3DS2 – Der neue Ansatz zur Authentifizierung

3DS ermöglicht es den Kunden, auch risikoreiche Transaktionen mit Zuversicht zu authentifizieren, und zusätzlich den Vorteil der Haftpflichtverschiebung zu erhalten. Doch wenn Sie sie nicht selektiv anwenden, erhöht die 3DS-Authentifizierung die möglichen Abbrüche für Ihre Kunden. Auch die Kundenerfahrung auf Mobilgeräten ist dann unterdurchschnittlich, was zu einem Mangel an Akzeptanz für diesen Kanal führt. Um diese Punkte anzugehen führt die Branche mit 3DS2 einen neuen Ansatz ein, der den Konsumenten ins Zentrum des Authentifizierungsprozesses stellt, und sich an den neuesten Technologien orientiert, die die Käufer verwenden.

Was ist 3DS?

3DS wurde 1999 eingeführt, um Betrug bei Online-Transaktionen zu reduzieren. Das System ermöglicht es der Bank des Karteninhabers, zu beweisen, dass ein Käufer, der einen Kauf machen möchte, der rechtmäßige Nutzer der Kredit- oder Debitkarte ist.

Der primäre Vorteil von 3DS ist die zusätzliche Sicherheitsebene, die die Wahrscheinlichkeit von Rückbuchungen reduziert. Bisher wurde die Haftung, sobald eine Rückbuchung erfolgte, an die Bank des Karteninhabers verlagert, bei der die erfolgreiche Authentifizierung stattgefunden hatte.

Die Problematik von 3DS

Als 3DS1 eingeführt wurde, waren viele heute alltägliche Technologien noch gar nicht entwickelt (so sollte es etwa noch vier Jahre bis zur Einführung des ersten iPhones dauern). Auch wenn bereits 3DS1 als leistungsstarke und oft verwendete Lösung zur Betrugsvermeidung eingesetzt wurde, wurden Käufer doch aufgrund von auf dem Browser beruhenden Problemen abgeschreckt. Beispiele für 3DS1 sind:

• Verified by Visa
• Mastercard ID Check
  
• American Express SafeKey
  

Auch wenn sich viele Banken hin zu einem risikobehafteten Ansatz bewegt haben – was bedeutet, dass die Käufer nicht stets vor Herausforderungen gestellt werden – wird vom Käufer hier im Zweifelsfall oft verlangt, sich an eine Reihe von Zeichen aus seinem statischen Passwort zu erinnern. Dies führt zu Käufern, die aus dem Zahlungsvorgang geworfen werden, und zu Händlern, die diese Transaktionen verlieren.

Was ist nun bei 3DS2 anders?

3DS2 arbeitet nicht nur mit den Technologien, die Käufer heute gerne verwenden, sondern antizipiert auch künftige Authentifizierungsmöglichkeiten für Käufer.

Es gibt drei Schlüsselbereiche, in denen 3DS2 das Benutzerlebnis optimieren wird:

1. Mehr Daten, weniger Abbrüche. Mehr als 100 Datenelemente müssen vom Händler an den Emittenten gesendet werden. Dies gibt den Ausstellern mehr Informationen, so dass sie vom Käufer bei Bedarf eine Authentifizierung anfordern können. Nur die risikoreichsten Transaktionen durchlaufen eine zusätzliche Überprüfung des Karteninhabers. Die übrigen werden unsichtbar authentifiziert und unterliegen der Haftungsverlagerung.
2. Erhöhte Umsätze. Der Aussteller kann die Authentifizierungsseite an seine Anforderungen anpassen und dem Kunden bevorzugte Authentifizierungsmethoden wie Biometrie oder Einmalpasswörter zur Verfügung stellen.
3. Optimierung für Mobilgeräte. Die SDK für iOS und Android bieten Zahlungsoptionen für native Geräte an, um die Anzahl der Abbrüche bei Zahlungen per Mobilgerät weiter zu reduzieren.

Indem es die Käufererfahrung bei der Authentifizierung an die erste Stelle setzt, kann 3DS2 ohne Angst vor Abbrüchen eingesetzt werden. Händler können so mehr erfolgreiche Transaktionen abwickeln, und profitieren gleichzeitig von der vollen Haftung für alle Transaktionen, bei denen ein Betrug festgestellt wird.

3DS2 und die Payment Services Directive 2 (PSD2)

Auch wenn 3DS1 und 3DS2 mehrere Jahre lang parallel gelten werden, müssen Sie die Starke Kundenauthentifizierung (SCA) anwenden, wenn Sie Zahlungen akzeptieren, bei denen der Kartenaussteller und der Acquirer ihren Sitz im Europäischen Wirtschaftsraum (EWR) haben. Bei Kartenzahlungen wird SCA am einfachsten durch die Nutzung von 3DS2 erreicht.

Die SCA macht Transaktionen sicherer, indem zwei dieser drei Elemente verlangt werden:

• Etwas, das nur der Kunde besitzt (wie Smartphone, Smartcard oder Wearable)
  
• Etwas, das nur der Kunde weiß (wie eine PIN oder ein Passwort)
• Etwas, das nur der Kunde hat (biometrische Eigenschaften wie Fingerabdruck, Sprach- oder Gesichtscharakteristika)

Die neu überarbeitete PSD2 der EU erfordert ab 1. Januar 2021 für den EWR und ab 15. September 2021 für Großbritannien SCA für alle Transaktion außer für eine festgelegte Reihe von ausgenommenen Transaktionen.

Die Europäische Bankenaufsichtsbehörde (EBA) ist die Kontrollinstanz der EU zur Überwachung der Einhaltung der gemeinsamen Vorschriften für Finanzinstitute in der EU. Die EBA veröffentlicht regelmäßig Stellungnahmen zu Compliance-Fragen, in denen sie häufig gestellte Fragen zur Compliance spezifischer SCA-Implementierungen beantwortet.

Wir empfehlen Ihnen, das Protokoll 3DS2 auch außerhalb des EWR anzuwenden, damit Sie die Vorteile nutzen können, die das neue Protokoll bietet.

Wie Worldpay von FIS helfen kann

Schon bevor 3DS2 zur Verfügung steht, bietet Ihnen Worldpay mit 3DS Flex ein erweitertes MPI an, so dass Sie 3DS1 bereits heute einsetzen können. 3 DS Flex ermöglicht eine verstärkte Zunahme von 3DS1-Transaktionen mittels Funktionen wie beispielsweise Optimierung für Mobilgeräte. Darüber hinaus kann Worldpay einen weitgehend maßgeschneiderten, auf Regeln beruhenden Ansatz für die Optimierung von 3DS für jede Transaktion anbieten. Auf diese Weise erzielen Sie einen ausgewogenen Ansatz aus Abbrüchen auf Käuferseite und Authentifizierungen, der sich an Ihrer Risikobereitschaft orientiert.

Wir unterstützen Sie zudem bei der Vorbereitung auf 3DS2. Worldpay wird einer der ersten Payment-Service-Provider sein, der 3DS2 unterstützt. Dadurch können unsere Kunden als Erste von der Wertsteigerung profitieren, die diese neue Lösung bietet.

Informieren Sie sich über die anstehenden Webinare von Worldpay zu 3DS2 oder wenden Sie sich an Ihr Worldpay-Kundenteam, um mehr zu erfahren.