Bessere Conversion Rate mit Saferpay und SCA Ausnahmen Saferpay 13 Aug 2020 Was Sie wissen müssen: Ausnahmeregeln für starke Kundenauthentifizierung (SCA)Strong Customer Authentication (SCA) oder «starke Kundenauthentifizierung» ist eine neue Anforderung im europäischen Zahlungsverkehr. Sie soll Betrug reduzieren und Online-Zahlungen sicherer machen. Allerdings erfordert die starke Kundenauthentifizierung einen zusätzlichen Schritt im Zahlungsprozess, der sich negativ auf die Conversion Rate auswirken und im schlechtesten Fall zu einem Zahlungsabbruch führen kann. Die EU Zahlungsdiensterichtlinie PSD2 sieht für bestimmte Szenarien mit niedrigem Risiko Ausnahmen vor und definiert Kriterien, damit eine Transaktion auch ohne starke Kundenauthentifizierung stattfinden darf. Als Händler profitieren Sie so durch starke Kundenauthentifizierung von erhöhter Sicherheit; und dank der Ausnahmeregeln (Englisch „SCA Exemptions“) von einer besseren Conversion Rate bei Transaktionen mit niedrigem Risiko. In diesem Blogartikel erfahren Sie, wann starke Kundenauthentifizierung durchgeführt werden muss, und wie Sie in welchen Fällen Ausnahmen beantragen können. Technische Dokumentation Was ist starke Kundenauthentifizierung?Zur Erinnerung: Bei der starken Kundenauthentifizierung müssen – bis auf die definierten Ausnahmen – alle Zahlungstransaktionen stark abgesichert werden, und dazu müssen mindestens zwei der drei folgenden Faktoren eingesetzt werden: Wissen: Passwort PIN Geheimabfrage Zahlenabfolge Besitz: Mobiltelefon Wearable Geräte Token Smartcard Inhärenz: Fingerabdruck Stimmerkennung Iriserkennung Gesichtszüge Der Karteninhaber wird dann während des Zahlungsprozesses von seiner Bank aufgefordert, zusätzliche Informationen einzugeben. Das kann z.B. ein einmaliger Code sein, der an sein Mobiltelefon gesendet wird, oder die Authentifizierung per Fingerabdruck über seine Mobile Banking App. Welche Ausnahmen gibt es bei der starken Kundenauthentifizierung?PSD2 sieht einige Ausnahmen vor, bei denen der Karteninhaber keine starke Kundenauthentifizierung durchführen muss, die Transaktionen aber trotzdem als „vollständig 3-D Secure authentifiziert“ ausgeführt werden. Durch die Anwendung dieser SCA Ausnahmen vereinfacht sich der Zahlungsprozess für Ihre Kunden, was sich positiv auf die Conversion Rate auswirkt. Für Sie als Händler sind folgende Ausnahmeregeln relevant: Kleinbeträge Wiederkehrende Zahlungen Whitelisting Geringes Risiko Zahlungen bis EUR 30 - bis zur Grenze von kumulativ EUR 100 oder fünf aufeinanderfolgende Zahlungen. Ab der zweiten Transaktion an den gleichen Empfänger mit demselben Betrag. Der Karteninhaber erstellt eine Whitelist für vertrauenswürdige Händler. Risikobewertung einer Transaktion mit Beträgen innerhalb von definierten Schwellenwerten. So profitieren Sie von den Ausnahmen zur starken KundenauthentifizierungAls Saferpay Kunde mit Acquiring-Vertrag von SIX Payment Services können Sie Ausnahmen für Kleinbeträge, wiederkehrende Zahlungen und Transaktionen mit geringem Risiko beantragen. Wiederkehrende Transaktionen werden bei Kunden von SIX Payment Services automatisch erkannt und eine entsprechende Ausnahme beantragt, wenn sie gemäss der Spezifikation durchgeführt werden. Die Bank des Karteninhabers entscheidet, ob ein Ausnahmeantrag stattgegeben oder abgelehnt wird. Wenn Sie eine Ausnahme für eine Transaktion beantragen, die den Spezifikationen entspricht, gilt es Folgendes dabei zu berücksichtigen: Die Haftung für diese Transaktion trägt der Händler Die Bank des Karteninhabers kann die Ausnahme immer noch ablehnen und SCA erzwingen. In diesem Fall geht die Haftung auf den Kartenherausgeber über. Voraussetzungen für einen AusnahmeantragEine SCA Ausnahme für eine Transaktion kann unter folgenden Voraussetzungen beantragt werden: Ihr Acquirer, sofern nicht SIX Payment