Während der letzten Monate ist es um die europäische Zahlungsdiensterichtlinie PSD2 ruhig geworden. Verbraucher, die regelmäßig online überweisen, haben sich an die Zwei-Faktor-Authentifizierung offenbar schnell gewöhnt. Mit der Bestätigung der eigenen Identität durch Sicherheits-Token, TAN oder biometrische Besonderheiten wie Fingerabdrücke ist ihr Konto vor kriminellen Zugriffen Dritter besser geschützt. Dieses Argument überzeugt rundum.

Die Finanzinstitute wiederum haben die Auflage der EU, eine einheitliche Schnittstelle für den Zugriff auf Kontodaten durch zertifizierte Drittanbieter zu entwickeln, ebenfalls erfüllt. Die Lösung der Sparkassen gilt als besonders vorbildlich. Vor wenigen Wochen würdigte das Fachblatt „IT Finanzmagazin“ das „vollumfänglich positive Gesamtbild“ in Bezug auf die Qualität und Vollständigkeit der Informationen, die Nutzerfreundlichkeit und die technische Verfügbarkeit. 

Viele Karten sind noch nicht registriert

Jetzt dürfte die europäische Zahlungsrichtlinie erneut für Wirbel sorgen. Ab 1. Januar 2021 müssen offiziell alle Transaktionen im E-Commerce, welche per Kreditkarte beglichen werden, ebenfalls mit zwei Faktoren authentifiziert werden. Kurz vor Weihnachten hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jedoch allen Beteiligten Übergangsfristen für die Implementierung eingeräumt. Für die Umsetzung der Starken Kundenauthentifizierung gelten nun folgende Stichtage:

• Ab dem 15. Januar 2021 für Kartenzahlungen im Internet mit einem Betrag über 250 Euro
• ab dem 15. Februar 2021 für Online-Einkäufe mit einem Betrag über 150 Euro
• und ab dem 15. März 2021 für Kreditkartenzahlungen unabhängig von der Betragshöhe.

Jedes Institut, das Kreditkarten ausgibt, und jedes Handelsunternehmen, das online verkauft, muss diese Stichtage beachten.

Sparkassen, die bereits 2019 in ihrer Kundenkommunikation die Neuerungen von PSD2 thematisiert haben, können an diese Erfahrungen anknüpfen. Alle Onlinebanking-Kunden, welche sich bereits für ein Authentifizierungsverfahren entschieden haben, werden dieses auch für Interneteinkäufe nutzen. Bleibt die Frage, wie hoch diese Quote nach den Kampagnen der Kartendienstleister, die viele Sparkassen unterstützt haben, tatsächlich ist.

Wenige Wochen vor dem Jahresende sind viele Karten, die zum Einkauf im E-Commerce verwendet werden, nicht für ein starkes Kundenauthentifizierungsverfahren (SKA) registriert. Aber auch registrierte Karteninhaber müssen nicht unbedingt Erfahrung mit der Zwei-Faktor-Authentifizierung gesammelt haben, weil ihre Transaktionen bislang keine SKA erfordern.

Viele Kunden können sich nicht mehr erinnern

„Viele Kunden können sich an den Registrierungsschritt nicht mehr erinnern, haben zwischenzeitlich ihr Mobiltelefon gewechselt oder das Passwort verlegt“, warnt Andreas Brugger, Seniorberater bei der SIZ GmbH. Deshalb müssten die Konsumenten weiterhin über alle Informationskanäle auf die Zäsur vorbereitet werden.

Zahlungsabbrüche befürchtet

Gerade Kunden, die kaum online überweisen, aber gerne im Internet shoppen, werden von der Aufforderung nach einer zusätzlichen Authentifizierung kalt erwischt. Genau solche Szenarien bereiten Kartendienstleistern und Online-Händlern Sorgen. Wenn Kartennutzer mit der Zwei-Faktor-Authentifizierung nicht zurechtkommen, wechseln sie zu alternativen Payment-Methoden wie Paypal oder Rechnungskauf. Manche brechen den Kaufvorgang völlig ab – für die Online-Händler das Worst-Case-Szenario. 

Nicht alle Händler sind vorbereitet

Aber auch nicht jeder Händler ist auf den Stichtag vorbereitet. Während Branchenriesen wie Amazon und Zalando bereits seit Monaten mit der Zwei-Faktor-Authentifizierung arbeiten, tun sich kleinere Online-Shops mit der Umstellung weiterhin schwer. Mancher Händler hat wohl auch wegen der Coronakrise abgewartet, weil er nicht zusätzliche Risiken in Kauf nehmen wollte.

Solche Unternehmen müssen sich jetzt beeilen. Im Sommer 2020 hat die EU-Kommission einen Vorstoß für eine nochmalige Verschiebung des Umstellungstermins abgelehnt.

Shutterstock

Beratungskompetenz gerade jetzt gefragt

Marktkenner sehen auch die Sparkassen besonders herausgefordert. „Die Beratungskompetenz der Institute wird gerade jetzt gefragt sein“, prognostiziert Henning Brandt, Kommunikationschef des Payment-Service-Providers Computop in München. Vor allem Kunden, die erst seit Kurzem im Internet einkaufen, müssen für dieses Thema sensibilisiert werden.

Einer Marktuntersuchung der Managementberatung Kearney zufolge ist jeder dritte Neukunde Erstkäufer. Im Coronajahr 2020 hat diese Zielgruppe erheblich zum zweistelligen Wachstum von zuletzt 13,3 Prozent (drittes Quartal 2020, Quelle: BEVH) beigetragen. Über 50 Prozent wollen nach dem Ende der Coronakrise weiterhin im Internet einkaufen und mit Mastercard & Co. zahlen.

