Starke Kundenauthentifizierung

Erste Ergebnisse, Beobachtungen und Empfehlungen

Die Starke Kundenauthentifizierung (SCA, Strong Customer Authentication), die die europäische Zahlungsdiensterichtlinie PSD2 für Kartenzahlungen im E-Commerce vorschreibt, ist jetzt Pflicht. Die letzten Übergangsfristen zur Einführung sind in vielen europäischen Ländern gerade abgelaufen. Dies ist ein guter Zeitpunkt für eine erste Zwischenbilanz. Welche Entwicklungen sind zu beobachten und welche Schlussfolgerungen lassen sich daraus ziehen? Netceteras Experten Kurt Schmid, Marketing & Innovation Director Secure Digital Payments, und Biljana Kuzeska Ivanoska, Senior Product Manager Secure Digital Payments, liefern Antworten.

Netcetera hat auf Basis der Transaktionsdaten der betrieben 3-D Secure Issuer Services Auswertungen gemacht, alle genannten Zahlen beziehen sich auf diese Messungen.

Auffällig ist zunächst, dass die Genehmigungsrate bei Kartentransaktionen (authentication approval rate), die nach den Regeln der PSD2 abgewickelt werden, bei 85,5 Prozent liegt, während sie bei Transaktionen, die nicht von der PSD2 erfasst sind, rund 89 Prozent beträgt. Dies führt zu der Kernfrage, wie Online-Händler und Payment Service Provider (PSPs) die Anforderungen der PSD2 erfüllen und gleichzeitig die Conversion verbessern können.

Transaktionen und Erfolgsrate pro Land der Online-Händler
Transaktions-Channel und Erfolgsrate

Die Conversion beschreibt die Quote der erfolgreich abgeschlossenen Kaufvorgänge von denjenigen Kunden, die den Checkout-Button angeklickt haben. Für einen erfolgreichen Abschluss sind diverse Hürden zu nehmen: Der Kunde muss die Daten für die ausgewählte Zahlungsart richtig eingeben, diese Daten müssen richtig verarbeitet werden, der Kunde muss den Authentifizierungsprozess erfolgreich absolvieren und schliesslich muss es noch eine positive Autorisierungsantwort geben. An all diesen Punkten kann ein Abbruch erfolgen – mit der entsprechend negativen Auswirkung auf die Conversion.

Kaufvorgänge werden zum Beispiel abgebrochen, wenn dem Kunden die Eingabe der Kartendaten zu umständlich erscheint, wenn seine Karte noch nicht für E-Commerce-Transaktionen freigegeben oder die Kartengültigkeit abgelaufen ist, wenn die Authentifizierung des Kunden fehlschlägt oder wenn die Autorisierung wegen eines falschen CVV oder einer Limit-Überschreitung nicht erfolgen kann.

Breite Datenbasis

„Wir können für solche Messungen auf Daten aus dem eigenen Access Control Server (ACS) zurückgreifen und damit die Entwicklungen aus Sicht der Kartenherausgeber beschreiben.“ erklärt Biljana Kuzeska Ivanoska. Von Juli bis Dezember 2020 wurden bestimmte Daten auf Monatsbasis betrachtet, ab Januar 2021 auf Wochenbasis. Transaktionen, bei denen einer der Beteiligten von ausserhalb Europas kam, wurden ebenso herausgefiltert wie Test- und Non-Payment-Transaktionen. Insgesamt umfasste der Datensatz der Stichprobe rund 2,5 Millionen Einträge mit jeweils etwa 50 Attributen.

Ein wichtiges Ergebnis: Im Durchschnitt sind nur 91 Prozent der Karten für die Starke Kundenauthentifizierung registriert, wobei beim besten Issuer nur 0,5 Prozent der Karten nicht entsprechend registriert waren. Zugleich sind durchschnittlich 2,8 Prozent der Karten gesperrt. Nicht registrierte und gesperrte Karten führen zu einer Verschlechterung der Conversion von etwa 12 Prozent. Dies ist für Issuer wie für Händler gleichermassen unbefriedigend.

Gesamtzahl der Transaktionen und % der beanstandeten Transaktionen

Anhand der Daten aus dem ACS lässt sich auch die Entwicklung der verschiedenen Versionen von 3-D Secure verfolgen. Dabei fällt auf, dass bei der Version 2.1 eine signifikante Zunahme zu verzeichnen ist, aber immer noch mehr als 50 Prozent der Transaktionen über die Version 1.0 abgewickelt werden. Die Version 2.2 steht noch am Anfang einer breiten Nutzung.

Protokolle genutzt von Online-Händlern
Der Anteil an EMV® 3DS Transaktionen steigt

Eine weitere interessante Erkenntnis: Die Zahl der Transaktionen, die per 3-D Secure abgewickelt werden, nimmt seit dem Herbst 2020 kontinuierlich zu. Gleichzeitig nimmt die Zahl der Transaktionen ab, bei denen von den Kunden eine SCA gefordert wird. Dies liegt daran, dass bei immer mehr Transaktionen eine der Ausnahmen von der SCA in Anspruch genommen wird. Dabei kommt in 87 Prozent der Fälle eine Transaktions-Risiko-Analyse (TRA, Transaction Risk Analysis) zum Einsatz. Die Ausnahmeregelung für Kleinbeträge greift bei 11 Prozent der Transaktionen. Auf das Whitelisting, bei dem die Kunden bei ihrem Kartenherausgeber die vertrauenswürdigen Händler kennzeichnen, spielt bisher noch keine nennenswerte Rolle, obwohl es zur Erfolgsrate stark beitragen könnte.

Der Grossteil der Transaktionen mit Ausnahmen nutzt TRA
Zunehmende Anzahl an Transaktionen mit Ausnahmen
Bereich der Beträge auf die Ausnahmen angewendet werden
% der Kartenherausgeber die alle, manche oder keine der Ausnahmen abwickeln

Kommunikation und Kooperation

Insgesamt lässt sich festhalten, dass die Kartenherausgeber an mehreren Stellen aktiv werden können, um die Conversion zu verbessern. Dies fängt insbesondere bei einer möglichst nutzerfreundlichen Gestaltung des Onboarding-Prozesses zur starken Kundenauthentisierung an. Hilfreich ist ausserdem die konsequente Ausnutzung der Ausnahmeregelungen, um die Karteninhaber so wenig wie möglich mit der starken Kundenauthentifizierung konfrontieren zu müssen. Darüber hinaus kann das Angebot von Whitelisting ein relativ einfacher Weg sein, um die Conversion deutlich zu steigern.

Kurt Schmid dazu: „Solche Massnahmen funktionieren vor allem dann besonders gut, wenn die Kartenherausgeber eine intensive Kommunikation mit ihren Kunden pflegen. Ausserdem besagt 3-D Secure, dass hier drei Parteien (Three Domains) beteiligt sind. Also ist die Kooperation aller Beteiligten gefordert. Und schliesslich gilt hier – wie bei allen neuen Technologien: Testen, testen, testen.“

Sie wollen mehr über die ersten Ergebnisse zu PSD2 SCA erfahren?

Weitere Stories

Zu diesem Thema

MEHR STORIES