Internationaler elektronischer Zahlungsverkehr benötigt gemeinsame Standards der Zahlungsdienstleister. Mit PSD2 steht eine Harmonisierung bei der Kundenauthentifizierung sowie der Datenübermittlung an. Doch die Verordnung fordert alle Involvierten auf technischer Seite.
AndSus / stock.adobe.com
Ist das Ende des Jahres 2020, eines in vielerlei Hinsicht bemerkenswerten Jahres, zugleich auch das Ende der Kreditkartenzahlung im E-Commerce? Wer sich mit dem aktuellen Stand der Integration von 3D Secure 2 beschäftigt, könnte fast diesen Eindruck gewinnen, denn per Mitte Juli weist der Weg zur reibungslosen Kartentransaktion noch einige Stolpersteine auf. Die gute Nachricht: Inzwischen bemühen sich alle Akteure, anzupacken und sie beiseite zu räumen.
Umsetzung der PSD2 hinkt hinterher
Nach dem 31.12.2020, so verfügte die European Banking Authority (EBA), ist Schluss mit der Nicht-Beanstandung von Online-Kartenzahlungen ohne Starke Kundenauthentifizierung (SCA), die anhand von zwei verschiedenen Faktoren die Berechtigung zur Zahlungsauslösung nachweisen muss. Eigentlich sollte das bereits ab dem 14. September 2019, dem Wirksamwerden der PSD2, der Fall sein. Doch schnell wurde deutlich, dass nur wenige Glieder der Prozesskette dafür vollständig vorbereitet waren. Nach einigen nationalen Alleingängen wurde die Frist zur Umstellung von europäischer Warte aus verschoben.
Die Zwischenzeit haben die Akteure unterschiedlich intensiv genutzt. Da wären die Händler: Rund die Hälfte von ihnen, vor allem diejenigen mit hoher IT-Kompetenz im Haus, waren im November 2019 bereit und warten seitdem auf die Banken. Die andere Hälfte hatte jedoch noch keinen klaren Begriff von den Anforderungen oder von der Dringlichkeit der Umstellung auf das neue Protokoll und schob die Sache noch ein wenig hinaus. Noch heute denken manche Händler, sie kämen in Zukunft ohne Kartenzahlung im Onlineshop aus. Dann würden die Konsumenten eben mit PayPal zahlen und dort die Kreditkarte integrieren – eine gefährliche Haltung gegenüber den kaufkräftigsten etwa 20 Prozent ihrer Kunden. Dabei haben die Händler mit der Anpassung an die Schnittstellen und der Übergabe weiterer Datenfelder noch den geringsten Aufwand.
Transaction Risk Analysis im Auge behalten
Da sind aber auch die Acquirer. Die kartenakzeptierenden Banken sind intensiv dabei, ihre Prozesse Stück für Stück an die Unterversionen 2.0, 2.1 und 2.2 des auch EMV 3DS genannten Protokolls anzupassen. Ihnen kommt dabei in die Quere, dass EMVCo als Standardgeber des Verfahrens nur im Tempo der Konkretisierung der Regulatory Technical Standards (RTS) der PSD2 entwickeln konnte und dabei auch über den europäischen Tellerrand hinausschauen musste.
Als Payment Service Provider mit weltweit rund 60 Acquirer-Anbindungen erlebt Computop sehr unterschiedliche Herangehensweisen und Sachstände. Manche Acquirer wünschen sich eine eigene Zertifizierung, bei manchen hängt der Prozessfortschritt davon ab, welches Übertragungsprotokoll für die Kommunikation verwendet wird, und wieder andere reduzieren die 3DS2-Möglichkeiten zunächst auf das unmittelbar Machbare und gehen damit aufwendigen Entwicklungen wie einer eigenen Acquirer-TRA (Transaction Risk Analysis) vorerst aus dem Weg.
Kreditkartenunternehmen bestimmen das Tempo
Die Schemes wiederum sind die Treiber im Umstellungsprozess. Visa und Mastercard setzen ehrgeizige Timelines auf, um die Prozessbeteiligten anzutreiben. Kein Wunder, denn die Marken wollen die Reputation ihres Produkts schützen, Sicherheit ist oberstes Gebot in der Online-Kartenzahlung. Sie machen sich besonders für die extensive Nutzung der Ausnahmen der PSD2 stark: Vor allem die TRA, das Whitelisting und die Kleinbetragsregelung sind die Faktoren, die für einen reibungslosen Zahlungsfluss ohne Authentifizierung nach dem Checkout sorgen sollen.
95 Prozent aller Transaktionen sind das Ziel im "frictionless flow", das zum Beispiel Mastercard ausgegeben hat. Die sechs großen Kartenmarken Amex, Discover, JCB, Mastercard, Union Pay und Visa halten als Betreiber von EMVCo den Prozess in Schwung – und tragen zugleich durch unterschiedliche Terminvorgaben und Bezeichnungen zur Verwirrung bei. So sind die wichtigsten Ausnahmen bei Visa in der Version 3DS 2.2 enthalten, bei Mastercard jedoch in der Version 2.1+. Coopetition at its best.
Engmaschigeres Sicherheitsnetz für Transaktionen
Die Issuer sind ein weiterer wesentlicher Bestandteil der Prozesskette, schließlich bezahlen sie die Rechnung, wenn faule Äpfel durch die Maschen des Sicherheitsnetzes schlüpfen. Liability Shift heißt das Zauberwort, das Händlern die Risikoübernahme durch die kartenausgebende Bank verheißt. Weil die Issuer das höchste Risiko tragen, haben sie auch das letzte Wort und dürfen – nein müssen sogar – bei verdächtigen Transaktionen jede Ausnahme überstimmen und eine Authentifizierung anfordern.
Um ihren Kontoinhabern diese Mühe zu ersparen, ertüchtigen sie derzeit ihre Access Control Server (ACS). Bis vor kurzem waren viele dieser ACS noch gar nicht in der Lage, eine Transaktionsrisikoanalyse für den Einzelfall auf Basis der Gesamtheit ihrer Karteninhaber in Echtzeit durchzuführen. Auch hier wird intensiv nachgearbeitet, denn schließlich gilt: Ist auch nur ein Glied in der Kette nicht in der Lage, 3DS 2.2 zu gewährleisten, wird die Transaktion insgesamt heruntergestuft und hat eine Authentifizierung durch den Kunden zur Folge.
Bleiben noch die Payment Service Provider: Die meisten Dienstleister waren schon im September 2019 "ready for PSD2" für ihre Händler und stehen doch als Datenmittler zwischen Händlern und Banken jeden Tag vor der Herausforderung, erstere zur Umstellung zu motivieren und den Fortschritt der letzteren zu begleiten. Bis Ende 2020 und möglicherweise auch darüber hinaus.