Transaktionsrisikoanalyse

Der neue 3D-Secure2.0-Standard soll die Umsetzung der starken Authentifizierung erleichtern, indem biometrische Methoden wie etwa der Fingerabdruck oder per SMS oder E-Mail verschickte Einmal-TANs zur Sicherung leichter eingesetzt werden können. Außerdem ermöglicht der neue Standard das Erfassen von bis zu 100 Daten zum Käufer und dem Kaufprozess. Dazu zählen die Anzahl der Transaktionen, die Warenkorbgröße, die Wiederkaufsrate, die IP-Adresse des Käufers oder die Browser-Version. Diese Daten dienen als Basis für die sogenannte Transaktionsrisikoana­lyse. Eine solche Analyse können Finanzdienstleister durchführen, um das Risiko einer betrügerischen Zahlung einzuschätzen. Unterschreitet der Risikowert die vorgeschriebenen Grenzwerte, darf die Zahlung ohne Zwei-Faktor-Authentifizierung abgeschlossen werden.

Allerdings kann die Transaktionsrisikoanalyse nicht auf einen einzelnen Händler bezogen durchgeführt werden. Basis ist immer die Gesamtheit aller Zahlungen mit einer Zahlart. Dennoch gehen einige Payment-Dienstleister davon aus, dass aufgrund der Transaktions­risikoanalyse künftig bis zu 95 Prozent der Kreditkartenzahlungen ohne Zwei-Faktor-Authentifizierung durchgeführt werden könnten.

Dementsprechend groß ist das Interesse der Kreditkartenunternehmen und der Payment-Service-Provider, den 3D-Secure2.0-Standard zu etablieren. Denn wenn der Zwang zum zweiten Faktor aufgrund der Risikoanalyse wegfällt, steigt die Wahrscheinlichkeit, dass der Kunde auch weiterhin mit der Kreditkarte bezahlen will.

Für den Händler heißt das konkret: Er muss prinzipiell für Kreditkartenzahlungen ein 3D-Secure-Verfahren integrieren. De facto werden die Händler aber gut beraten sein, den neuen 2.0-Standard einzusetzen, da er einen deutlich höheren Bedienkomfort für die Online-Shopper und dadurch eine geringere Kaufabbruchquote verspricht.

Die Transaktionsrisikoanalyse ist eine der Ausnahmeregelungen in der PSD2 bei der Zwei-Faktor-Authentifizierung. Sie gilt im Übrigen nicht nur für Kreditkarten, sondern auch für andere  Zahlungsdienstleister. Auch Paypal könnte nach Einschätzung von Experten über die Grundgesamtheit seiner Zahlungen eine Transaktionsrisikoanalyse durchführen, um die starke Authentifizierung in möglichst vielen Fällen zu umgehen. Ob Paypal das tun wird, ist nicht bekannt.

Daneben hat der Gesetzgeber weitere Ausnahmen geregelt, bei denen die Pflicht zum zweiten Faktor nicht gilt. Eine dieser Ausnahmen betrifft Kleinbeträge. So ist bei Beträgen unter 30 Euro keine Zwei-Faktor-Authentifizierung nötig. Das gilt allerdings nur, solange der Kunde insgesamt nicht mehr als 100 Euro seit der letzten mit zweitem Faktor abgesicherten Transaktion über dieses Bezahlverfahren ausgegeben oder nicht mehr als fünf Zahlungen mit dieser Zahlart getätigt hat. Auch wiederkehrende Zahlungen, etwa für Abonnements, sind ausgenommen - selbst wenn es sich dabei um Zahlungen in unregelmäßigen Zeitintervallen und mit unterschiedlichen Summen handelt.

Eine weitere Ausnahme ist das sogenannte Whitelisting - ein Verfahren, bei dem der Online-Shopper vertrauenswürdige Zahlungsempfänger, also auch Shops seines Vertrauens, auf einer Liste hinterlegt, sodass bei Zahlungen in diesem Shop keine Authentifizierung nötig ist. Die Whitelists kann aber nur der Verbraucher selbst bei einem Zahlungsdienstleister führen. Das kann seine Bank, könnte aber auch Paypal sein. Es ist jedoch nicht klar, ob alle Banken solche Whitelists anbieten werden.

Inwieweit ein Händler von den Ausnahmeregelungen profitieren kann, hängt zudem vom Einzelfall ab. Shop-Betreiber sollten sich in jedem Fall bewusst sein, dass Umsetzung und Abwicklung der Ausnahmen sehr komplex sein können. So kann der Händler zum Beispiel nicht wissen, wie oft oder wie viel sein Kunde bereits ohne Authentifizierung mit dem ausgewählten Verfahren bezahlt hat, ob also die Fünfer-Regel oder die 100-Euro-Regel greift oder nicht. Auch die nötige Anbindung an die Banken, um eine Rückmeldung über ein mögliches Whitelisting automatisiert im Shop ver­arbeiten zu können, ist nicht zu unterschätzen.