Jeder zweite Karteninhaber registriert?

Vor allem diese Zielgruppe sollten Sparkassen auf die bevorstehende Änderung aufmerksam machen und nachhaken, ob sie hierauf wirklich vorbereitet haben. Bei vielen E-Commerce-Kunden ist der Beratungsbedarf trotz unserer Kampagnen weiterhin groß. Die meisten haben vermutlich die von Pluscard beziehungsweise Bayern Card Services (BCS) konzipierten Mailings erhalten, die ausschließlich an nicht-authentifizierte Kontoinhaber verschickt worden sind.

Die Kartendienstleister selbst ziehen eine positive Bilanz über ihre Werbeauftritte. „Im Schnitt konnten Institute, die das Sammel-Mailing in einer der drei Tranchen im Frühjahr 2020 verschickt haben, sich über eine Steigerung der Registrierungen um 5,4 Prozent freuen“, resümiert Monika Kummer-Lex, Prokuristin und Abteilungsleiterin Fraud- & Transaktionsmanagement sowie Vertrieb & Verbundbetreuung von BCS.

Die übrigen Institute, die die Mailings des Münchner Dienstleisters nicht eingesetzt haben, mussten sich mit einem durchschnittlichen Plus von gerade mal 0,36 Prozent begnügen. Für 2021 plant BCS weitere Kampagnen. 

Vermutlich jeder zweite Karteninhaber hat sich laut Schätzungen der Kartendienstleister mittlerweile registriert. Auf Dauer werden sich ihrer Meinung nach nur Kunden verweigern, die nicht im Internet einkaufen wollen. „Wir haben mit den Mailings auch die Aktivierungscodes gedruckt“, lautet das Erfolgsrezept. Der Kunde soll es so einfach wie möglich haben. Schließlich kann nur er den vorgeschriebenen Prozess anstoßen und über den Authentifizierungskanal entscheiden.

Sparkassenkunden wählen zwischen zwei Verfahren

Die meisten Sparkassenkunden können zwischen zwei Verfahren wählen – PushTAN und smsTAN.  Beim ersten Verfahren müssen sie die App S-ID-Check downloaden und die Daten ihrer Kreditkarte mit dem Authentifizierungsverfahren oder einem per Brief angeforderten Einmal-Code hinterlegen, beim zweiten können sie einfach ihr vorhandenes Handy weiternutzen. Vor allem für Kunden, die kein Smartphone haben, ist smsTAN attraktiv.

Die Kartendienstleister selbst machen sich vor allem für S-ID-Check stark. „Wir empfehlen die Nutzung der App, da diese weltweit auch dann einsetzbar ist, wenn das Smartphone einmal keine Internetanbindung oder keinen Mobilfunkempfang haben sollte“, sagt Kummer-Lex. „Für solche Fälle kann der User ein Offline-Passwort generieren und Einkäufe mit diesem zu bestätigen.“

Außerdem könne er mit der App Zahlungen per selbst vergebener PIN oder per Fingerabdruck beziehungsweise Face-ID freigeben. Vor allem solchen biometrischen Merkmalen räumen Marktkenner gute Chancen ein, weil sie völlig unkompliziert zu nutzen sind. 

Die Kartendienstleister arbeiten an weiteren Authentifizierungsverfahren für Kunden, die ihr Smartphone beziehungsweise Handy nicht nutzen wollen. Solche User konnten bislang nur Kartenleser und TAN-Generatoren nutzen. Weil sie jedoch solche Geräte auf eigene Rechnung bestellen müssen, spielen diese nur eine untergeordnete Rolle im Markt. 

Käufe unter 30 Euro ohne Zwei-Faktor-Authentifizierung

Bei kleineren Geldtransaktionen unter 30 Euro wird in der Regel keine Zwei-Faktor-Authentifizierung verlangt. Ansonsten können Kunden bei ausgesuchten Online-Händlern dann ohne SKA einkaufen, wenn sie diese in einer sogenannten „Whitelist“ als besonders vertrauenswürdige Zahlungsempfänger klassifizieren. Seit 3. September 2020 erlaubt die EU-Richtlinie diese Besonderheit.

Stammkunden können Vorgang abkürzen

Stammkunden, die überdurchschnittlich oft in einzelnen Online-Shops einkaufen, hinterlegen deren Namen bei ihrer Sparkasse und verkürzen so den Zahlungsvorgang. Ein vergleichbares Verfahren gibt es bereits für Online-Überweisungen. Marktkenner ermuntern die Sparkassen, „Whitelisting“ offensiv zu kommunizieren.

Sparkassen sollten Kunden ermutigen

„Die Sparkassen können sich als Institute des Vertrauens positionieren“, sagt Computop-Kommunikationschef Brandt. „Sie sollten ihre Kunden aktiv ermutigen, Händler, mit denen sie gute Erfahrungen gemacht haben, auf die Positivliste zu setzen.“ Solche Aussagen könnten Teil einer größeren Kampagne zum Thema PSD2 werden. „Wir müssen stärker kommunizieren, wie diese Richtlinie unsere Sicherheit tatsächlich verbessert“, nimmt Brandt die ganze Branche in die Pflicht. 

Weitere Beiträge zur Zahlungsdiensterichtlinie PSD2 finden Sie hier