Am 14. September ist die Zweite Zahlungsdienste-Richtlinie in Kraft getreten. Mit dieser Richtlinie wird auf die vielfältigen Entwicklungen im Bereich innovativer Zahlungsprodukte der letzten Jahre reagiert, speziell im Bereich des Mobilen und Online-Zahlungsverkehr. Vor allem sollen die Verbraucher besser vor Betrug, Missbrauch und sonstigen Problemen bei der Durchführung von Zahlungen geschützt werden. Diese neuen Regelungen zielen auf verbesserte Verbraucherrechte und eine Verringerung von Betrugsfällen. Ein Schlüsselelement von PSD2 sind zusätzliche Sicherheitsauthentifizierungen für Online-Transaktionen über 30 Euro: bekannt als „starke Karteninhaberauthentifizierung“ oder „Strong Customer Authentication“ (SCA). Das bedeutet: Karteninhaber müssen beispielsweise bei Online-Käufen neben ihren Kartendaten eine zusätzliche Form der Identifikation erfüllen.

Im Folgenden erfahren Sie mehr über die SCA-Vorschriften und was sie für Karteninhaber bedeuten. Zudem erläutern wir, wie American Express® die zusätzlichen Sicherheitsauthentifizierung umgesetzt hat.

Warum wird SCA benötigt?

Die Schäden durch Zahlungsbetrug nehmen seit fast einem Jahrzehnt stetig zu, und es gibt nur wenig Anzeichen für eine Entspannung. Die Europäische Kommission ist aktiv geworden, indem sie eine sichere Authentifizierung vorschreibt. Ein besserer Schutz vor Betrug ist eine der Kernkomponenten von PSD2. Seit dem 14. September 2019 werden deshalb alle Online-Transaktionen über ein gesichertes Branchenprotokoll wie American Express SafeKey (3-D Secure) abgewickelt. Online-Transaktionen erfordern damit eine zusätzliche Authentifizierung (mit einigen Ausnahmen).

Was sind die Anforderungen an die starke Kundenauthentifizierung?

PSD2-SCA erfordert die Verwendung von zwei unabhängigen Validierungsquellen. Dies wird durch eine Kombination von zwei der drei folgenden Kategorien sichergestellt („Zwei-Faktor-Authentifizierung“):

– Etwas, das Sie wissen (z. B. PIN)

– Etwas, das Sie besitzen (z. B. Telefon)

– Etwas von Ihnen persönlich (z. B. Fingerabdruck)

Diese Vorgaben gelten nur für Transaktionen, bei denen sich sowohl der Zahlungsleistende als auch der Zahlungsempfänger im Europäischen Wirtschaftsraum (EWR) befindet.

Was ändert sich?

Der Zahlungsablauf wird teilweise etwas anders aussehen als heute. Gegenwärtig ist eine Authentifizierung nur ausnahmsweise erforderlich: Wird beispielsweise das Risiko der Transaktion als „hoch“ eingeschätzt, kann eine zusätzliche Authentifizierung ausgelöst werden. Dies wird allgemein als „Step-up“ oder „Intensivierung“ bezeichnet. Seit September 2019 ist die zusätzliche Authentifizierung zum festen neuen Standard geworden. Alle unter die PSD2-Regelungen fallenden Transaktionen müssen authentifiziert werden, sofern keine Ausnahmeregelung vorliegt.

In einem Szenario, wo eine Karte beim Einkauf vorgezeigt wird, bleibt der Komfort des kontaktlosen Verkaufs am Point-of-Sale bei Transaktionen mit geringem Wert (unter 50 Euro) erhalten. Zudem werden Chip und PIN auch im Europäischen Wirtschaftsraum bei Werten über 30 Euro als gängige Praxis beibehalten. Für Online-Einkäufe und -Zahlungen sind wie bereits erwähnt zusätzliche Authentifizierungen erforderlich. Wobei künftig der Online-Handel von American Express mit SafeKey unterstützt wird. Mit der neuesten 3-D-Secure-Technologie von American Express SafeKey gehen Sie beim Online-Einkauf auf Nummer sicher. Bei manchen Online-Einkäufen erhalten Sie eine TAN per E-Mail und/oder SMS und sind so bei SafeKey-Partnern zusätzlich geschützt.
Weitere Informationen zu SafeKey unter: www.amex.de/safekey

Welche Ausnahmen gibt es?

