auf den Kreditkarten-Herausgeber verschiebt, da dieser mit der erweiterten Authentifizierung sicherstellen muss, dass die Karte auch wirklich vom Eigentümer genutzt wird.

Für Onlinehändler stellt sich das recht einfach dar, sie fordern bei Ihrem Zahlungsdienstleister das neue Verfahren an. Dieses muss dann als Plugin im Shop implementiert werden.

Umsetzung

Für die Authentifizierung und nach SCA stehen unterschiedliche Methoden zur Verfügung. Dabei können QR-Codes z.B. mit FaceID oder Fingerabdruck kombiniert werden. Zur Kritikalität biometrischer Faktoren hatte ich schon berichtet. Solange jedoch die Devices diese Faktoren speichern und auswerten, stellen sie ein erhöhtes Sicherheitsmerkmal dar, ohne die Probleme der zentralen Speicherung aufzuwerfen.

Für weitere Informationen sowie bei der  Unterstützung der Implementierung stehen wir gerne zur Verfügung.