Online schnell und sicher bezahlen dank biometrischer Verfahren
Neue EU-Richtlinie für Online-Zahlungen
Der Handel steht vor großen Veränderungen bei der Abwicklung von Online-Zahlungen mit weitreichenden Konsequenzen für Verbraucher und Online-Händler innerhalb der EU. Arne Pache, Vice President Digital Payments & Labs bei Mastercard, beantwortet im Interview Fragen zur starken Kundenauthentifizierung, die ab September 2019 Pflicht wird.
Was ist der Mastercard Identity Check?
Das „Mastercard Identity Check" Verfahren baut auf dem neuen EMV 3-D Secure-Standard auf und bietet Händlern und Kartenherausgebern eine einfache Möglichkeit, das überarbeitete Sicherheitsprotokoll zu unterstützen und erweiterte Sicherheitslösungen zu nutzen, um potenzielle Risiken zu minimieren. Dafür hat Mastercard Mindeststandards für die Identifikation der Kunden definiert. Die neue Authentifizierungstechnologie beinhaltet auch biometrische Verfahren, wie den Fingerabdruck, Gesichts-, Stimm- oder Iriserkennung.
Warum wird der Mastercard Identity Check eingeführt?
Ab dem 14. September verlangt die EU-Zahlungsdiensterichtlinie PSD2 eine starke Authentifizierung. Bis auf vom Gesetzgeber definierte Ausnahmen, wie z. B. Online-Transaktionen unter 30 Euro oder Abonnements, muss der Kartenherausgeber dann zum Schutz vor Missbrauch sicherstellen, dass zwei von drei Faktoren erfüllt werden: Besitz (z. B. Karte, Handy), Wissen (z. B. PIN) oder Inhärenz wie etwa biometrische Eigenschaften (z. B. Fingerabdruck). Konkret muss also ein physischer Gegenstand wie das Smartphone mit einem Einmal-Passwort oder dem Fingerabdruck kombiniert werden, bevor die Zahlung erfolgen kann.
Und was ist der Unterschied zum bekannten und bisher genutzten Mastercard SecureCode?
Als Variante der starken Kundenauthentifizierung gibt es bei Mastercard seit vielen Jahren das sogenannte SecureCode-Verfahren, das Mastercard nun gemeinsam mit der Branchenvereinigung EMVCo optimiert hat. Das neue Sicherheitsprotokoll EMV 3-D Secure entspricht jetzt den neuen gesetzlichen Anforderungen der EU und ist gleichzeitig für den Verbraucher einfacher zu handhaben. Es ist sowohl für den Einsatz im Web als auch in Apps geeignet. Mit dem neuen Sicherheitsstandard lassen sich Betrugsversuche und anschließende Rückbuchungen minimieren, ohne auf Sicherheit zu verzichten. Gleichzeitig ermöglicht es höhere Autorisierungsraten und reduziert fälschlicherweise abgelehnte Zahlungen. Die Betrugshaftung liegt beim Kartenherausgeber.
Welche Vorteile hat der Kunde durch den Mastercard Identity Check?
Die neuen Vorschriften sollen die Kunden vor Online-Betrug schützen, indem beim Bezahlvorgang eine zusätzliche Sicherheitsabfrage erfolgt. Der Mastercard Identity Check unterstützt den neuen Sicherheitsstandard EMV 3-D Secure, mit dem die Kundendaten noch effektiver geschützt werden. Die Zwei-Faktor-Authentifizierung funktioniert reibungslos auf den unterschiedlichsten Geräten und ermöglicht eine unterbrechungsfreie Ein-Klick-Bezahlung, da die Identifikation nebenbei funktioniert. Kunden können so schnell und einfach ihre Identität zum Beispiel per Fingerabdruck verifizieren, während sie beispielsweise ihre Smartphone für Online-Shopping nutzen. Mit dem Verfahren wird im digitalen Einkauf nicht nur Zeit gespart, es verbessert auch die Sicherheit und sorgt für ein komfortables Einkaufserlebnis mit deutlich geringeren Abbruchraten beim Online-Einkauf.
Muss man sich als Kunde registrieren?
Die Nutzer müssen sich nur einmalig bei ihrer kartenherausgebenden Bank oder Sparkasse für das neue Sicherheitsverfahren registrieren und die entsprechende App auf ihren mobilen Endgeräten installieren.
Wie genau läuft die Überprüfung der Identität beim Bezahlen ab?
Der Gesetzgeber verlangt eine zusätzliche Authentifizierungsstufe bei Online-Zahlungen. Wo bisher die Kreditkartennummer ausreichte, sollen Verbraucher künftig zwei von drei Sicherheitsfaktoren erfüllen, es sei denn, es kommt eine der Ausnahmeregelungen zum Tragen. Gleichzeitig baut der neue Sicherheitsstandard einen risikobasierten Authentifizierungsprozess auf und zieht zusätzlich sicherheitsrelevante Transaktionsdaten heran, auf deren Grundlage von Händlern und Kartenherausgebern geprüft wird, ob die Zahlung vom Karteninhaber initiiert wurde.
Ist das nicht alles sehr kompliziert?
Nein, die starke Kundenauthentifizierung bietet vor allem noch mehr Sicherheit im Zahlungsverkehr. Wichtig ist, dass sich alle Beteiligten frühzeitig auf die Änderungen einstellen und die Übergangsphase bis September nutzen, um sich mit den neuen Verfahren vertraut zu machen. Mit der Zwei-Faktor-Authentifizierung bleibt das mobile Einkaufen schnell und bequem und entspricht gleichzeitig den neuen gesetzlichen Anforderungen der PSD2-Richtlinie.
Und wie funktioniert dann „TAN per SMS", und was ist der Unterscheid zu „TAN per Push"?
Der Kunde erhält bei „TAN per SMS", die TAN von seiner Bank oder Sparkasse sicher und bequem per SMS auf sein Mobiltelefon. Entscheidet sich der Kunde für das Push-Verfahren, erhält er die TAN über eine spezielle App des Kartenherausgebers auf sein Smartphone oder Tablet, das er auch zum Shoppen nutzt. Im Gegensatz zur TAN per SMS ist kein zweites Gerät notwendig.
Wann wird der Mastercard Identity Check eingeführt?
Nahezu alle Banken und Sparkassen, die eine Mastercard herausgeben, werden die neuen Verfahren inklusive Biometrie sukzessive bis September einführen. Auch Händler können das Mastercard Identity Check Verfahren schnell und einfach in den eigenen Shop integrieren. Entscheidend wird es nun sein, die Kunden frühzeitig zu informieren und bestmöglich auf die neuen Verfahren vorzubereiten. Die Übergangsphase bis September sollte zum ausgiebigen Testen genutzt werden.
Herr Pache, vielen Dank für das Gespräch.
Eine Grafik zur Erläuterung der starken Kundenauthentifizierung von Mastercard finden Sie hier (pdf zum Download).