Ein Beitrag von Guillaume Princen, Leiter für die Region Kontinentaleuropa beim Bezahldienst Stripe
Europa steht vor einem großen Umbruch in der Abwicklung von Online-Zahlungen, der weitreichende Auswirkungen auf alle europäischen Unternehmen haben wird. Ähnlich wie die DSGVO unseren Umgang mit personenbezogenen Daten nachhaltig beeinflusst hat, wird auch die starke Kundenauthentifizierung, kurz SCA (Strong Customer Authentication), folgenreich sein – für jeden europäischen Online-Konsumenten, besonders aber für Unternehmen. Mit Inkrafttreten der neuen europaweiten Verordnung am 14. September dieses Jahres wird sich die Art und Weise, wie Online-Transaktionen abgewickelt werden, drastisch verändern.
SCA verlangt eine zusätzliche Authentifizierungsstufe bei Online-Zahlungen. Wo früher die Kreditkartennummer ausreichte, werden Konsumenten nun mindestens zwei von drei Faktoren parat haben müssen, um zum Beispiel eine Reise zu buchen oder Musik-Streaming zu nutzen: etwas, das sie wissen (wie ein Passwort oder eine Pin), etwas, das sie besitzen (wie ein Token oder ein Smartphone), oder etwas, das sie selbst sind (also biometrische Eigenschaften wie ein Fingerabdruck oder Gesichtsmerkmale).
Warum ist das nötig?
Die neuen Vorschriften sollen den europäischen Verbraucher vor Online-Betrug in Milliardenhöhe schützen. So wie der weltweite Onlinehandel bis 2022 voraussichtlich die Billionen-Dollar-Grenze durchbrechen wird, steigt auch die Betrugsgefahr: Allein der Kreditkartenbetrug beläuft sich schon heute auf eine Summe von 1,3 Milliarden Euro, schätzt die Europäische Zentralbank. Eine effektive Betrugsbekämpfung ist daher notwendig und begrüßenswert.
25 Prozent weniger Umsatz über Nacht
Allerdings könnte SCA europäische Online-Unternehmen eine Menge Geld kosten. Für Unternehmen, die nicht ausreichend vorbereitet sind, könnten sich fehlgeschlagene Transaktionen und zusätzliche Reibungsverluste stark negativ auf Conversion-Raten und damit den Umsatz auswirken. Als 2014 eine ähnliche Regulierung in Indien durchgesetzt wurde, vermeldeten einige Unternehmen über Nacht einen Umsatzrückgang von mehr als 25 Prozent. Für die europäische Online-Wirtschaft mit ihrem Volumen von 600 Milliarden Euro würde das einen Schaden in Höhe von 150 Milliarden Euro bedeuten.
Je früher wir alle mit der Vorbereitung anfangen, desto besser: Aktuell sind nur 25 Prozent der europäischen Online-Unternehmen überhaupt über die anstehenden Änderungen im Bilde. Kurz vor dem Stichtag am 14. September könnte es sehr hektisch werden, ähnlich wie kurz vor dem Inkrafttreten der DSGVO im letzten Jahr.
Und die starke Kundenauthentifizierung ist sicherlich nicht weniger komplex als die DSGVO: Die übergreifende EU-Verordnung wird von den nationalen Regulierungsbehörden unterschiedlich ausgelegt, Kartennetze und Banken haben darüber hinaus ihre eigenen Regeln und Richtlinien aufgestellt. Außerdem gibt es wichtige Ausnahmen zu beachten, denn nicht immer ist SCA erforderlich. Für viele Unternehmen ist diese Ausgangslage verwirrend. Es gibt jedoch einige allgemeingültige Prinzipien, die bei der Vorbereitung auf die SCA helfen.
Zunächst einmal sollten Unternehmen den Kaufprozess für Kunden so anpassen und vereinfachen, dass möglichst wenige Probleme bei der Zahlung entstehen. Es gibt verschiedene Möglichkeiten, wie Unternehmen ihren Kunden eine SCA-konforme Bezahlung ermöglichen können: von biometrischer Sicherheit in mobilen Wallets über regionale kartenlose Zahlungsmethoden bis hin zu 3D Secure 2. Für unterschiedliche Geschäftsmodelle eignen sich verschiedene Zahlungsmethoden, und die Präferenzen der Kunden können je nach Standort und Beziehung zum Unternehmen variieren. Daher ist es gut, wenn Unternehmen möglichst viele Bezahloptionen in ihren Checkout-Bereich integrieren. Je nach Kontext kann die relevanteste und einfachste Zahlungsmethode dynamisch als erste vorgeschlagen werden.
