Eine besondere Herausforderung liegt aktuell darin, dass die europäische Zahlungsdiensterichtlinie PSD2 grundsätzlich eine starke Kundenauthentifizierung (SCA, Strong Customer Authentication) verlangt und nur in Ausnahmefällen einen Verzicht erlaubt. Die Kartenorganisationen erwarten nun aber von den Kartenherausgebern und Acquirern, dass sie die Ausnahmeregelungen der PSD2 möglichst weit ausschöpfen, um den Verbrauchern möglichst reibungslose Checkout-Prozesse bieten zu können. Dies wird im Moment dadurch erschwert, dass im Markt noch verschiedene Versionen des Sicherheitsverfahrens 3-D Secure laufen, die nicht alle die Nutzung der Ausnahmen von der SCA ausreichend unterstützen.
Wer die Ausnahmeregelungen möglichst weit ausnutzen will, der kommt nicht an der Transaktions-Risiko-Analyse (TRA, Transaction Risk Analysis) vorbei – eine Regelung, die mit besonders grossem Aufwand verbunden ist. Als Grundlage dient die beim betreffenden Kartenherausgeber oder Acquirer aktuelle Missbrauchsrate. Zusätzlich ist jede Transaktion auf bestimmte Risikomerkmale zu prüfen, zum Beispiel ein auffälliges Ausgabeverhalten des Kunden, ungewöhnliche Informationen über das Endgerät oder die genutzte Software des Kunden, oder Einkäufe bei besonders risikobehafteten Händlern.
Komplexe Aufgabenstellungen für Händler, Acquirer und Issuer
Für Händler bietet Delegated Authentication eine neue attraktive Möglichkeit, ihre Kunden PSD2 konform zu authentifizieren und damit die starke Authentifizierung während des Bezahlprozesses zu Vermeiden. Dazu ist allerdings eine sichere Registrierung der Kunden erforderlich, zum Beispiel mit den Lösungen der FIDO-Alliance (Fast Identity Online). Die Herausforderung liegt hier darin, die Kunden von diesem Verfahren zu überzeugen.
Acquirer haben eine ganze Reihe komplexer Aufgaben zu lösen. Dazu gehört unter anderem die Koordination zwischen Payment Service Providern, Händlern und der eigenen Plattform. Zudem sind Acquirer gefordert, sowohl ihre Händler vor Betrug als auch sich selber vor betrügerischen Händlern zu schützen.
Die Issuer müssen festlegen, wie sie eine risikobasierte Authentifizierung ihrer Karteninhaber organisieren wollen. Eine weitere Herausforderung besteht für sie darin, bei der Authentifizierung zwischen den verschiedenen Acquirer-Ausnahmen (z.B. TRA oder LVP/Low Value Payment) unterscheiden zu können.
Risikomanagement in Echtzeit
Für ein Risikomanagement in Echtzeit sind die Access Control Server-Lösung (ACS) von Netcetera und der Risikomanagement-Lösung Riskshield von INFORM aufeinander abgestimmt. Jede eingehende Transaktion wird vom ACS an Riskshield weitergeleitet. Dort erfolgt die Risikoeinschätzung und das Ergebnis wird an den ACS zurückgemeldet, wo die entsprechende Weiterverarbeitung der Transaktion erfolgt. Wichtig sind die beiden letzten Schritte: Der ACS sendet die Ergebnisse der Authentifizierung an Riskshield, womit dann im Rahmen eines automatischen Lernprozesses das Risikomanagement weiter verbessert wird.
Die Ergebnisse von Riskshield werden umso besser, je mehr Daten zur Verfügung stehen. Dafür wiederum ist die Nutzung von 3-D Secure in der Version 2.x hilfreich, die deutlich mehr relevante Daten verarbeiten kann als die Vorgängerversion 1.0. Insbesondere die Kombination der Transaktionsdaten aus verschiedenen Einkaufskanälen (z.B. Desktop, Mobile, In-App) ermöglicht ein besseres Risikomanagement.
Roger Burkhardt: „Ein Ende-zu-Ende-Ansatz im Risikomanagement erlaubt eine hohe Nutzerfreundlichkeit mit den wenigsten Unterbrechungen im Kaufprozess und reduziert gleichzeitig die Verluste durch Missbrauch. Ganz entscheidend dafür sind Daten: Je mehr Daten zur Verfügung stehen, umso genauer kann die Risikosteuerung erfolgen.“