Die europäische Richtlinie über Zahlungsdienste (PSD2) verlangt seit mehreren Jahren eine starke Authentifizierung für Online-Transaktionen mit Kreditkarten. Das Protokoll 3D Secure, in seiner Version 2, stellt den Hauptmechanismus dieser Überprüfung dar. Trotz dieses regulatorischen Rahmens werden immer noch eine signifikante Anzahl von Zahlungen im Internet ohne jeglichen Authentifizierungsschritt abgeschlossen. Die Gründe dafür liegen sowohl in technischen Entscheidungen der Händler als auch in den von der Regulierung selbst vorgesehenen Ausnahmeregelungen.
Ausnahmen PSD2 und transaktionale Risikoanalyse: der Rahmen, der die Zahlung ohne 3D Secure erlaubt
Die Tatsache, dass eine Zahlung ohne Authentifizierung erfolgt, bedeutet nicht automatisch einen Verstoß. Die PSD2 sieht mehrere Ausnahmeregelungen vor, und hier wird das Thema kompliziert.
Weiterlesen : Entwicklung und Besonderheiten der Augenfarbe bei Kätzchen
Seit Ende 2023 haben mehrere europäische Emittenten die Nutzung der sogenannten Niedrigrisiko-Ausnahmen im Rahmen des Protokolls 3D Secure 2 verstärkt. Konkret bedeutet dies, dass, wenn der Risikoscore einer Transaktion (bewertet über die Methode TRA, für Transaction Risk Analysis) als sehr niedrig eingestuft wird, die Zahlung ohne starke Authentifizierung verarbeitet werden kann, selbst über die normalerweise ausgenommenen kleinen Beträge hinaus.
Die Europäische Zentralbank hat im Dezember 2023 daran erinnert, dass diese Ausnahmen geregelt, aber gefördert werden, um den Online-Handel zu erleichtern. Ein ausführlicher Artikel behandelt das Thema Zahlung ohne 3D Secure auf Geekfinity und erklärt die verschiedenen Szenarien, mit denen Verbraucher konfrontiert sind.
Ergänzende Lektüre : Tipps und praktische Ratschläge zum Aufwärmen eines Gratins im Ofen, ohne es auszutrocknen
Die häufigsten Ausnahmen umfassen:
- Transaktionen mit geringem Betrag, die in der Regel unter einem von der Regulierung festgelegten Schwellenwert liegen und ohne zusätzliche Überprüfung verarbeitet werden können, solange ein kumuliertes Limit nicht erreicht wird.
- Wiederkehrende Zahlungen bei demselben Händler (Abonnements), bei denen nur die erste Transaktion eine vollständige Authentifizierung erfordert.
- Transaktionen, die vom Acquirer oder Emittenten als sehr geringes Risiko eingestuft werden, basierend auf der TRA, wenn ihre Gesamtrate an Betrug unter den von der PSD2 festgelegten Schwellenwerten bleibt.
- Vertrauenswürdige Empfänger, die manuell vom Karteninhaber in seinem Bankbereich hinzugefügt werden, die es ermöglichen, die Authentifizierung für nachfolgende Käufe zu umgehen.
Diese Mechanismen erklären, warum eine vollkommen legitime Website Ihren Kauf abschließen kann, ohne jemals ein 3D Secure-Fenster auszulösen.
Händler außerhalb des EWR und Zahlungsrouting: die Grauzonen der Umgehung
Nicht alle Transaktionen ohne Authentifizierung fallen unter legitime Ausnahmen. Die Europäische Bankenaufsichtsbehörde hat in ihren Aktualisierungen zur PSD2 klargestellt, dass einige Händler systematisch die starke Authentifizierung umgehen. Zwei Methoden kommen häufig vor.
Die erste erfolgt über Zahlungsdienstleister (PSP), die außerhalb des Europäischen Wirtschaftsraums ansässig sind. Wenn der Acquirer der Transaktion außerhalb des EWR ansässig ist, gelten die PSD2-Regeln nicht in derselben Weise. Der Händler entgeht dann der Verpflichtung zur starken Authentifizierung, selbst wenn der Karteninhaber in Europa lebt.
Die zweite Methode basiert auf Zahlungsroutern, die so konfiguriert sind, dass sie Transaktionen über Schaltungen leiten, die das Auslösen von 3D Secure vermeiden. Diese praktik, die weniger transparent ist, betrifft insbesondere Online-Glücksspielseiten oder Plattformen, deren Geschäftsmodell auf einer schnellen Umwandlung beruht, bei denen jeder zusätzliche Schritt im Zahlungstunnel Kunden verliert.