Nicht alle Transaktionen erfordern eine zusätzliche Authentifizierung. PSD2-SCA benennt eine Reihe von Ausnahmen, die darauf zielen, Karteninhaber nicht zu verärgern und Transaktionsabbrüche zu verringern. Diese Ausnahmen sind:

1. Befreiung bei Transaktionen in geringer Höhe
2. Befreiung bei Abonnements oder wiederkehrenden Zahlungen
3. Whitelist-Befreiung (oder vertrauenswürdige Begünstigte): dies ermöglicht Express List von American Express (siehe unten). Ein kurzes Video mit Erklärungen finden Sie hier.
4. Befreiung bei Transaktionen zwischen Unternehmen
5. Befreiung bei Transaktionen mit geringem Risiko
6. Befreiung bei schriftlichen oder telefonischen Bestellungen
7. Fragen und Antworten

1. Befreiung bei Transaktionen in geringer Höhe

Kartentransaktionen unter 30 Euro gelten als geringwertig und sind grundsätzlich von der Authentifizierung ausgenommen. Die Ausnahmen von diesem Grundsatz:
– Der Kunde veranlasst mehr als fünf aufeinanderfolgende Zahlungen mit geringem Wert.
– Oder der Gesamtwert der Zahlungen übersteigt 100 Euro.

2. Befreiung bei Abonnements oder wiederkehrenden Zahlungen

Zahlungen gleicher Höhe an denselben Händler – wie Abonnements und Mitgliedsbeiträge – sind ab der zweiten Transaktion von der Pflicht zur Authentifizierung ausgenommen. Nur bei der ersten Transaktion ist u. U. eine Authentifizierung erforderlich. Das gilt jedoch nicht, wenn sich die Zahlungsbeträge ändern: etwa wie bei einer Stromrechnung. Dann gilt die Befreiung nicht, auch wenn die Zahlungen regelmäßig an denselben Zahlungsempfänger geleistet werden.

3. Whitelist-Befreiung (oder vertrauenswürdige Empfänger)

Wenn Karteninhaber einem Unternehmen vertrauen, können sie es einer Whitelist zuordnen. Dies ist bereits nach der ersten Authentifizierung möglich. Spätere Transaktionen mit den Unternehmen auf der Whitelist brauchen dann nicht mehr authentifiziert zu werden. Ein kurzes Erklär-Video finden Sie hier.

Allerdings können Kartenherausgeber diesen Antrag ablehnen, wenn das Betrugsrisiko bei einem Karteninhaber als hoch eingeschätzt wird. Sie können die Whitelist (die vom Herausgeber im Namen des Karteninhabers geführt wird) also ignorieren und eine Authentifizierung anfordern.

4. Befreiung bei Transaktionen zwischen Unternehmen

Zahlungen zwischen zwei Unternehmen sind von der Authentifizierungspflicht befreit. Voraussetzung: Die Transaktion wird über ein entsprechend gesichertes, dediziertes Zahlungsprotokoll abgewickelt. Die Europäische Kommission verlangt also keine eigene Authentifizierung, wenn die alternativen Kontrollen für eine ausreichend hohe Sicherheit sorgen. Dazu gehören auch „sichere virtuelle Zahlungen“, wie beispielsweise virtuelle Karten oder B2B-Karten. BTA/I-BTA und vPayment von American Express sind also von SCA nicht betroffen.

5. Befreiung bei Transaktionen mit geringem Risiko

Diese Freistellung hat wohl die größte Tragweite und die größte Bedeutung für die Praxis: Wenn eine Transaktion durch eine Echtzeit-Risikobewertung als risikoarm eingestuft wird, kann eine Ausnahmeregelung gelten. Allerdings gelten für diesen Fall die komplexesten Bedingungen. Damit die Befreiung möglich ist, müssen sich Händler auf American Express als den beauftragten Zahlungsdienstleister verlassen. American Express wird dann die vorgeschriebenen Bedingungen erfüllen, nicht die Händler selbst.

6. Befreiung bei schriftlichen oder telefonischen Bestellungen

Die Freistellung von der Authentifizierung erfolgt auch bei telefonischen oder schriftlichen Bestellungen. Hier entscheidet der Händler über den Rahmen der Authentifizierung des Karteninhabers.

7. FAQs
Fragen und Antworten mit Fokus auf „Firmenkreditkarten/Geschäftsausgaben“ finden Sie hier. (PDF, 10 Seiten).

Update: American Express Information, Stand Dezember 2019 (PDF, 1seiter)