Viele online Händler befürchten, dass die starke Kundenauthentifizierung zu Kaufabbrüchen und niedrigeren Conversion-Rates führt. Zudem sind mehr als 80 Prozent des Kreditkartenmissbrauchs auf Card-Not-Present-Transaktionen (vor allem im e-Commerce) zurückzuführen. Da erscheint der Handlungsbedarf mehr als offensichtlich. Die Herausforderungen liegen für online Händler und ihre Acquirer jetzt also darin, die richtige Strategie für den Umgang mit der PSD2 und ihren Ausnahmeregelungen zu finden und eine möglichst hohe Akzeptanzquote bei Kartenzahlungen bei gleichzeitig niedriger Betrugsrate zu gewährleisten.

Welche Ausnahmen kommen für Acquirer in Frage?

Um möglichst viele Transaktionen ohne Starke Kundenauthentifizierung abwickeln zu können, können Acquirer folgende Ausnahmeregelungen verwenden: «Low-Value Transactions» (Kleinbetragszahlungen), «Transaction Risk Analysis» (Transaktionsrisikoanalyse) und «Recurring Transactions» (Wiederkehrende Zahlungen).

Als Low Value Transactions gelten Zahlungen mit einem Wert von unter 30 Euro. Gleichzeitig darf der Wert aller Transaktionen seit der letzten Starken Kundenauthentifizierung 100 Euro nicht überschreiten und es dürfen insgesamt nicht mehr als fünf Transaktionen seit der letzten Authentifizierung erfolgt sein. Das Problem dabei: Acquirer können die Zahl der gesamten Transaktionen und des kumulierten Werts einer Karte nicht korrekt nachverfolgen. Die dafür erforderlichen Daten hat nur der Kartenherausgeber.

Bei der Transaktionsrisikoanalyse ist die Ausnahmeregelung von der Missbrauchsrate beim Acquirer in Kombination mit bestimmten Transaktionswerten abhängig. Bei Transaktionen von mehr als 500 Euro greift die Transaktionsrisikoanalyse nicht mehr. Bei Transaktionswerten zwischen 250 und 500 Euro muss der Acquirer eine Missbrauchsrate von maximal 0,01 Prozent nachweisen, um eine Transaktion ohne Starke Kundenauthentifizierung abwickeln zu dürfen. Bei niedrigeren Transaktionswerten werden etwas höhere Missbrauchsraten toleriert (bis maximal 0,13%).

Als wiederkehrenden Zahlungen werden nur solche Transaktionen anerkannt, bei denen der Betrag und der Zahlungsempfänger mit der ersten Transaktion übereinstimmen. Hierbei liegt das Problem in den sehr komplexen Anforderungen an die Implementierung.

Wenn ein Acquirer diese Ausnahmeregelungen nutzt, lassen sich durch den Wegfall der Starken Kundenauthentifizierung sicherlich die Kaufabbrüche reduzieren und die Conversion verbessern. Die Haftung liegt in den meisten Fällen beim Acquirer. Deshalb muss er auf der Basis seiner Risikoeinschätzung und den Möglichkeiten der Ausnahmeregelungen die richtige Balance zwischen Sicherheit und Wirtschaftlichkeit finden. Dazu ist eine kontinuierliche Analyse der Transaktions- und Missbrauchsdaten sowie eine kontinuierliche Verbesserung des Risikomanagements erforderlich.

Netcetera hat dafür als neue Lösung den Netcetera eCom Exemption Advisor für Acquirer und Payment Service Provider entwickelt. Diese Lösung unterstützt auf der Basis verschiedener kundenindividueller Parameter die Entscheidung, ob bei einer Transaktion eine der Ausnahmeregelungen in Anspruch genommen werden kann oder ob eine starke Kundenauthentifizierung durchgeführt werden soll.

Die Delegated Authentication bietet eine grundsätzlich andere Variante, und zwar das bereits der Händler die Starke Kundenauthentifizierung durchführt. Damit kann eine noch bessere Kundenerfahrung realisiert werden, wo ein PSD2 SCA konformer „one-click checkout“ möglich wird.

Kurt Schmid: «Ich sehe Delegated Authentication als eine der besten Möglichkeiten, den Kunden eine nahtlose Nutzererfahrung zu bieten. Dies können Händler jeder Größenordnung nutzen und es vereinfacht die Transaktionsabwicklung erheblich.»