Strong Customer Authentication (SCA): EU-Standard für sicheren Zahlungsverkehr

Seit September 2019 gibt es neue Anforderungen zur Authentifizierung von Onlinezahlungen in der Europäischen Union (EU) und weiteren Staaten des Europäischen Wirtschaftsraums (EWR). Sie sind Teil der zweiten Zahlungsdienstrichtlinie, die offiziell auch als PSD2 (Payment Services Directive 2) bekannt ist. Die Umsetzung aller Anforderungen wird voraussichtlich noch bis ins Jahr 2021 hinein dauern.

Ein wichtiger Bestandteil der zweiten, wichtigen EU-Richtlinie für den Zahlungsverkehr ist die Strong Customer Authentication – oder kurz SCA (oft auch „PSD2 SCA“ genannt). Dieser Artikel beleuchtet die Anforderungen der „starken Kundenauthentifizierung” genauer, denn dahinter steckt eine ganze Reihe von gesetzlichen Anforderungen, die allesamt den Zweck haben, das Bezahlen im Internet sicherer zu machen.

Was ist SCA und was bedeutet SCA für zukünftige Zahlungen? Welche Zahlungen sind überhaupt von der Regelung betroffen, welche Ausnahmen gibt es und wie kann der Bezahlvorgang optimiert werden? Diesen Fragen widmen sich die kommenden Absätze.

Was ist SCA und was bedeutet SCA für zukünftige Zahlungen? Kurz gesagt: Strong Customer Authentication ist Teil einer neuen EU-Richtlinie, die Onlinezahlungen sicherer machen soll, indem sie Betrugsmöglichkeiten auf ein Minimum reduziert. Ihre entscheidende Neuerung ist ein zusätzlicher Authentifizierungsschritt, der der eigentlichen Zahlung voransteht.

Gemäß der PSD2-SCA-Richtlinie werden Onlinezahlungen nur noch dann authentifiziert, wenn zwei der folgenden drei Schritte erfüllt sind:

1. Wissen: Der User gibt ein Passwort oder einen PIN an, das bzw. der nur ihm selbst bekannt ist.
2. Besitz: Der User benutzt für die Eingabe ein Desktop-Endgerät, ein Smartphone, eine Smartwatch oder Smartcard, eine Chip-Karte oder einen Hardware-Token, das bzw. die sich in seinem Besitz befindet.
3. Inhärenz: Der User gibt sich via Fingerabdruck, Gesichts-Scan, Stimmerkennung, Iris-Format o.Ä. zu erkennen.

Strong Customer Authentication beschreibt also eine sogenannte Zwei-Faktor-Authentifizierung, die gleich doppelt sichergestellt, dass der User wirklich der ist, der er behauptet zu sein.

Das Prinzip ist aus vielen Onlinebereichen schon lange nicht mehr wegzudenken, bei Onlinetransaktionen war diese zusätzliche Sicherheitsebene bislang aber nicht bindend. Bei diesen war es in der Regel möglich, dass Kunden beim Kauf einfach ihre Zahlungsdaten eingeben und damit den Kauf abschließen. Einige Unternehmen haben eine weitere Authentifizierung zwar schon seit längerem eingeführt, durch PSD2 SCA wird dieser zusätzliche Schritt aber erst jetzt für alle Anbieter verpflichtend.

Die zweite EU-Zahlungsverkehrsrichtlinie wurde bereits am 14. September 2019 eingeführt. Es gilt jedoch noch eine Frist bis 2021, zu er alle Anforderungen vollständig umzusetzen sind. Die Geschichte der Strong Customer Authentication geht aber noch weiter zurück.

Die EU-Richtlinie baut auf drei Schlüsselbereiche einer Gesetzgebung von 2007 auf. Damals – wie heute – ging es der Europäischen Union um folgende Punkte:

1. Die Verbraucherrechte im Zahlungsverkehr zu stärken.
2. Gleiche Wettbewerbsbedingungen durch die Regelung des Zugangs Dritter zu Kontoinformationen zu schaffen.
3. Die Sicherheit für alle Seiten zu verbessern.

Umgesetzt wurden diese Aspekte in der ersten Ausgabe der Payment Service Directive (PSD). Seit ihrer Einführung entwickelten sich die technologischen Fortschritte beim Zahlungsverkehr aber in einem gewaltigen Tempo weiter: So wuchs auch die Anzahl von Onlinebezahldiensten und Third-Party-Providers, kurz TPPs, was Käufern gänzlich neue Möglichkeiten eröffnete, leicht und schnell zu bezahlen. Und auf der anderen Seite Verkäufern ermöglichte, auf Kontoinformationen von Kunden zuzugreifen.

Der Zugang zu Verbraucherkonten lag damit aber quasi offen, was wiederum zu einem erhöhten Sicherheitsrisiko führte. Die Reaktion folgte schnell in Form von klaren Gesetzen, die regeln, auf welche Weise TPPs und Zahlungsdienstleister Zugänge zu den Kundenkonten bekommen können.

