Ab dem 14. September 2019 wird es nicht mehr reichen, bei einem Online-Kauf wie üblich schnell und einfach Kartennummer, Verfallsdatum und Sicherheitscode einzugeben! Denn zu diesem Datum tritt eine neue Verordnung der Europäischen Bankenaufsicht in Kraft. Die Richtlinie setzt neue technische Regulierungsstandards und nimmt unter anderem die Forderung nach einer stärkeren Kundenauthentifizierung auf. Als Folge müssen dann bis auf vom Gesetzgeber definierte Ausnahmen alle von der Regulierung erfassten Zahlungssysteme mit einer Zwei-Faktor-Authentifizierung erfasst werden.
Es wird aufwendig! Sind Sie mit Ihrem Shop gewappnet?
Sie wissen sicher: Ab dem 14. September 2019 will die EU mehr Sicherheit beim Bezahlen erzwingen: Und das bedeutet einfach gesagt: Das Bezahlen wird umständlicher! Kreditkartennutzer müssen sich an eine neue Routine gewöhnen, denn zukünftig muss der Händler einen weiteren Faktor abfragen:
Das kann wie bisher beim Online-Banking eine bestimmte Zeichenkombination, also eine TAN sein, die dem Kunden auf dessen Mobiltelefon geschickt wird, oder beispielsweise ein Fingerprint, der den Online-Käufer als rechtmäßigen Nutzer der Karte ausweist. Ab Mitte September greift eine EU-Richtlinie, durch die eine doppelte Kundenauthentifizierung zur Pflicht wird: Dann müssen zwei von drei Faktoren beim Bezahlen zum Einsatz kommen:
Diese drei möglichen Sicherheitsmerkmale sind:
- etwas, das nur der Kunde weiß, wie Passwort oder PIN;
- etwas, das nur der Kunde besitzt, wie Karte oder Smartphone;
- etwas, das nur der Kunde haben kann, wie Fingerabdruck, Stimme, Gesicht.
Von den vier beliebtesten Bezahlverfahren deutscher Online-Kunden sind also zwei betroffen:
- Zahlung per Kreditkarte
- Zahlung per Paypal
Nahezu nichts ändern wird sich bei:
- Kauf auf Rechnung, schließlich bezahlt der Kunde hier erst nach Lieferung der Ware per Überweisung
- Bei Kauf mittels Lastschriftverfahren kann diese weiter wie bisher genutzt werden
Vorgehensweise:
Wie ging es denn bisher?
Hat der Kunde seinen elektronischen Einkaufswagen gefüllt, das gewünschte Zahlungsmittel ausgewählt und seine Daten, eingegeben, läuft im Hintergrund ein aufwendiges Prüfverfahren ab, bei dem derzeit rd 12 Merkmale des Käufers authentifiziert und bewertet werden…
Zukünftig:
Der Händler schickt künftig statt bisher rd 12 nunmehr bis zu 120 Datenpunkte an die Bank/Kreditkartenbetreiber des Kunden, mit deren Hilfe das Risiko dieser Transaktion ermittelt werden soll.
Zu diesen zu überprüfenden 120 Datenpunkten gehören diverse Rechnungsinformationen, die Bezeichnung der gekauften Produkte, die IP-Adresse des Rechners, von dem die Bestellung aufgegeben wurde, sowie das genutzte Gerät.
Gibt es nun bei den vorliegenden Datenkombinationen (wie bisher) keine Auffälligkeiten, wie etwa eine IP-Adresse aus Afghanistan Brasilien und anderer Kriterien, kann das Zahlungsinstitut auf einen zweiten Faktor verzichten. Wahrscheinlich wird es (wie bisher beim Scan-Zahlen an Terminals) eine Ausnahme bei kleinen Beträgen geben.
Die technische Umstellung auf die neue Zeit beginnt gerade. In den kommenden Wochen werden immer mehr Schnittstellen zwischen Banken und Händlern geöffnet, Instrumente zur Risikoanalyse getestet. Ob alle Banken und Händler rechtzeitig fertig werden, ist offen.
Doch gerade große Händler wie Amazon etc setzen gerade auf eine dritte Ausnahmeregel:
Kunden sollen ihrer Bank oder Kreditkartenanbieter vorschlagen können, die jeweiligen Lieblingshändler auf eine sog Whitelist, also eine persönliche „Ausnahmeliste“ setzen zu können. Dazu soll sich der Kunde nur einmal authentifizieren und die Daten seiner Lieblingshändler eintragen müssen.
Was das bedeutet, können Sie leicht nachvollziehen:
Marktkonzentration auf die bisherigen Topp-Adressen wie Amazon, Otto und Zalando, die vielleicht vergleichbaren guten kleinen Anbieter „beissen wieder einmal die Hunde“… Denn sicher werden Kreditkarten-Institutionen diesen Trend unterstützen, denn es ist sicher einfacher, eine Zustimmung zum Verzicht auf eine starke Kundenauthentifizierung in der Regel nur dann geben, wenn der Händler (und damit das potentielle Ausfallrisiko) ihnen bekannt ist und vertrauenswürdig erscheint.
Denken Sie daran:
“Käufer treffen erst nach der Analyse von hochwertigen, ansprechenden und vor allem nachvollziehbaren, relevanten Content Ihre Entscheidungen und benötigen einen klaren Zahlungsablauf ohne jegliche Stolperstellen… und intelligente Unternehmen bieten ihnen genau diese Inhalte und Abwicklungsmöglichkeiten…
meint Ihr
PS: Ich hoffe, Sie gehören dazu!
2 Comments
Dr. Hans-Jürgen Karg
Ja der Herbst kommt, und nahezu keiner ist gewappnet…
Manuel
Ich danke Ihnen für den interessanten Artikel. Auf neue Gesetze und Verordnungen sollte man natürlich immer gut gewappnet sein.
Mit besten Grüßen,
Manuel