Das 3D-Secure-Protokoll fügt beim Online-Kauf mit Kreditkarte eine Authentifizierungsstufe hinzu. Der Karteninhaber bestätigt seine Identität über einen per SMS erhaltenen Code, eine Benachrichtigung in seiner Banking-App oder ein biometrisches Merkmal. Diese Überprüfung verringert das Betrugsrisiko, indem sichergestellt wird, dass die Person, die bezahlt, tatsächlich die Karteninhaberin oder der Karteninhaber ist.
Nicht alle Online-Shops lösen diesen Schritt aus, und die Gründe dafür liegen sowohl in der Regulierung als auch in den geschäftlichen Entscheidungen der Händler.
A découvrir également : Für Ihre Außenanlage ziehen Sie einen Fachmann hinzu
Befreiungen gemäß der DSP2-Richtlinie zur starken Authentifizierung
Die europäische Richtlinie über Zahlungsdienste (DSP2), die seit 2019 in Kraft ist, verlangt die starke Authentifizierung für die meisten Online-Zahlungen mit Kreditkarte. Diese Verpflichtung deckt jedoch nicht alle Szenarien ab. Der Text sieht spezifische Ausnahmen vor, die von Zahlungsdienstleistern und ausstellenden Banken aktiviert werden können.
Transaktionen mit geringem Betrag stellen die erste Ausnahme dar. Unterhalb eines bestimmten Schwellenwerts kann die Bank die Zahlung genehmigen, ohne das 3D Secure auszulösen, vorausgesetzt, dass die Summe der kürzlichen Zahlungen ohne Authentifizierung ebenfalls unter einem Limit bleibt.
A lire aussi : Mit 50 Jahren heiraten: Warum nicht?
Wiederkehrende Abonnements erhalten eine besondere Behandlung. Nach der Authentifizierung der ersten Zahlung erfolgen die folgenden Abbuchungen, für den gleichen Betrag beim gleichen Händler, ohne erneute Überprüfung. Ein Streaming-Dienst oder ein Zeitungsabonnement wird also nicht bei jeder Fälligkeit nach einem Code fragen.
Ein ausführlicher Artikel zum Thema unsichere Zahlungen auf Geekfinity behandelt die verschiedenen Szenarien, mit denen Käufer konfrontiert sind.
- Transaktionen, die von der Analyse der erwerbenden Bank als geringes Risiko eingestuft werden, basierend auf ihrer Gesamtrate an Betrug.
- Zahlungen an einen vertrauenswürdigen Empfänger, der zuvor von der Karteninhaberin oder dem Karteninhaber auf eine Whitelist bei ihrer Bank gesetzt wurde.
- Vom Händler initiierte Transaktionen (merchant-initiated payments), wie Anpassungen des Betrags nach einer Hotelbuchung oder Fahrzeuganmietung.
Diese Ausnahmen sind nicht willkürlich vom Online-Shop gewählt. Sie sind durch die Regulierung geregelt und werden von der ausstellenden Bank oder dem Zahlungsdienstleister validiert, der das Risiko in Echtzeit bewertet.
Echtzeitanalyse des Risikos und reibungsloser Ablauf
Zahlungsdienstleister wie Stripe, Adyen oder Worldpay integrieren Risikoanalyse-Engines, die jede Transaktion bewerten, bevor entschieden wird, ob die 3D-Secure-Authentifizierung ausgelöst werden muss. Diese Bewertung basiert auf Dutzenden von Parametern, die während der Zahlung übermittelt werden.
Das Protokoll 3D Secure 2, der Nachfolger der ursprünglichen Version, wurde entwickelt, um solche kontextuellen Entscheidungen zu ermöglichen. Im Gegensatz zur ersten Version, die systematisch eine Weiterleitung zu einer Authentifizierungsseite erforderte, überträgt 3DS2 mehr Daten an das Bankennetzwerk: Gerätetyp, IP-Adresse, Kaufhistorie, Surfverhalten.
Wenn die Analyse zu dem Schluss kommt, dass das Betrugsrisiko sehr gering ist, erfolgt die Transaktion im “frictionless”-Modus: der Kunde sieht keinen zusätzlichen Authentifizierungsschritt. Das 3D Secure wurde im Hintergrund tatsächlich angefordert, aber die ausstellende Bank hielt die Überprüfung für überflüssig. Aus der Sicht des Käufers scheint die Zahlung das Protokoll nicht verwendet zu haben.