Services, unterstützt die Ausnahmeregeln für starke Kundenauthentifizierung. Es besteht eine vertragliche Vereinbarung mit Ihrem Acquirer für die Ausführung der SCA Exemptions. Sie können eine Risikoanalyse („real-time risk analysis“) der Transaktionen durchführen. Sie stellen sicher, dass SCA Ausnahmen nur für Transaktionen beantragt werden, für die gemäss PSD2 Definition Ausnahmen beantragt werden dürfen. In diesen Fällen ist SCA nicht zwingend erforderlichFür folgende Fälle gibt es keine SCA Pflicht, und daher brauchen auch keine Ausnahmen beantragt werden: Anonyme Prepaid Karten Bestellungen per Telefon und E-Mail/Brief (MOTO-Transaktionen) Interregionale / „One Leg“-Transaktionen (wenn sich der Händlersitz oder die Käuferadresse ausserhalb des Europäischen Wirtschaftsraums, EWR befindet) Vom Zahlungsempfänger initiierte Transaktionen Technische DokumentationDer Saferpay Integration Guide enthält im Abschnitt SCA Exemptions alle notwendigen technischen Details, wie die Ausnahmen für Transaktionen beantragt werden können: https://saferpay.github.io/sndbx/psd2.html FAQ Was ist SCA? SCA, kurz für Strong Customer Authentication (Starke Kundenauthentifizierung), bezieht sich auf Anforderungen, die in der europäischen Zahlungsdiensterichtlinie PSD2 vorgegeben werden. Bei der starken Kundenauthentifizierung werden – bis auf definierte Ausnahmen, sogenannte Exemptions – alle Zahlungstransaktionen „stark“ abgesichert. Weitere Informationen dazu finden Sie in unserem PSD2 Whitepaper. Was sind SCA Exemptions? Nicht bei allen Transaktionen ist eine „starke“ Absicherung erforderlich. PSD2 sieht Ausnahmen (Exemptions) vor, bei denen eine Kundenauthentifizierung vermieden werden kann. Im Gegensatz zum Challenge Flow, bei dem der Kunde sich authentifizieren muss, kommt dann der sogenannte Frictionless Flow zum Tragen. Je nach Kontext und den in der Zahlungsanforderung enthaltenen Informationen, führt der Kartenherausgeber eine Risikobewertung durch und kann entscheiden, ob der Bezahlvorgang erlaubt oder abgebrochen wird. Können SCA Ausnahmen abgelehnt werden? Der Kartenherausgeber kann einen Antrag auf eine SCA Ausnahme ablehnen und gleichzeitig dem Händler bzw. Acquirer mitteilen, dass eine starke Kundenauthentifizierung erforderlich ist. Sie als Händler müssen dann eine 3-D Secure-Authentifizierung machen, damit der Kartenherausgeber SCA durchführen kann. Wer übernimmt die Haftung bei SCA Ausnahmen? Als Grundregel gilt: Wer eine Ausnahme anfragt, haftet auch dafür. Das bedeutet, dass im Regelfall der Händler die Haftung trägt. Diese Regelung unterliegt aber den vertraglichen Bestimmungen zwischen Händler und Acquirer. Kommt SCA immer zur Anwendung, auch wenn keine SCA Ausnahme angefragt wurde? Nein, denn der Kartenherausgeber kann bei jedem Autorisierungsantrag entscheiden, auf SCA zu verzichten und die Transaktion „frictionless“ (Deutsch: reibungslos) durchzuführen. In diesem Fall findet SCA keine Anwendung und der Kartenherausgeber übernimmt die Haftung für die Transaktion. Feedback Hat Ihnen dieser Artikel gefallen? Konnten etwaige Fragen für Sie geklärt werden? Lassen Sie es uns wissen: Um unsere Lösungen und Produkte weiterzuentwickeln und noch besser auf Ihre Bedürfnisse als Händler, Entwickler und Endnutzer auszurichten, sind wir auf Ihr Feedback angewiesen. Wir wissen, wie wertvoll Ihre Zeit ist – und schätzen es deshalb umso mehr, wenn Sie uns eine Rückmeldung geben. Ganz egal, ob Sie eine Idee, ein Problem oder eine kleine Erfolgsgeschichte mit uns teilen möchten. Wir freuen uns, von Ihnen zu hören!Feedback senden Zur Blogübersicht Unsere Website verwendet Cookies. Das ermöglicht uns, Ihr Nutzerlebnis zu optimieren. Indem Sie unsere Website weiterhin nutzen, erklären Sie sich damit einverstanden. Weitere Informationen finden Sie in unserer Datenschutzerklärung. I agree