Nachdem PSD2 nun in den meisten europäischen Ländern in Kraft getreten ist und der Stichtag 31. Dezember 2020 bereits fünf Monate zurückliegt, ist Großbritannien als nächstes an der Reihe, denn die Frist für September 2021 rückt immer näher. Damit der Karteninhaber und der Händler die zusätzliche Authentifizierung richtig annehmen können, ohne die Transaktion abzubrechen, liegt das Hauptaugenmerk darauf, so viel Reibung wie möglich zu beseitigen. Testdaten¹ von Händlern wie Amazon, Google und Microsoft haben gezeigt, dass Starke Kundenauthentizierung (SCA) zwar für den größten Teil des britischen Ökosystems aktiviert wurde, aber noch mit einigen Problemen zu kämpfen hat. Beispiele hierfür sind die risikobasierte Authentifizierung für niedrigere Anfechtungsraten, die Bereitschaft der Issuer für die neuesten Protokolle, die Latenzzeit der Issuer und schließlich die Verwirrung darüber, welche Ausnahmeregelungen wie genutzt werden sollen.
Bereitschaft und Stabilität der Issuer
Damit eine Transaktion konform und erfolgreich ist, müssen sowohl der Issuer- als auch der Acquirer-Bereich SCA aktivieren und das 3DS2-Protokoll anwenden. Aufgrund der vorgeschriebenen Einführung von 3DS 2 haben britische Issuer einen Anstieg von 3DS 2-Transaktionen auf ihrer Plattform festgestellt. Dies führt zu zusätzlichen Herausforderungen in Bezug auf Antwortzeiten, Skalierbarkeit und Stabilität. Die Daten auf Netceteras Plattform stimmen mit den Systemen überein, die eine steigende Anzahl von 3DS2-Transaktionen melden, und dies wird nur noch zunehmen, wenn GB vollständig in Betrieb geht. Dies wird die Anbieter von Access Control Servern (ACS) wahrscheinlich zusätzlich belasten und zu möglichen Ausfällen führen.
Ein Grund für diese Ausfälle kann darauf zurückgeführt werden, dass einige ACS seit der Einführung von 3DS im Jahr 2000 nicht umfassend überarbeitet wurden und nicht skalierbar sind. Die Änderungen, die in den letzten 21 Jahren am Protokoll vorgenommen wurden, sind in die mittlerweile archaischen Systeme eingeflossen, denen es an Flexibilität fehlt. Als Folge dieser Ausfälle haben große Händler berichtet, dass sie den Stand-in-Service als Alternative nutzen, um sicherzustellen, dass die Transaktionen nicht beeinträchtigt werden. Dies ist jedoch mit zusätzlichen Kosten verbunden und wird nicht flächendeckend implementiert, so dass es sich nur um eine vorübergehende Lösung handeln kann, der es an Nachhaltigkeit mangelt.
Navigieren im Ausnahmeregelungs-Dschungel
Bisher haben Händler vom britischen Ökosystem profitiert, indem sie eine ausgefeilte risikobasierte Authentifizierung verwendeten, die es ihnen ermöglichte, die Abfragegebühren für Karteninhaber niedrig zu halten. Mit der anstehenden Deadline ist dies keine Option mehr, da die Umgehung von SCA zu höheren Ablehnungsquoten bei Transaktionen seitens der Issuer führen wird.
Jetzt, da die steigenden Volumina die ersten Probleme ans Licht gebracht haben, wäre es für Händler und Acquirer von Vorteil, SCA-Ausnahmen auf der Grundlage ihres Karteninhaber- und Kundenportfolios zu prüfen, um Reibungsverluste für den Karteninhaber zu vermeiden, wo sie nicht nötig sind.
SCA-Ausnahmen werden auf der Grundlage des Risikos, des Betrags, der Wiederholung und des für die Ausführung der Zahlung verwendeten Zahlungskanals definiert. Diese Ausnahmeregelungen ermöglichen es PSPs, das richtige Gleichgewicht zwischen Bequemlichkeit des Zahlungserlebnisses und Betrugsreduzierung zu erreichen.
Die Daten von Netcetera zu den bisherigen SCA-Ausnahmen zeigen, dass die Transaktionsrisikoanalyse und Zahlungen mit geringem Wert am meisten angenommen werden² (87% für TRA und 11% für Low Value laut Netcetera-Zahlen). Es wird interessant sein, die Auswirkungen weiterer Ausnahmen zu sehen, die in der Version 3DS 2.2 eingeführt werden, wie z.B. wiederkehrende Transaktionen, Merchant Whitelisting und delegierte Authentifizierung.
Der Weg in die Zukunft
Mit dem Brexit im Rückspiegel und der Aussicht, dass die Welt wieder zur Normalität zurückkehrt, besteht ein zusätzlicher Anreiz, sicherzustellen, dass Issuer, Acquirer und Händler im September bereit sind. Branchen, die stark vom E-Commerce abhängig sind, wie z. B. das Reise- und Gastgewerbe, werden ebenfalls von 3DS 2.x profitieren. Das entscheidende Unterscheidungsmerkmal bei der Bereitschaft ist, dass der Motor läuft oder dass er für maximale Leistung fein abgestimmt ist. Ein Paradebeispiel dafür ist die Aktivierung von Ausnahmeregelungen auf Seiten der Issuer und Acquirer, um die richtigen Ergebnisse in erfolgreichen Transaktionen zu sehen.
Mehr denn je haben die Ergebnisse der Tests gezeigt, dass 3DS-Lösungen flexibel und modular sein müssen, um sich in eine Hierarchie bestehender Betrugsstrategien und Authentifizierungsanbieter einfügen zu können. Anfänglich ist dies eine Investition, die jedoch nachhaltiger ist, als sich mit Betrug, Systemstrafen oder einer abnormalen Abnahmerate zu beschäftigen.
Referenzen
1 D. Jordaan, SCA Performance - April 2021, Available at: https://www.linkedin.com/pulse/sca-performance-april-2021-dean-jordaan?trk=public_profile_article_view
2 Netcetera (2021), Webinar: PSD2 SCA being effective - First results,
observations and recommendations, Available at: https://pnt.netcetera.com/20210324_PSD2_results