3D-Secure 2.0? SCA für Kreditkarten kommt – genau in einem Jahr; das Interview mit Carsten Mürl Mastercard

Am 14.9.2019, also genau heute in einem Jahr, treten die von der EBA (European Banking Authority) definierten RTS (Regulatory Technical Standards) der PSD2 in Kraft. Wichtiger Punkt hierbei: neue Anforderungen an die starke Kundenauthentifikation (SCA = Strong Customer Authentication). Bis auf die vom Gesetzgeber definierten Ausnahmen müssen dann Zahlungstransaktionen aller von der Regulierung erfassten Zahlungssysteme „stark“, das bedeutet mit einer 2-Faktor-Authentifizierung, abgesichert werden. Rudolf Linsenbarth fühlte Carsten Mürl (Direktor und Produktmanager Mastercard) zu 3D-Secure auf den Zahn und was jetzt getan werden muss.

Herr Mürl, welche Auswirkungen erwarten Sie von der RTS-Regelung auf den Zahlungsverkehr?

Die gesetzliche Forderung der starken Kundenauthentifikation wird einen sehr großen Einfluss auf die europäische Zahlungslandschaft für alle Marktteilnehmer – Kunden – Internet-Händler – Kartenherausgeber – haben.

Zwar wurden Ausnahmen wie Whitelisting oder regelmäßige Zahlungen gleicher Beträge definiert, aber auch diese müssen ordentlich implementiert und regulatorisch überprüfbar im laufenden Betrieb funktionieren.

Es ist zum Beispiel davon auszugehen, dass ein Teil der Card-not-present-Zahlungen ohne 3D-Secure-Absicherung von Kartenherausgebern zur Erfüllung der Regulierung abgelehnt werden. Die Folge wäre ein Anstieg der mit 3D-Secure abgesicherten Zahlungen. Zurzeit liegt die Quote hierfür bei ca. 10% der Transaktionen. Ich gehe nach der Regulierung von einem Anstieg auf bis zu 80% aller Internetzahlungen aus.

3D-Secure-Zahlungen gelten im Online-Handel noch immer als Conversion Killer. Gehen Sie davon aus, dass die Abbrüche wirklich so stark steigen werden?

Ich hoffe nicht – aber wenn wir nicht jetzt entsprechend handeln und den Markt entsprechend vorbereiten, dann wird es ab September 2019 zu deutlich höheren Abbrüchen, sowie Kunden und Händlerfrust kommen.”

Wie wollen Sie dem entgegenzuwirken – und welche Rolle spielt dabei das neue Sicherheitsprotokoll EMV 3D-Secure?

Für Kartenzahlungen stellen die Kartenschemes dem Markt zur Abbildung der starken Kundenauthentifikation seit vielen Jahren mit dem 3D-Secure-Verfahren eine Authentifikationslösung zur Verfügung. Dieses „3D-Secure 1.0“ – bei Mastercard mit dem Brand Securecode eingeführt, entspricht aber nicht den regulatorischen Anforderungen der PSD2.

Im Bereich der Transaktionsüberwachung musste dort nachgearbeitet werden. Ein neues Sicherheitsprotokoll war auch notwendig, da das alte Verfahren „in die Jahre gekommen war“, sowie vom Handel und Verbrauchern nur unzureichend angenommen worden ist.

Das neue EMV 3D-Secure, im Markt auch als „3D-Secure 2.0“ bekannt, wurde von EMV Co.LLC entwickelt. 3D-Secure 2.0 ist derzeit bei ausgewählten Issuern und Händlern in der Implementierungsphase. Mastercard flankiert den Prozess mit entsprechenden Maßnahmen wie Spezifikationsvorgaben, Implementierungsunterstützung, Informationsveranstaltungen und weitreichenden Dokumentationen. So wurde eine „Digital Security“ Agenda von Mastercard schon Anfang des Jahres ausgerufen, um die Weichen in die richtige Richtung zu stellen.

Und wie soll EMV 3D-Secure die Probleme der hohen Abbrüche lösen?

Das neue Sicherheitsprotokoll schafft für alle Beteiligten eine neue Basis. Es wird auf den unterschiedlichsten Geräten, Smartphones, Computern oder Tablets, perfekt funktionieren. Auch wird mit „3D-Secure 2.0“ die risikobasierte Authentifizierung sehr tiefgreifend verbessert. Das führt dann bei der Mehrzahl der Transaktionen zu einer unterbrechungsfreien 1-Klick-Bezahlung – mit der Betrugssicherheit einer authentifizierten Zahlung.

Aber auch bei der Authentifikation rüstet Mastercard mit seinen Partnerbanken auf. Mit der Einführung von biometrischen Verfahren, hier insbesondere Fingerprint, soll der Konsument eine wirklich benutzerfreundliche Authentifikation erfahren. Passwörter sollen, wann immer möglich, eliminiert werden. Wenn eine Authentifizierung den neuen Qualitätsstandards entspricht (also „Biometrie“ oder dynamisches Passwort), dann darf die Partnerbank das neue Brand „Mastercard Identity Check“ verwenden – unseren neuen Qualitätsstandard.

Das neue Sicherheitsprotokoll EMV 3D-Secure wird von Mastercard ab April 2019 flächendeckend eingeführt. Gleichzeitig werden auch alle Authentifikationen bis dahin auf Mastercard Identity Check umstellen.”

Also kein Problem im September 2019?

Nicht ganz – es gibt noch viel zu tun!

Was konkret?

Händler sollten sich frühzeitig mit ihrem Payment Service Provider in Verbindung setzen und das Gespräch suchen: Wann und wie steht ein Upgrade für das „3D-Secure 2.0“ Plugin für den eigenen Shop zur Verfügung?

Wie werden Test und Pilotphase sowie der „Go live“ organisiert und terminiert?

Mastercard sieht für Acquirer und Händler im deutschen Markt eine Hochlaufphase zwischen April 2019 und September 2019 vor – Acquirer und Händler sollten diese Phase klug nutzen und Erfahrungen mit dem neuen Verfahren sammeln und nicht erst am Stichtag umstellen.

Ohne diese entsprechenden Vorbereitung droht die Gefahr, dass im September unnötig viele Kartenzahlungen abgebrochen werden und Kunden- und Händlerfrust einsetzt, der dann auch zu Beschwerden bei Banken führt. Noch ist ein Jahr Zeit, dies zu verhindern.”

Herr Mürl, vielen herzlichen Dank für das Gespräch.Rudolf Linsenbarth