Haftungsübertragung im Betrugsfall
Der technische Punkt, den man beachten sollte, betrifft den Liability Shift, die Haftungsübertragung. Wenn eine Zahlung über das Protokoll 3D Secure erfolgt und ein Betrug auftritt, liegt die finanzielle Verantwortung bei der ausstellenden Bank. Im Gegensatz dazu trägt der Händler die Kosten für den Betrug, wenn kein 3D Secure verwendet wird. Einige Händler akzeptieren dieses Risiko bewusst, da sie der Meinung sind, dass die Senkung der Abbruchrate den Verlust durch Rückbuchungen ausgleicht.
Die verfügbaren Daten erlauben keine präzise Schätzung des Volumens absichtlich außerhalb von 3DS gerouteter Transaktionen in Europa. Die Rückmeldungen aus der Praxis variieren in diesem Punkt zwischen den PSP, die das Phänomen minimieren, und den nationalen Regulierungsbehörden, die es genau überwachen.
Betrug bei Zahlungen ohne Authentifizierung: was die französischen Daten zeigen
Das Observatorium für die Sicherheit der Zahlungsmittel liefert in seinem Bericht 2024 einen direkten Einblick in die Realität des Risikos. Der Betrug bei Fernzahlungen mit Kreditkarten ist seit der Einführung der starken Authentifizierung zurückgegangen. Die Feststellung ist klar.
Der herausragende Punkt des Berichts liegt in einer Asymmetrie: Transaktionen ohne 3D Secure konzentrieren den Großteil der im Internet betrogenen Beträge, obwohl sie nur eine Minderheit des gesamten Volumens an Online-Zahlungen ausmachen. Das Observatorium spricht von einer “starken Differenzierung der Betrugsrate” zwischen authentifizierten und nicht authentifizierten Transaktionen.
Für den Verbraucher hat diese Tatsache eine konkrete Auswirkung. Ein Kauf, der ohne Authentifizierung auf einer unbekannten Website getätigt wird, ist stärker der Gefahr eines missbräuchlichen Gebrauchs der Kartendaten ausgesetzt. Auch wenn die Bank den Karteninhaber im Falle eines nachgewiesenen Betrugs in der Regel erstattet (gesetzliche Verpflichtung in Frankreich), dauert das Verfahren zur Anfechtung lange und erfordert Schritte.
Warnsignale für den Verbraucher
Einige Elemente ermöglichen es, das Risikoniveau bei einem Kauf ohne Authentifizierung zu bewerten:
- Das völlige Fehlen eines sicheren Protokolls (kein HTTPS-Verschluss, keine Erwähnung eines anerkannten PSP) stellt ein stark negatives Signal dar, das sich von der bloßen Abwesenheit von 3D Secure unterscheidet.
- Eine Website, die keine rechtlichen Hinweise, keine physische Adresse oder keine Kundenservicenummer anzeigt, erhöht die Wahrscheinlichkeit eines nicht konformen Handels.
- Plattformen, die außerhalb des EWR gehostet werden, die manchmal an ihrer Domainendung oder ihren Allgemeinen Geschäftsbedingungen zu erkennen sind, wenden selten die europäischen Standards für Authentifizierung an.
Regulatorische Entwicklungen und Zahlungen ohne 3D Secure: was sich abzeichnet
Die Europäische Kommission arbeitet an der PSD3, die die Anforderungen an die Authentifizierung verstärken und gleichzeitig die bestehenden Ausnahmen verfeinern soll. Die Herausforderung ist doppelt: die verbleibende Betrugsrate bei nicht authentifizierten Transaktionen zu senken, ohne das Einkaufserlebnis zu verschlechtern.
Die TRA-Ausnahmen werden wahrscheinlich bestehen bleiben, da sie einem echten Bedarf an Handelsfluidität entsprechen. Im Gegensatz dazu stehen die Umgehungsmechanismen über PSPs außerhalb des EWR zunehmend im Fokus der Regulierungsbehörden. Die Europäische Bankenaufsichtsbehörde hat darauf hingewiesen, dass Händler, die systematisch auf diese Praktiken zurückgreifen, sich Sanktionen und Einschränkungen des Zugangs zu europäischen Zahlungsnetzwerken aussetzen.
Die Zahlung ohne 3D Secure ist also nicht vom Aussterben bedroht. Sie wird weiterhin für Transaktionen mit geringem Risiko bestehen, die von Bankalgorithmen bewertet werden. Die Grenze zwischen legitimer Ausnahme und problematischer Umgehung bleibt das eigentliche Thema der Wachsamkeit, sowohl für die Regulierungsbehörden als auch für die Käufer.