Schwerwiegende Folgen bei unzureichender Vorbereitung
Zudem ist es wichtig, zu differenzieren, wann genau SCA nötig ist und wann nicht. Denn SCA ist nicht für jede Online-Transaktion verpflichtend. Für wiederkehrende Einkäufe und Zahlungen unter 30 Euro gibt es beispielsweise Ausnahmen. Daher sollten Unternehmen genau überlegen, in welchen Situationen eine verstärkte Authentifizierung abgefragt werden muss. Kunden haben auch die Möglichkeit, Unternehmen bei ihrer Bank auf eine Whitelist zu setzen, damit sie sich bei zukünftigen Einkäufen nicht mehr authentifizieren müssen. Das ist besonders für Unternehmen mit vielen Stammkunden von Bedeutung. Tatsächlich entscheiden allerdings die Banken der Kunden darüber, ob eine Ausnahme gestattet wird oder nicht. Wenn Unternehmen diese Ausnahmen selbst managen wollen, müssen sie direkt mit den lokalen Banken zusammenarbeiten – und davon gibt es in Europa mehr als 6.000 Stück.
Man kann argumentieren, dass die neue Verordnung mehr Rücksicht auf heutige komplexe Online-Geschäftsmodelle (wie etwa On-Demand-Dienste) hätte nehmen und mehr Raum für moderne, auf maschinellem Lernen basierende Betrugsrisikoanalysen hätte schaffen können. Doch egal, wie man zur starken Kundenauthentifizierung steht – sie wird kommen, und unzureichend vorbereiteten Unternehmen drohen schwerwiegende Folgen. Daher ist es umso wichtiger, dass Online-Unternehmen bereits jetzt damit anfangen, Reibungsverluste und bevorstehende Auswirkungen auf den Umsatz aufzufangen.
Wo es Risiken gibt, ergeben sich auch immer Chancen. Die strengere Regulierung eröffnet denjenigen Unternehmen einen entscheidenden Wettbewerbsvorteil, denen es gelingt, ihren Kunden reibungslose Zahlungsmöglichkeiten zu bieten und SCA-Ausnahmen intelligent zu managen. Das wird technologie-affinen Unternehmen zugute kommen, die sich schon jetzt im Kampf um die beste Nutzererfahrung behaupten müssen (im Gegensatz zu traditionelleren Unternehmen, die sich noch im Übertritt von der Offline- in die Online-Welt befinden). Besonders im mobilen Onlinehandel könnte SCA zu einer stärkeren Akzeptanz biometrischer Identifizierung in Wallets wie Apple Pay und Google Pay beitragen. Schließlich könnte sie sogar eine Innovationswelle bei biometrischen Verfahren und mobilen Zahlungstechnologien in Europa bewirken, wenn Gründer und neue Startups anfangen, Marktlücken für eine sicherere und benutzerfreundlichere Authentifizierung zu schließen.
Daher sollten wir optimistisch bleiben: Es ist schließlich nicht das erste Mal, dass in Europa neue Standards für den Zahlungsverkehr eingeführt werden, die Sicherheit und Komfort in Einklang bringen sollen. Als zum Beispiel vor mehr als einem Jahrzehnt EMV-Standards in Europa eingeführt wurden, machte das die Bezahlung mit Chip und Pin auf dem gesamten Kontinent schnell zum Standard. Die USA hinken diesbezüglich noch immer hinter den Europäern her. Diese Geschichte könnte sich nun mit der Einführung von SCA wiederholen. Denn so oder so wird der Rest der Welt früher oder später vermutlich nachziehen: In Australien und in anderen Märkten sollen schon bald ähnliche Standards eingeführt werden.
Letztendlich ist es für das langfristige Wachstum der Online-Wirtschaft wesentlich, die Sicherheit im Zahlungsverkehr zu erhöhen. Mit dem steigenden Vertrauen der Verbraucher erhöhen sich auch ihre Online-Ausgaben. Zwar wird SCA die europäische Online-Wirtschaft zunächst vor große Herausforderungen stellen. Langfristig aber könnte sich die neue Verordnung als Meilenstein erweisen: auf dem Weg zur einer stärkeren Online-Wirtschaft in Europa, zur Vollendung des digitalen Binnenmarkts und zur Steigerung des weltweiten Wirtschaftsleistung des Internets.