PSD2 Realitäts-Check

Starke Kundenauthentifizierung ohne Conversion-Verlust

Es steht definitiv fest: Ab 1. Januar 2021 muss jeder Online-Händler bei Kartenzahlungen eine starke Kundenauthentifizierung durchführen. Nicht alle Online-Händler sind darauf ausreichend vorbereitet und viele befürchten negative Auswirkungen auf ihre Conversion. Daher sorgt die News- und Analyse-Plattform The Paypers gemeinsam mit Netcetera, Aite Group und Nok Nok Labs im folgenden Artikel für Aufklärung.

Es gibt gute Gründe dafür, dass die EU-Kommission und die Europäische Bankenaufsicht EBA im Rahmen der aktuellen Zahlungsdiensterichtlinie PSD2 die starke Kundenauthentifizierung (SCA – Strong Customer Authentication) vorschreiben: Für die Online-Händler stellt der Zahlungsbetrug ein zunehmendes Problem dar: Allein die europäischen Händler geben inzwischen jährlich insgesamt 29 Milliarden US-Dollar zur Verhinderung von Betrug aus. Trotzdem verlieren sie 1,9 Prozent ihres e-Commerce-Umsatzes nur durch Zahlungsbetrug bei inländischen Bestellungen. Die starke Kundenauthentifizierung dient dazu, das Vertrauen von Konsumenten und Händlern in den e-Commerce zu erhalten. Dies bedeutet allerdings, dass Verbraucher bei immer mehr Transaktionen dazu aufgefordert werden, sich mit einem zweiten Faktor, wie zum Beispiel einem One-Time-Password (OTP) oder einem biometrischen Merkmal, zu authentifizieren.

Starke Kundenauthentifizierung reduziert Betrug

Die Aite Group hat eine Analyse zu den Auswirkungen der Starken Kundenauthentifizierung durchgeführt. Dabei erwarten 37 Prozent der Befragten, dass die SCA den Betrug um mehr als 50 Prozent reduzieren wird. Dies würde für die Online-Händler direkte Einsparungen von rund 750 Millionen US-Dollar bedeuten. Dazu kommen noch indirekte Einsparungen, weil sie den Aufwand für ihr Betrugs-Management reduzieren könnten.

Allerdings stellt die Starke Kundenauthentifizierung auch ein Risiko für die Conversion im e-Commerce dar. Zusätzliche Authentifizierungs-Schritte machen den Checkout für die Verbraucher unbequemer. Online-Händler könnten dadurch vermehrt Kaufabbrüche und Umsatzeinbussen verzeichnen. Etwa die Hälfte der Befragten in der Aite-Studie geht davon aus, dass die SCA zu einem Rückgang der Online-Umsätze von 5 Prozent führen wird; 31 Prozent befürchten einen Umsatzrückgang von mehr als 10 Prozent.

Dabei bestehen verschiedene Möglichkeiten, die durch die starke Kundenauthentifizierung entstehenden Risiken deutlich zu reduzieren. In einem ersten Schritt kann man den Kunden unregulierte Zahlungsmethoden anbieten, wie zum Beispiel die Online-Lastschrift. Zudem darf man bei Nutzung einer Transaktions-Risiko-Analyse (TRA) solche Kartenzahlungen, die mit einem geringen Risiko verbunden sind, auch ohne SCA durchführen. Und schliesslich lassen sich noch diejenigen Transaktionen herausfiltern, für die man eine der SCA-Ausnahmen in Anspruch nehmen kann. Ron van Wezel, Senior Analyst bei Aite Group: „Durch solche Massnahmen bleiben am Ende nur noch rund 50 Prozent der Transaktionen, für die eine starke Kundenauthentifizierung erforderlich ist. Dabei kommt es dann darauf an, die bestmögliche Nutzererfahrung zu bieten. Dafür steht mit EMV® 3-D Secure 2.x eine passende Technik zur Verfügung.“

Biometrie verbessert Nutzererfahrung

Wirkungsvolle Technologien, um Kaufabbrüche zu vermeiden, sind ausserdem biometrische Verfahren. Dies belegen Zahlen von Nok Nok Labs. Während statische Passwörter in 30 Prozent der Fälle zu Kaufabbrüchen führen, sind es bei One-Time-Passcodes per SMS noch 15 Prozent und bei biometrischen Verfahren unter 5 Prozent.

Wer biometrische Verfahren nutzen möchte, sollte dies auf Basis der Standards der FIDO-Alliance (Fast Identity Online) tun. Die FIDO-Standards zur biometrischen Authentifizierung werden sowohl von American Express, Mastercard und Visa als auch von den wichtigsten OEMs und Software-Anbietern (z.B. Microsoft, Samsung, Facebook, Apple, Google) unterstützt. So lässt sich zum Beispiel ein Online-Einkauf am Smartphone einfach per Fingerabdruck bestätigen.

Technologien für nahtlose Checkouts

Mit Card on File (COF) und Delegated Authentication können Online-Händler Technologien nutzen, mit denen sie die Anforderungen der PSD2 erfüllen und gleichzeitig ihren Kunden einen nahtlosen Checkout bieten können.

Viele grosse Online-Händler können ihre Kunden identifizieren und auch Informationen zu Payment Verfahren hinterlegen. Mit Card on File auf Basis von Tokenisierung durch die Networks wie Mastercard und VISA können sie Kartendaten in Form von Token (Zahl, die die Original-Kartennummer ersetzt) dauerhaft speichern. Dabei sorgt die Tokenisierung dafür, dass die Daten immer auf dem aktuellen Stand sind und bei einem eventuellen Diebstahl nicht für Missbrauch genutzt werden können. Kurt Schmid, Marketing & Innovation Director für Secure Digital Payments bei Netcetera: „Die Erfahrung zeigt, dass ein Online-Händler seine Conversion-Rate mit der Network Tokeniserung im Vergleich zu Card on File um ca. 6 Prozent verbessern kann.“

Die bei Online-Händlern vorhandenen Informationen über ihre Kunden lassen sich schliesslich auch für Delegated Authentication nutzen. Wenn ein Händler seine Kunden bereits über ein FIDO-konformes Verfahren sicher registriert hat, kann das Login in das Kundenkonto beim Händler als Authentifizierung für Zahlungstransaktionen genutzt werden. Eine Authentifizierung über den Kartenherausgeber ist dann nicht mehr erforderlich. Händler und Kartenherausgeber können diese Art der Authentifizierung durch bilaterale Verträge vereinbaren. Sinnvoller und einfacher erscheint es allerdings, dafür die Services von Mastercard und Visa als „Delegated Authentication Broker“ zu nutzen.

Für den Checkout bedeutet dies, dass die Kunden nicht mehr zwischen Händler-App und Bank-App hin- und hergeschoben werden, sondern die Zahlung mit einem einzigen Click erledigen können – unabhängig davon, ob sie per PC oder Smartphone shoppen.

Kurt Schmid: „Es zeigt sich, dass es für Online-Händler eine ganze Reihe von praktikablen Lösungen gibt, mit denen sie ihren Kunden gleichzeitig Sicherheit und Bequemlichkeit bieten können. Die Anforderungen der PDS2 und der Starken Kundenauthentifizierung lassen sich erfüllen, ohne die Conversion zu gefährden und Umsatzeinbussen befürchten zu müssen.“

Note:
EMV® is a registered trademark in the U.S. and other countries and an unregistered trademark elsewhere. The EMV trademark is owned by EMVCo, LLC.