PSD2: 7 Fragen und Antworten für Händler

Article Image

Genau vor einem Jahr trat die zweite Payment Service Directive (PSD2) der Europäischen Kommission in Kraft. Da die europäischen Märkte noch nicht ausreichend auf die starke Kundenauthentifizierung (SCA) eingestellt waren wurde die Durchsetzung bis zum 31. Dezember 2020 (in Frankreich & Großbritannien bis 2021 ) verschoben. Händler befinden sich momentan in der letzten Etappe der Umsetzung und sind (selbstverständlich) bestrebt Einnahmeverluste während des Übergangs zu minimieren.

Ob ein Markt für die Durchsetzung von PSD2 bereit ist, hängt von drei Akteuren ab: den Zahlungsdienstleistern, einschließlich der ausstellenden und anwerbenden Banken, sowie den Händlern und Kunden. Der Prozess der Authentifizierungsanfrage wird von den ausstellenden Banken geregelt, welche als bereit gelten diesen Prozess durchzuführen, wenn sie auf 3D Secure 2 (3DS2) migriert sind. Laut einer Amazon-Studie sind 86% der ausstellenden Banken in Großbritannien und 84% in Frankreich zu 3DS2 migriert. In vielen anderen Märkten – darunter Schweden, Spanien, Portugal und Polen – liegen die ausstellenden Banken jedoch noch weit zurück.

Die Bereitschaft der Kunden wiederum steht in umgekehrter Beziehung zur Abbruchrate bei der Authentifizierung – dem Prozentsatz der Kunden, die im Zuge einer Konfrontierung mit 3DS ihren Kauf abbrechen. Während 5% als die angestrebte Abbruchrate angesehen wird, ergab eine Microsoft-Studie, dass die Realität in ganz Europa um das 2- bis 7-fache höher ist, von 13% in Großbritannien und 14% in Frankreich bis zu 34% in Deutschland und 35% in Griechenland.

Das Zahlungs-Ökosystem hängt von der Bereitschaft aller drei Akteure für einen nahtlosen Übergang ab. Während die Trends im Laufe der Zeit darauf hindeuten, dass sich sowohl die Bereitschaft der Aussteller als auch der Kunden verbessern wird, müssen Händler eine PSD2-Strategie verfolgen, um ihre Einnahmen zu sichern. Wir wollten dies genauer darstellen und haben daher die  folgende Liste erstellt:

7 Fragen, zu denen jeder Händler vor Ende 2020 eine Antwort parat haben sollte

1: Kennzeichnen Sie zu Recht Transaktionen, die außerhalb des Geltungsbereiches liegen, um von einem nahtlosen Ablauf zu profitieren?

Einige Transaktionen fallen nicht in den Geltungsbereich des PSD2-Mandats und sind von SCA ausgenommen. Anstatt einen nahtlosen Checkout zu gefährden, ist es am besten, eine Strategie zu verfolgen, mit der Aufträge, die nicht in den Geltungsbereich fallen, erkannt und nicht zur Authentifizierung weitergeleitet werden. Händler müssen wiederum sicherstellen, dass ihre Transaktionen außerhalb des Geltungsbereichs (wie MOTO, MIT usw.) korrekt gekennzeichnet sind und direkt zur Autorisierung weitergeleitet werden.

 

2: Verfolgen Sie Antwortcodes zur Autorisierung und haben Sie einen spezifischen operativen Ablauf für weiche Ablehnungen festgelegt?

Weiche Ablehnungen treten dann auf, wenn ein Händler eine Transaktion sendet, ohne das diese eine Authentifizierung (3DS) durchlaufen ist, jedoch der Aussteller bestimmt, dass diese erforderlich ist. Sogenannte weiche Ablehnungen verfügen über neue, eindeutige Antwortcodes, die sich von System zu System unterscheiden (z.B. A1 für Visa, 65 für MasterCard). Nach einer weichen Ablehnung können Händler die Transaktion zur Authentifizierung zurücksenden und sie dann erneut zur Autorisierung einreichen. Wenn ein Händler weiche Ablehnungen nicht erkennt, können diese mit harten Ablehnungen verwechselt werden, worauf die Transaktionen dann verlorengehen). Händler sollten demnach sicherstellen, dass ihre Systeme Antwortcodes erkennen und einen Verlauf  eingerichtet haben, um diese erneut einzureichen.

 

3: Testen und überwachen Sie die Auswirkungen auf Ihre 3DS-Ergebnisse?

UK Finance hat berichtet, dass Transaktionen, die an 3DS2 gesendet werden, derzeit höhere Anfechtungsraten aufweisen als 3DS1. Inkonsistenzen in der Datenerfassung haben dazu geführt, dass Aussteller diese Transaktionen fälschlicherweise als hohes Betrugsrisiko identifizieren. Laut MasterCard dauert es 3 bis 5 Monate, um Probleme mit 3DS2 zu erkennen und zu beheben. Händler sollten daher überprüfen wie effektiv sie derzeit die für 3DS2 erforderlichen Daten erfassen und einreichen, sowie Schritte unternehmen, um etwaige Probleme zu überwachen und so schnell wie möglich beheben zu können.

