Bekanntlich sorgt die Corona-Pandemie in allen Lebensbereichen für einen massiven Digitalisierungsschub. Dies betrifft auch das digitale Bezahlen. Bei Visa ist der Kartenumsatz im Zeitraum von März bis Mai 2020 im Bereich Card Present um 20 Prozent gesunken und gleichzeitig im Bereich Card Not Present (CNP) um 20 Prozent gestiegen. Im gleichen Zeitraum 2021 haben sich die Card Present Umsätze leicht erholt und sind um 4 Prozent gestiegen, während die CNP-Umsätze sehr stark um 30 Prozent zugelegt haben. Weil der Missbrauch hauptsächlich im CNP-Bereich stattfindet, geniesst die Weiterentwicklung von 3-D Secure bei Visa einen besonders hohen Stellenwert.
Mehr Daten für mehr Sicherheit
Lauren Bayley sagt: „Das Ziel muss es sein, alle berechtigten Transaktionen zu genehmigen und alle betrügerischen Transaktionen zu verhindern.“ Dabei kommt es auf eine schnelle und sichere Authentifizierung an. Dafür wurde die Menge der Daten, die zwischen den Beteiligten ausgetauscht werden, in der neuesten Version von 3-D Secure um etwa das zehnfache erweitert. Um die Migration auf EMV 3DS voranzubringen hat Visa beschlossen, den Support für 3-D Secure 1.0 am 15. Oktober 2022 zu beenden. Transaktionen können ab dann nicht mehr über die alte Version abgewickelt werden.
Der Erfolg der neuen 3-D Secure-Version lässt sich mit Zahlen belegen: In den vergangenen zwölf Monaten hat die Nutzung der aktuellen Version um 15 Prozent zugenommen. Dadurch ist die Missbrauchsrate um 15 Prozent gesunken.
Die grössten Chancen für weitere Erfolge im Risikomanagement sieht Visa in der Entwicklung hin zu risikobasierter Authentifizierung (RBA – Risk Based Authentication). Lauren Bayley: „Die Basis für risikobasierte Authentifizierung bilden drei Dinge: Daten, Modelle und Regeln.“
Zu den Daten, die ein Online-Händler im Rahmen von EMV 3DS mit der Autorisierungsanfrage senden kann, gehören zum Beispiel Rechnungs- und Versanddaten, Informationen zum Kundenkonto und zur Einkaufshistorie sowie zum vom Kunden genutzten Endgerät. Ein Endgerät lässt sich durch seine IP-Adresse, die Device ID und den installierten Browser identifizieren. Lauren Bayley dazu: „Viele Händler testen bereits die neuen optionalen Daten-Elemente bei EMV 3DS.“
Bei den Modellen und Regeln geht es darum festzulegen, welche Daten auf welche Weise miteinander verknüpft und wie sie bewertet werden.
Zentrale Rolle des Access Control Servers (ACS)
Für die Abwicklung von 3-D Secure-Transaktionen kommt in der Regel ein Access Control Server (ACS) zum Einsatz. Biljana Kuzeska: „Der ACS spielt eine zentrale Rolle bei der Vermeidung von Missbrauch im E-Commerce. Missbräuchliche Transaktionen können jeden Beteiligten betreffen. Sie können das Image eines Händlers ebenso beschädigen wie das der kartenausgebenden Bank. Ausserdem verursachen sie immense Kosten. Der ACS hilft Issuern dabei, Missbrauch möglichst weitgehend zu vermeiden und damit die damit verbundenen Kosten zu senken. Issuer können das Vertrauen in das System erhöhen und damit insgesamt die Erträge aus diesem Segment verbessern.“
Die ACS-Lösung von Netcetera ist entsprechend für risikobasierte Authentifizierung ausgelegt. Steven Chuang: „Im E-Commerce führt eine zu lange Check-Out-Zeit dazu, dass weniger Transaktionen erfolgreich abgewickelt werden können. Also geht es darum, möglichst viele Transaktionen mit Hilfe von Risiko-Analysen möglichst unterbrechungsfrei abzuwickeln. Das funktioniert am besten, wenn man die neueste Version von 3-D Secure in Verbindung mit Risk Based Authentication nutzt. Die Zusammenarbeit zwischen Netcetera und Cherri macht dies für Issuer einfacher.“
Biljana Kuzeska: „Davon profitieren alle Beteiligten. Die Issuer und Händler können ihre Umsätze steigern und die Konsumenten profitieren von einem bequemen und schnellen Check-Out-Prozess.“