Die Voraussetzungen sind vorhanden. Der starke Trend zum Online-Shopping wird weiter anhalten. Viele Online-Händler kennen ihre Kunden bereits und nutzen verschiedene Methoden, um sie zu authentifizieren. Die Kunden nutzen für Online-Shopping immer mehr Smartphones oder Tablets. Die meisten mobilen Endgeräte sowie die meisten Browser unterstützen Biometrie, was die Authentifizierung erleichtert. Händler, die Card on File auf Basis von Tokenisierung nutzen (Kartendaten in Form von Token dauerhaft beim Händler gespeichert), profitieren schon jetzt von höheren Conversion-Rates und verbesserter Nutzerfreundlichkeit. Damit sind alle Voraussetzungen vorhanden, um den Händlern die PSD2-konforme Authentifizierung ihrer Kunden zu ermöglichen.
Gute Gründe für die Delegation der Authentifizierung an Händler
Als PSD2-konforme Authentifizierungsmethode für Händler bietet sich die Technologie der FIDO-Alliance (Fast Identity Online) an. Wenn ein Händler seine Kunden über FIDO sicher registriert hat, kann das Login in das Kundenkonto beim Händler als Authentifizierung für Zahlungstransaktionen genutzt werden. Die FIDO Standards zur Authentisierung werden sowohl von American Express, Mastercard und Visa als auch von den wichtigsten OEMs und Software-Anbietern (z.B. Microsoft, Samsung, Facebook, Apple, Google) unterstützt und sind daher auch in vielen biometrischen Implementierungen unterstützt (z.B. Apple Face-ID oder Windows Hello).
Damit die Bestätigung der Authentisierung vom Händler zum Kartenherausgeber weitergeleitet werden kann, ist das 3-D Secure Protokoll in der Version 2.2 als eine entsprechende technische Unterstützung vorgesehen.
Rechtlich können Händler und Kartenherausgeber diese Art der Authentifizierung entweder durch bilaterale Verträge vereinbaren oder die Services von Mastercard und Visa als „Delegated Authentication Broker“ nutzen. In diesem Fall muss ein Händler nur mehr einen Vertrag pro Scheme machen. Die Kartenherausgeber nehmen automatisch an diesem Programm teil, solange sie von ihrer Opt-Out- Möglichkeit keinen Gebrauch machen.
Für Kunden bedeutet dies, dass sie beim Checkout nicht mehr zwischen Händler-App und Issuer-App zur PSD2 konformen Strong Customer Authenication hin- und herwechseln müssen, sondern die Zahlung mit einem einzigen Klick, bzw. biometrischen Verifikation in der Händler-App, erledigen können – unabhängig davon, ob sie per PC, Tablet oder Smartphone shoppen.
Die technische Umsetzung der Delegated Authentication erscheint auf den ersten Blick ambitioniert. Wenn man dafür aber den richtigen Service Provider an seiner Seite hat und das Broker-Modell nutzt, kann die Implementierung schnell und einfach erfolgen.