 

4: Haben Sie die Risikoschwellenwerte angepasst, um eine gleichbleibend niedrige Betrugsrate zu erreichen, und Ausnahmen beantragen zu können?

Händler werden davon profitieren, dass anwerbende Banken auf maximale SCA-Befreiungen drängen, da sie so für einen schnelleren und nahtloseren Checkout garantieren können. Dafür müssen sie jedoch die Betrugsraten so niedrig wie möglich halten. Betrugsprävention ist wichtig, um sicherzustellen, dass Händler gut positioniert sind, um von den Ausnahmeregelungen zu profitieren, sobald PSD2 flächendeckend in Kraft tritt.

 

5: Entspricht Ihre Risikoanalyse den sechs Anforderungen der Transaktionsanalyse (TRA)?

Um SCA bei in Frage kommenden Transaktionen zu vermeiden, müssen Händler in der Lage sein, ein robustes Betrugsscreening durchzuführen, um sich für eine nahtlose Alternative, die Transaktionsrisikoanalyse (TRA), zu qualifizieren. Laut PSD2 sind sechs Betrugsüberprüfungselemente erforderlich, um sich für TRA zu qualifizieren, einschließlich Informationen über die Ausgaben- und Verhaltensmuster der Kunden und deren Standort. Zur Durchführung des Betrugs-Screenings müssen Händler entscheiden, ob sie eine hausinterne Lösung entwickeln oder sich an einen Drittanbieter wenden wollen, entweder an ein Zahlungs-Gateway oder an einen Anbieter von Betrugspräventionsmaßnahmen. Bei der Zusammenarbeit mit einem Anbieter ist es wichtig auf Folgendes zu achten: Stellen Sie sicher, dass Ihr Anbieter jedes der sechs regulatorischen Elemente anspricht und über ausreichende Erfahrung mit der Analyse von CNP-Bestellungen, insbesondere in ganz Europa, verfügt.

 

6: Haben Sie sich mit ausstellenden Banken zusammengetan, um Ausnahmen zu prüfen?

Vorausschauende Händler besitzen bereits einen Plan für eine robuste und ganzheitliche Freistellungsstrategie. Händler, die noch über keine Freistellungsstrategie verfügen sollten sicherstellen, dass sie verfügbare Ausnahmeregelungen festgesetzt haben. Zudem sollten Sie mit ihrem Zahlungsverkehrsdienstleister entscheiden, wer die Ausnahmeregelungen initiiert, sowie diese lange vor dem Ablauf der Frist testen. Händler, die in der Lage sind, Ausnahmeregelungen zu maximieren verschaffen sich dadurch einen Wettbewerbsvorteil.

 

7: Haben Sie einen Plan, wie Sie gegen Abbruch am Checkout oder erfolglose Authentifizierung vorgehen wollen?

Selbst mit der besten Befreiungsstrategie werden einige Aufträge letztendlich über SCA laufen. Infolgedessen werden einige Kunden ihren Kauf aufgrund von Friktion oder einer fehlgeschlagenen Authentifizierung abbrechen.  Die Gefahr von Einnahmeverlusten ist groß. Händler sollten daher über eine Lösung verfügen, um diese Bestellungen zurückzufordern, insbesondere angesichts der Tatsache, dass viele von ihnen über 500 Euro betragen könnten. Weitere Informationen zu Lösungen von Drittanbietern finden Sie in unserem PSD2 Solution Buyer’s Guide.

 

Unterm Strich

Die Bereitschaft eines Marktes zur Durchsetzung von PSD2 ist abhängig von Banken, Händlern und Kunden. Während des Übergangs ist es wichtig, Betrüger nicht aus den Augen zu verlieren, die bereits intensiv nach Schlupflöchern in den Authentifizierung- und Zahlungsprozessen suchen. Der untenstehende Screenshot eines Darkweb-Forums zeigt Betrüger, die über Methoden zur Umgehung von 3DS diskutieren, während andere sich auf die Maximierung des Betrugspotenzials von Transaktionen außerhalb des Anwendungsbereichs konzentrieren. Letztendlich kann SCA zwar positive Ergebnisse in Bezug auf das Betrugsmanagement erzielen, es gibt jedoch Einschränkungen in Bezug auf das Ausmaß, in dem SCA allein Betrug verhindern kann. 

Darkweb

Riskifieds PSD2-Optimierung ist eine unserer neusten AI-basierten Produkte, die Händlern eine ganzheitliche Betrugsprävention bieten. Um mehr darüber zu erfahren, wie Sie die PSD2-Richtlinien erfüllen können jedoch gleichzeitig keine legitimen Kunden verlieren kontaktieren Sie uns unter hello@riskified.com.