Programm Administration

 

SCA (Strong Customer Authentifikation)

SCA (Strong Customer Authentifikation)

 

SCA (Strong Customer Authentifikation): Informationen zur europäischen Richtlinie über Zahlungsdienste (PSD2) in Bezug auf Firmenkreditkarten

 

Am 14. September ist die Zweite Zahlungsdienste-Richtlinie in Kraft getreten. Mit dieser Richtlinie wird auf die vielfältigen Entwicklungen im Bereich innovativer Zahlungsprodukte der letzten Jahre reagiert, speziell im Bereich des Mobilen und Online-Zahlungsverkehr. Vor allem sollen die Verbraucher besser vor Betrug, Missbrauch und sonstigen Problemen bei der Durchführung von Zahlungen geschützt werden. Diese neuen Regelungen zielen auf verbesserte Verbraucherrechte und eine Verringerung von Betrugsfällen. Ein Schlüsselelement von PSD2 sind zusätzliche Sicherheitsauthentifizierungen für Online-Transaktionen über 30 Euro: bekannt als starke Karteninhaberauthentifizierung“ oder Strong Customer Authentication“ (SCA). Das bedeutet: Karteninhaber müssen beispielsweise bei Online-Käufen neben ihren Kartendaten eine zusätzliche Form der Identifikation erfüllen. Im Folgenden erfahren Sie mehr über die SCA-Vorschriften und was sie für Karteninhaber bedeuten. Zudem erläutern wir, wie American Express® die zusätzlichen Sicherheitsauthentifizierung umgesetzt hat.

 

Warum wird SCA benötigt?


Die Schäden durch Zahlungsbetrug nehmen seit fast einem Jahrzehnt stetig zu, und es gibt nur wenig Anzeichen für eine Entspannung. Die Europäische Kommission ist aktiv geworden, indem sie eine sichere Authentifizierung vorschreibt. Ein besserer Schutz vor Betrug ist eine der Kernkomponenten von PSD2. Seit dem 14. September 2019 werden deshalb alle Online-Transaktionen über ein gesichertes Branchenprotokoll wie American Express SafeKey (3D Secure) abgewickelt.

Online-Transaktionen erfordern damit eine zusätzliche Authentifizierung (mit einigen Ausnahmen).

 

Was sind die Anforderungen an die starke Kundenauthentifizierung?


PSD2-SCA erfordert die Verwendung von zwei unabhängigen Validierungsquellen. Dies wird durch eine Kombination von zwei der drei folgenden Kategorien sichergestellt (Zwei-Faktor-Authentifizierung):

  • Etwas, das Sie wissen (z. B. PIN)
  • Etwas, das Sie besitzen (z. B. Telefon)
  • Etwas von Ihnen persönlich (z. B. Fingerabdruck)

Diese Vorgaben gelten nur für Transaktionen, bei denen sich sowohl der Zahlungsleistende als auch der Zahlungsempfänger im Europäischen Wirtschaftsraum (EWR) befindet.

 

Was ändert sich?


Der Zahlungsablauf wird teilweise etwas anders aussehen als heute. Gegenwärtig ist eine Authentifizierung nur ausnahmsweise erforderlich: Wird beispielsweise das Risiko der Transaktion als hoch“ eingeschätzt, kann eine zusätzliche Authentifizierung ausgelöst werden. Dies wird allgemein als Step-up oder Intensivierung“ bezeichnet. Ab September 2019 ist die zusätzliche Authentifizierung zum festen neuen Standard geworden. Alle unter die PSD2-Regelungen fallenden Transaktionen müssen authentifiziert werden, sofern keine Ausnahmeregelung vorliegt.

In einem Szenario, wo eine Karte beim Einkauf vorgezeigt wird, bleibt der Komfort des kontaktlosen Verkaufs am Point-of-Sale bei Transaktionen mit geringem Wert (unter 50 Euro) erhalten. Zudem werden Chip und PIN auch im Europäischen Wirtschaftsraum bei Werten über 30 Euro als gängige Praxis beibehalten. Für Online-Einkäufe und -Zahlungen sind wie bereits erwähnt zusätzliche Authentifizierungen erforderlich. Wobei künftig der Online-Handel von American Express mit SafeKey unterstützt wird. Mit der neuesten 3-D-Secure-Technologie von American Express SafeKey gehen Sie beim Online-Einkauf auf Nummer sicher. Bei manchen Online-Einkäufen erhalten Sie eine TAN per E-Mail und/oder SMS und sind so bei SafeKey-Partnern zusätzlich geschützt.

Weitere Informationen zu SafeKey unter: www.americanexpress.at/safekey

 

Welche Ausnahmen gibt es?


Nicht alle Transaktionen erfordern eine zusätzliche Authentifizierung. PSD2-SCA benennt eine Reihe von Ausnahmen, die darauf zielen, Karteninhaber nicht zu verärgern und Transaktionsabbrüche zu verringern. Diese Ausnahmen sind:

Weitere Informationen anfordern