Im September 2019 treten neue europäische Regulierungsstandards bei Zahlungsvorgängen in Kraft. Bis dahin ist noch viel zu tun. Die Anbieter im Markt stehen vor zahlreichen neuen Herausforderungen. Biometrische Authentifizierungsverfahren sind eine Lösung.
Verbraucher erwarten zu Recht, dass beim Online-Kauf alles reibungslos und sicher funktioniert – am besten mit einem Klick. Doch alle Marktteilnehmer – Acquirer, Internet-Händler, Kartenherausgeber und Kunden – stehen nun vor einer neuen Herausforderung: Am 14. September 2019 werden neue technische Regulierungsstandards der Europäischen Bankaufsicht EBA in Kraft treten.
Unter anderem beinhalten diese die Forderung der starken Kundenauthentifizierung. Bis auf vom Gesetzgeber definierte Ausnahmen müssen dann Zahlungstransaktionen aller von der Regulierung erfassten Zahlungssysteme „stark“, also mit einer Zwei-Faktor-Authentifizierung, abgesichert werden. Zwei von drei Elementen müssen dann eingesetzt werden: Besitz (z. B. Karte, Handy), Wissen (z. B. PIN) oder Inhärenz wie etwa persönliche oder körperliche Eigenschaften (z. B. Fingerabdruck, Gesichtserkennung).
So sind einfache Authentifizierungsmethoden wie statische Passwörter nicht mehr zulässig. Biometrische Verfahren hingegen machen es dem Konsumenten einfach, denn er konzentriert sich auf das, was er ohnehin bei sich hat, etwa sein Smartphone, und was ihn identifiziert, also biometrische Faktoren.
Neue Standards der Kundenauthentifizierung
Für Kartenzahlungen im Internet gibt es als Variante der starken Kundenauthentifizierung seit vielen Jahren das 3-D Secure-Verfahren, das bei Mastercard unter dem Namen „SecureCode“ auf dem Markt ist.
Dieses Verfahren ist jedoch mittlerweile technisch überholt: Es entspricht nicht vollständig den neuen regulatorischen Anforderungen der EU zu Monitoring und Transaktionsüberwachung, die im September 2019 in Kraft treten werden. Zudem wurde es von Handel und Verbrauchern nur unzureichend angenommen, da vielen Internet-Händlern eine unterbrechungsfreie Bezahlung bei sehr niedrigem Betrug wichtiger ist als eine hundertprozentige Absicherung durch doppelte Authentifizierung. Daher musste es verbessert werden.
3-D Secure 2.0 und Mastercard Identity Check
Mastercard hat nun gemeinsam mit der Branchenvereinigung EMVCo das neue EMV 3-D Secure Sicherheitsprotokoll „3-D Secure 2.0“ entwickelt, das die neuen EU-Standards erfüllt und gleichzeitig für den Verbraucher einfacher zu handhaben ist. Es ist sowohl für den Einsatz im Web als auch in Apps geeignet.
Zusätzlich hat Mastercard Mindeststandards für die Identifikation der Kunden definiert und das neue Verfahren „Mastercard Identity Check“ eingeführt, bei dem die Sicherheitsprüfung während der Zahlung u.a. auch in den Systemen der Bank erfolgt.
Die neue Authentifizierungstechnologie bietet neben Fingerabdruck und Gesichtserkennung auch für die Zukunft Stimm- und Iriserkennung. Sie funktioniert reibungslos auf den unterschiedlichsten Geräten und ermöglicht eine unterbrechungsfreie Ein-Klick-Bezahlung, da die Identifikation nebenbei funktioniert. Kunden können so schnell und einfach ihre Identität verifizieren, während sie beispielsweise ihr Smartphone für Online-Shopping oder Bankgeschäfte nutzen. Mit dem Verfahren wird im digitalen Einkauf nicht nur Zeit gespart, es verbessert auch die Sicherheit und sorgt für ein komfortables Einkaufserlebnis mit reduzierten Abbruchraten beim Online-Einkauf.
Biometrische Authentifizierungsverfahren
Viele Banken haben bereits auf diese Anforderungen reagiert und die Identifikation mittels Fingerabdruck beispielsweise in Bezahl-Apps integriert. Entscheidend wird es nun sein, die Kunden bestmöglich auf die neuen Verfahren vorzubereiten. Sie müssen diese installieren und sich spätestens bis zum Umstellungstermin im September 2019 mit den biometrischen Verfahren vertraut machen. Inhaber einer Mastercard sollen bereits ab April 2019 mindestens eine biometrische Identifizierungsmöglichkeit haben. Die Banken und Sparkassen wurden durch ein entsprechendes Mandat beauftragt, ihren Kunden solche Lösungen anzubieten.
Übergangszeit nutzen
Die Übergangsphase von April bis September 2019 sollte unbedingt genutzt werden, um Erfahrungen mit den neuen biometrischen Verfahren und dem neuen Sicherheitsprotokoll EMV 3-D Secure zu sammeln und die Kunden dafür zu begeistern. Keinesfalls sollten die Systeme (auf Biometrie und Hintergrundsystemen) erst am Stichtag im September umgestellt werden, da sonst die Gefahr droht, dass unnötig viele Kartenzahlungen abgebrochen und dadurch Kunden wie Händler frustriert werden.
Ab September 2019 wird es nämlich wirklich ernst: Dann müssen innereuropäische CNP-Zahlungen (Card-not-present), die nicht unter eine der diversen Ausnahmeregelungen laufen, ohne 3-D Secure-Absicherung von Kartenherausgebern abgelehnt werden, um die regulatorischen Vorgaben des Gesetzgebers zu erfüllen.
Noch ist fast ein Jahr Zeit für eine reibungslose Einführung der EU-konformen Authentifizierungssysteme und die Implementierung der Hintergrundverarbeitung. Diese sollte genutzt werden!