Strong Customer Authentication ist nun der nächste Schritt, um den Betrug bei Onlinetransaktionen zu reduzieren. Als eine EU-weite Verpflichtung soll die Technik bei jeder durchgeführten Finanztransaktion zum Einsatz kommen. Sobald der Zahlungsdienstleister des Unternehmens bzw. die Bank oder der Kartenanbieter des Auftraggebers seinen Sitz im Europäischen Wirtschaftsraum (EWR) hat, greift das Gesetz. Auch bei Online-Unternehmen, die ihren Hauptsitz außerhalb Europas haben, können Transaktionen also noch der Strong Customer Authentication unterliegen, sofern die Zahlung beispielsweise über eine Bank aus dem Europäischen Wirtschaftsraum erfolgt.

Ein europäisches Gesetz, das letztlich auch Anbieter betrifft, die außerhalb des EWRs sitzen: Aus diesem Grund sind die neuen Anforderungen zur Authentifizierung von Onlinezahlungen in ihrer Umsetzung so komplex. Zahlungsdienstleister haben deshalb bereits mehrfach um Aufschub bei der Umsetzung von PSD2 SCA gebeten und auch ein konkreter, verbindlicher Stichtag ist bis heute noch nicht festgelegt worden.

3D Secure ist das meistgenutzte Authentifizierungsprotokoll bei Onlinezahlungen. Es wird von den allermeisten europäischen Debit- und Kreditkarten unterstützt und deshalb auch am häufigsten verwendet. Unmittelbar vor dem Abschluss des Bezahlvorgang wird ein weiterer Schritt vom Karteninhaber eingefordert, bei dem es zusätzliche Informationen zu übermitteln gilt. Das kann zum Beispiel die Eingabe einer Handy-TAN oder ein Fingerabdruck über die Banking-App sein.

Für Strong Customer Authentication kommt die neue Version 3D Secure 2 zum Einsatz, was das Authentifizierungsprotokoll ganz offiziell zur Hauptmethode für die Authentifizierung von Onlinekartenzahlungen macht. Die Verbesserungen der neuen Version dienen vor allem der User Experience. Onlinebezahlungen sind so trotz der weiteren Authentifizierungsschritte ganz einfach und schnell durchführbar.

Wer bereits mit Apple Pay oder Google Pay bezahlt, nutzt bereits eine Möglichkeit zur Onlinebezahlung mit integriertem Authentifizierungsschritt. Beide Anbieter haben bereits biometrische und passwortgeschützte Schritte implementiert, trotzdem ist der Bezahlvorgang für Kunden nahtlos durchführbar – ein Musterbeispiel für die Technik hinter PSD2 SCA.

PSD2 SCA hat immer dann Gültigkeit, wenn ein Kunde im Europäischen Wirtschaftsraum Geld überweist oder auf sein Konto zugreifen will. Strong Customer Authentication ist daher immer dann verpflichtend, wenn:

• ein Kunde online auf sein Konto zugreift.
• ein Kunde einen elektronischen Zahlungsvorgang beauftragt.
• ein Kunde bei einer Online-Transaktion einem Risiko von Zahlungsbetrug ausgesetzt ist.

Wie bei jedem Gesetz gibt es auch bei der PSD2-SCA-Regelung potenzielle Ausnahmen wie zum Beispiel eine Abo-Zahlung. Hier soll die starke Authentifizierung lediglich bei der Einwilligung eines Abonnements erfolgen, während der Laufzeit jedoch nicht mehr. Weitere mögliche Ausnahmen sind Zahlungen mit einem geringen Risiko, bei der eine starke Kundenauthentifizierung nicht notwendig ist oder sogar störend sein kann.

Wie bei jedem Gesetz gibt es auch bei der PSD2-SCA-Regelung potenzielle Ausnahmen wie zum Beispiel eine Abo-Zahlung. Hier soll die starke Authentifizierung lediglich bei der Einwilligung eines Abonnements erfolgen, während der Laufzeit jedoch nicht mehr. Weitere mögliche Ausnahmen sind Zahlungen mit einem geringen Risiko, bei der eine starke Kundenauthentifizierung nicht notwendig ist oder sogar störend sein kann.

Es existieren außerdem Schwellenwerte bei geringen Überweisungsbeträgen: So gelten Transaktionen mit einem Wert bis zu 30 Euro als Zahlungen von „geringem Wert”, die grundsätzlich von PSD2 SCA befreit sein können. Um hier nicht eine Häufung kleinerer Betrügereien zu ermöglichen, gibt es allerdings schon heute klare Regelungen für Beträge mit geringem Wert:

1. Banken müssen auch bei Ausnahmeregelungen für eine Karte eine Strong Customer Authentication durchführen, wenn diese im Vorfeld bereits fünf Mal ohne eine neue Authentifizierung genutzt wurde.
2. Übersteigt die Summe der Ausnahme-Transaktionen über 100 Euro, greift bei der nächsten Transaktion die PSD2 SCA unabhängig von der Höhe der Transaktion.

Gerade für kleinere Online-Unternehmen werden die Ausnahmeregelungen sehr nützlich sein. Es muss aber bedacht werden, dass am Ende die Bank des Kunden darüber entscheidet, ob diese Ausnahmen genehmigt werden oder nicht. Damit man keine Kunden verliert, ist es ratsam, mehrere Möglichkeiten der Zahlung anzubieten, die bereits heute PSD2-SCA-konform sind.