Die starke Kundenauthentifizierung (SCA für Strong-Customer-Authentication) ist ein Thema, das in den kommenden Monaten bei vielen Website-Betreibern, insbesondere bei Onlinehändlern, für Kopfzerbrechen sorgen wird. Es handelt sich dabei um einen Teil der neuen europäischen Zahlungsdiensterichtlinie PSD2, die am 14. September 2019 in Europa in Kraft treten wird – aktuell laufen die Vorbereitungen auf Seiten der Banken und Payment-Dienstleister.

Die neuen Vorgaben, die laut Experten für Händler ein ähnlich gravierendes Thema wie im vergangenen Jahr die DSGVO werden könnten, werden die Art und Weise, wie Menschen online einkaufen und verkaufen, grundlegend verändern. Einkäufe müssen dann mit der Zwei-Faktor-Authentifizierung, also zwei der vorhandenen drei Elemente, bestätigt werden. Zur Auswahl stehen hier Wissen (etwa Passwort), Besitz (ein Mobilgerät oder Dongle) und Biometrie (etwa Fingerabdruck oder Irisscan).

Das alles geschieht nicht, um die Händler zu ärgern, sondern aus der sinnvollen Überlegung heraus, dass bereits heute der Schaden durch Kreditkartenbetrug in Europa bei etwa 1,3 Milliarden Euro liegt, wie die Europäische Zentralbank schätzt. Die neuen Maßnahmen sollen mehr Sicherheit bringen, ohne den Kunden zu verschrecken – so der Plan der EU-Behörden. Ob die Rechnung aufgeht, hängt insbesondere von den Unternehmen ab und davon, wie gut sie das Ganze umsetzen.

Im Prinzip betrifft die SCA jeden Prozess und jedes Unternehmen, bei dem in irgendeiner Weise Geld fließt. Daher werden vor allem sämtliche Onlinehändler – vom Einzelhändler über Plattformen für Fahrgemeinschaften bis hin zu Crowdfunding-Diensten – die jeweiligen Zahlungssysteme anpassen. Immerhin: Je geschickter und nutzerfreundlicher sie das anstellen, desto eher werden sie davon profitieren – durch mehr Sicherheit, weniger Betrugsfälle und durch die Kunden, die das neue Prozedere nicht zu kompliziert finden und eben nicht den Kauf abbrechen.

Doch es droht der Stichtag im September: Wenn sie die Implementierung versäumen, werden die Transaktionen nicht mehr durchgeführt werden können. Ausnahmen für risikoarme Transaktionen haben die Regulierungsbehörden, in Deutschland somit die Bafin, definiert, aber die meisten Händler dürften nicht mit sämtlichen Geschäftsvorgängen darunter fallen. Diese betreffen die Banken oder Zahlungsdienstleister, die eine bestimmte Ausfallrate nicht überschreiten, die jeweils mit der Höhe der Transaktion in Kombination steht.

Viel zu tun für Dienstleister? Auf jeden Fall. Und für die meisten Händler – klein wie groß – ist das Thema zu komplex, um es mal nebenbei inhouse stemmen zu können. Wer sich aktuell mit Payment-Unternehmen unterhält, erfährt recht schnell, dass so langsam alle aufwachen. „Händler müssen sich mit einer Reihe an komplexen Änderungen im Zahlungsfluss befassen, die sich störend auf das Kundenerlebnis auswirken können. Dennoch ist das Bewusstsein unter Händlern gering“, sagt Ron van Wezel, Senior Analyst bei der Aite Group, einem unabhängigen Forschungs- und Beratungsunternehmen. Developer und Implementierungsspezialisten im Shop-Umfeld sagen bereits jetzt, dass sie kaum noch Kapazitäten haben, weil einfach alle entsprechende Umstellungen vornehmen müssen.

Dabei haben immerhin die meisten Payment-Anbieter und Anbieter von Shopsoftware und Shopsystemen entsprechende Tools und API im Angebot, die Händlern und Dienstleistern das Leben zumindest erleichtern können. Der Payment-Dienst Stripe etwa bietet mit der Payments-Intents-API eine neue dynamische Zahlungs-API, mit der Unternehmen ihre eigenen SCA-fähigen Zahlungsformulare entwerfen und die besten Authentifizierungsmethoden (etwa 3D Secure 2, Apple Pay, Google Pay) über eine einzige Integration implementieren können. Hinzu kommt Checkout, eine für SCA optimierte, vorkonfigurierte Zahlungsseite, die Händler mit nur wenigen Zeilen Code integrieren können sowie Billing, eine Reihe von SCA-Tools für Unternehmen mit Abo-Geschäftsmodellen. Wo immer möglich, verzichtet Stripe auf die neuen SCA-Vorkehrungen. Dazu scannt das Unternehmen hinter den Kulissen dynamisch jede Transaktion, um SCA nur bei Bedarf auszulösen und die beste Balance zwischen Nutzersicherheit und Conversion-Optimierung sicherzustellen.