Diese Unterscheidung ist wichtig. Eine Website, die keinen sichtbaren Authentifizierungsbildschirm auslöst, hat nicht unbedingt das 3D Secure deaktiviert. Der reibungslose Ablauf ist genau das Ziel von 3DS2: Sicherheit bieten, ohne zu verlangsamen.
Warenkorbabbruchrate und geschäftliche Abwägung der Händler
Jeder Schritt, der dem Zahlungstunnel hinzugefügt wird, erhöht das Risiko, dass der Käufer seine Bestellung abbricht. Die starke Authentifizierung, wenn sie erfordert, dass man auf eine Banking-App wechselt oder auf eine SMS wartet, erzeugt messbare Reibung. Online-Händler sind sich dieser Korrelation bewusst und versuchen, sie zu begrenzen.
Händler mit einer niedrigen Betrugsrate können ihren Zahlungsdienstleister bitten, die sogenannte “TRA”-Ausnahme (Transaction Risk Analysis) anzuwenden. Diese Ausnahme ermöglicht es, mehr Zahlungen ohne sichtbare Authentifizierung zu verarbeiten, vorausgesetzt, die Betrugsrate des Händlers bleibt unter den von der europäischen Regulierung festgelegten Schwellenwerten.
Dieser Mechanismus schafft eine Situation, in der große E-Commerce-Websites, die in leistungsstarke Betrugsbekämpfungstools investieren, leichter Ausnahmen erhalten als kleine Händler. Das Paradoxon: Die zuverlässigsten Websites fordern auch am seltensten das 3D Secure von ihren Kunden an.
Websites außerhalb des Europäischen Wirtschaftsraums
Die DSP2 gilt für Transaktionen, bei denen sowohl die ausstellende Bank als auch der Händlerdienstleister im Europäischen Wirtschaftsraum ansässig sind. Eine Website, die in den USA oder Asien ansässig ist und einen nicht-europäischen Acquirer verwendet, unterliegt nicht denselben Verpflichtungen zur starken Authentifizierung.
In diesem Fall kann die europäische Bank des Kunden dennoch eine Authentifizierung verlangen, aber der ausländische Händler hat keine Verpflichtung, diese umzusetzen. Die Zahlung kann dann ohne 3D Secure erfolgen, wobei die Verantwortung im Falle von Betrug auf die ausstellende Bank oder den Händler übergeht, je nach den bestehenden Vereinbarungen.
Verantwortung im Falle von Betrug ohne 3D Secure
Das 3D Secure-Protokoll verändert die Verteilung der finanziellen Verantwortung im Falle einer betrügerischen Transaktion. Wenn das Protokoll aktiviert ist und die Authentifizierung erfolgreich ist, wechselt die Verantwortung vom Händler zur ausstellenden Bank. Dieser Mechanismus, der als “liability shift” bezeichnet wird, schützt den Händler vor Zahlungsanfechtungen (Chargebacks).
Wenn ein Händler sich entscheidet, das 3D Secure nicht zu aktivieren, oder wenn eine Ausnahme angewendet wird, erfolgt dieser Verantwortungsübergang nicht. Der Händler trägt dann das finanzielle Risiko im Falle von Betrug. Diese Entscheidung ist kalkuliert: Einige Händler ziehen es vor, eine niedrige Betrugsrate zu akzeptieren, als Verkäufe aufgrund der Authentifizierung zu verlieren.
Für den Käufer bleibt der Schutz in beiden Fällen gleich. Die europäische Bankenregulierung garantiert die Rückerstattung einer nicht autorisierten Transaktion, unabhängig davon, ob das 3D Secure verwendet wurde oder nicht. Die Bank des Karteninhabers muss dem betroffenen Kunden den Betrag zurückerstatten und kann sich dann an den Händler wenden, wenn der liability shift dies zulässt.
Das Fehlen einer sichtbaren Authentifizierung bei einem Online-Kauf bedeutet also nicht, dass die Zahlung für den Verbraucher weniger sicher ist. Es deutet entweder auf eine regulatorische Ausnahme, einen reibungslosen Ablauf oder eine geschäftliche Abwägung des Händlers hin, der das Risiko an seiner Stelle übernimmt.