SCA – die Bilanz nach 2 Jahren: So lief Einführung und Umsetzung der starken Kundenauthentifizierung
Die SCA-Einführung: Es war fast ein bisschen, als würden die grundlegenden Straßenverkehrsregeln geändert und statt Rechtsverkehr gelte plötzlich Linksverkehr. Solche grundlegenden Veränderungen würden sicher einen Anstieg der Unfälle nach sich ziehen, während sich Autofahrer an die neue Regelung gewöhnen.
Etwas Ähnliches geschah vor etwas mehr als zwei Jahren mit Online-Zahlungen in der EU, als die starke Kundenauthentifizierung (SCA) eingeführt wurde. Jetzt ist das Vereinigte Königreich dabei, die neue Verordnung ebenfalls endgültig umzusetzen. Das weitreichende Regelwerk, das vorschreibt, wie Kundinnen und Kunden Transaktionen zu bestätigen haben, wurde dort vor wenigen Wochen vollständig in Kraft gesetzt. Damit wird ein langer Einführungsprozess in ganz Europa abgeschlossen.
von Marcos Raiser do Ó, Stripe
Die starke Kundenauthentifizierung wurde von der Europäischen Kommission als Teil von PSD2 eingeführt und ändert die Art, wie europäische Kunden Online-Zahlungen authentifizieren. Die Verordnung verfolgt ein wichtiges Ziel – die Verringerung des Betrugs im Online-Zahlungsverkehr –, aber ihre Umsetzung hat Kollateralschäden verursacht. Insbesondere hat sie zu einer komplexen operativen Belastung und zu einem Anstieg der Ablehnungsquote legitimer Transaktionen geführt.SCA macht Online-Zahlungen sicherer
Im Rahmen von SCA müssen Kunden eine Zwei-Faktor-Authentifizierung vornehmen, um ihre Identität zu beweisen – üblicherweise durch 3DSecure (3DS). Das Protokoll, das erstmals 2001 eingeführt wurde, enthält ein Verfahren, bei dem Einkaufende eine gesicherte Webseite ihrer Bank besuchen, um die Legitimität der Zahlung zu bestätigen. In den letzten Jahren wurden aktualisierte Versionen veröffentlicht – 3DS2, 3DS2.1 und 3DS2.2 –, die es Unternehmen ermöglichen, mehr Informationen an die Bank des Kunden zu senden. So können einige Transaktionen abgeschlossen werden, auch ohne dass der Kunde die Website des Händlers verlassen muss.
Durch SCA wurde neu geregelt, wer einer Transaktion wie zustimmen muss. Wenn eine Partei nicht bereit ist, das Protokoll umzusetzen, bricht die Authentifizierung zusammen und die Transaktion schlägt fehl.”
Zwei Jahre SCA in der EU – Zeit, Bilanz zu ziehen
Da SCA in ganz Europa nach und nach durchgesetzt wird, ist es an der Zeit, Bilanz zu ziehen. Im letzten Jahr gab es viele gescheiterte Transaktionen: Wir haben gesehen, dass selbst dann, wenn die meisten Beteiligten SCA-Standards eingeführt haben, viele Transaktionen nicht zustande kommen.
Dieses Scheitern spiegelt ein entscheidendes Merkmal des Online-Zahlungsverkehrs wider: Er ist nur so stark wie sein schwächstes Glied.”
Wenn auch nur ein Teilnehmer einer Mehrparteien-Transaktion die SCA-Regeln nicht einhält oder nicht in der Lage ist, die Verordnung korrekt umzusetzen, scheitert die gesamte Transaktion.
Nehmen wir als Beispiel die kartenausgebenden Banken. Sie standen vor großen Herausforderungen bei der Umsetzung der SCA-Standards. Vor allem im Jahr 2020, als die Durchsetzung des SCA-Standards im EWR gerade erst begann, kam es häufig vor, dass Issuing Banks endgültige Ablehnungen für Transaktionen aussprachen. Diese hätten allerdings leicht durchgeführt werden können, wenn die Bank nur eine weiche Ablehnung ausgesprochen und mehr Daten angefordert hätte, was durchaus möglich ist..
Bei der Durchsetzung der Vorschriften gab es ebenfalls erhebliche Unterschiede zwischen den einzelnen Ländern.
So lehnten beispielsweise kartenausgebende Banken in Dänemark und Spanien Transaktionen eher ab als solche in Frankreich.”
In Märkten wie Deutschland und Italien war die Registrierung von Karteninhaberinnen und Karteninhabern für SCA-konforme Lösungen bei ihren ausstellenden Banken manchmal eine Herausforderung, da viele Kunden gar kein System zur Zwei-Faktor-Authentifizierung (2FA) eingerichtet hatten.
Ebenso hat Stripe erhebliche Unterschiede in der Leistung der Banken festgestellt, wenn man ihre Performance auf dem neuen 3DS2-Authentifizierungsprotokoll und der älteren 3DS1-Version vergleicht. Einige Banken authentifizieren mehr Transaktionen mit 3DS2, was man sich von einem aktualisierten Protokoll erhoffen würde. Doch im Jahr 2021 schnitt fast die Hälfte mit der älteren 3DS1-Version besser ab.
Ausstellende Banken sind nur eine Partei in jeder Transaktion. Zusätzliche Herausforderungen ergeben sich, wenn verschiedene Parteien die neuen Regeln gleichzeitig beachten müssen. Ein Beispiel: In den letzten zwei Jahren wurde deutlich, dass es bei der Authentifizierung von Transaktionen auf die Art des Geräts ankommt, von dem aus die Authentifizierung erfolgt. SCA-Transaktionen, die von einem mobilen Gerät aus eingeleitet werden, haben eine um drei Prozent geringere Erfolgswahrscheinlichkeit als Transaktionen, die von einem Desktop-Computer aus eingeleitet werden.
Diese Diskrepanz deutet darauf hin, dass der Prozess der Weiterleitung von mobilen Geräten zur Banking-App zur Authentifizierung nach wie vor fehlerhaft sein kann.”
Zwar führen immer mehr Banken 3DS2 zusammen mit dem risikobasierten Authentifizierungsverfahren korrekt ein, aber es ist noch ein langer Weg, bis 3DS2 ein erfolgreiches Standardprotokoll für alle werden wird.
Trotz all dieser Herausforderungen haben die Unternehmen natürlich einen Nutzen von SCA. Durch die Verordnung wird die Haftung für Streitfälle von den Unternehmen auf die ausstellenden Banken verlagert. Doch die Kosten für diesen Nutzen – gemessen an der Zahl der fehlgeschlagenen Zahlungen – sind immer noch viel zu hoch. Visa schätzt, dass 3DS-Transaktionen einen Rückgang der Konversionsraten um elf Prozent erleiden. Das bedeutet, dass mehr als einer von zehn Verkäufen an SCA scheitert.
Die schrittweise Einführung der SCA-Durchsetzung hat das Schlimmste verhindert, nämlich einen zu starken Einbruch der Umsätze. Aber es gibt noch viel zu tun.”
Alle einzelnen Akteure des Zahlungsökosystems müssen nun zusammenarbeiten, um sicherzustellen, dass SCA das vorgebene Ziel – nämlich Betrug im Online-Zahlungsverkehr zu reduzieren – erreicht, ohne dass Unternehmen Umsatzeinbußen erleiden und Kunden verärgert abwandern.Marcos Raiser do Ó, Stripe
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/139636
Schreiben Sie einen Kommentar