Die starke Kundenauthentifizierung (SCA) ist eine neue EU Rechtlinie (EU) 2015/2366, Payment Service Directive 2), die am 14. September 2019 im Rahmen der europäischen PSD2-Regelung (Payment Services Directive 2) in Kraft tritt und Änderungen an der Authentifizierung von Onlinezahlungen durch Ihre europäischen Kunden mit sich bringt. Um die SCA-Vorgaben einzuhalten, ist dann 3D Secure, ein neuer Authentifizierungsvorgang, erforderlich.

Kartenzahlungen erfolgen traditionell in zwei Schritten: Autorisierung und Erfassung. Eine Zahlung wird autorisiert, wenn die Kundenbank bzw. der Kartenaussteller eine Zahlung genehmigt; die Zahlung wird erfasst, wenn die Karte belastet wird.

Wenn SCA im September wirksam wird, ist vor der Autorisierung und Erfassung ein zusätzlicher und zwingender Schritt erforderlich: die Authentifizierung. Dieser Schritt dient dem Schutz von Kunden durch Betrugsprävention. Zur Authentifizierung einer Zahlung reagieren Kunden auf eine Aufforderung der Bank und liefern zusätzliche Informationen. Hierbei kann es sich um etwas handeln, das nur der Nutzer weiß, wie z. B. ein Passwort, oder um etwas, das nur der Nutzer besitzt, wie z. B. ein Mobiltelefon, oder um etwas, das der Nutzer ist, wie z. B. deren Fingerabdruck.

Zudem ist es wichtig, zu differenzieren, wann genau SCA nötig ist und wann nicht. Denn SCA ist nicht für jede Online-Transaktion verpflichtend. Für wiederkehrende Einkäufe und Zahlungen unter 30 Euro gibt es beispielsweise Ausnahmen. Daher sollten Unternehmen genau überlegen, in welchen Situationen eine verstärkte Authentifizierung abgefragt werden muss.

Wenn folgende Aussagen auf Sie zutreffen, sollten Sie sich auf die starke Kundenauthentifizierung vorbereiten:

  • Ihr Unternehmenssitz befindet sich im europäischen Wirtschaftsraum (EWR) oder Sie erstellen Zahlungen für verbundene Konten innerhalb des EWR.
  • Sie haben Kunden im EWR.
  • Sie akzeptieren Kredit- oder Debitkarten.

Für einige Transaktionen mit geringem Risiko (basierend auf dem Volumen, der mit dem Zahlungsanbieter oder der Bank assoziierten Betrugsrate) ist zwar keine Authentifizierung erforderlich, jedoch müssen Banken diese Ausnahmen nicht genehmigen und können dennoch eine Authentifizierung des Kunden/der Kundin fordern.

Die PSD2-Regulierung der EU gilt nicht für die Schweiz. Gilt aber für Schweizer Unternehmen, die Zahlungsvorgänge mit dem EWR haben.

Unter unseren online Dokumentationen finden Sie die Anleitung „Stripe SCA Testing Radar“ welche die Standard-Einstellungen bei Stripe aufzeigen und wie Sie diese verändern können.