PSD2: Warum zwei der gängigsten Ansätze zur Einhaltung nicht funktionieren

Betrugsprüfung am besten vor der Autorisierung durchzuführen

Vom unserem Gastautor Ulrich Weigel, Regional Director EMEA bei Forter

[datensicherheit.de, 01.08.2022] Seit dem Beginn der Durchsetzung der Zahlungsdiensterichtlinie 2 (Payment Service Directive 2, PSD2) bei Handelsunternehmen in Deutschland sind einige Monate vergangen. Mittlerweile ist deutlich geworden, welche Muster sich abzeichnen und welche Lehren sich daraus ziehen lassen. Die Daten belegen, dass die Verwendung von 3D Secure (3DS) für die starke Kundenauthentifizierung (SCA) einen erheblichen Einfluss auf die Umsätze hat.

Zwei Ansätze zu Einhaltung

Bei näherer Betrachtung zeigt sich, dass die Händler am häufigsten folgende Ansätze für die Einhaltung der Regularie verwenden: (A) Verwendung von SCA bei jeder Transaktion (und Übermittlung an 3DS) oder (B) Versuch, jede Transaktion als davon ausgenommen zu kennzeichnen und nur die Transaktionen an 3DS zu übermitteln, die vom Issuer eine „Soft Decline“ erhalten. Beide Ansätze lassen zu wünschen übrig und verringern vor allem die Umsätze.

Ulrich Weigel, Regional Director EMEA bei Forter, Bild: Forter

Was passiert wenn der Händler jede Transaktion an 3DS schickt

Die Verwendung von 3DS für Transaktionen bringt definitiv Vorteile mit sich, nämlich zusätzliche Sicherheit für „Card-Not-Present-Transaktionen (CNP)“ und die Verlagerung der Haftung für Rückbuchungen bei Betrug vom Händler auf den Kartenaussteller sowie die Einhaltung der PSD2.

Im Rahmen von PSD2 führt die Verwendung von 3DS trotz der Verbesserungen in Version 2 immer noch zu einer schlechten Erfahrung für legitime Kunden. Der Grund liegt im Zahlungsvorgang begründet, da hier erhebliche Reibungsverluste (Friction) verursacht werden. Das führt z.B. dazu, dass Online-Shopper ihre Transaktion abbrechen und ihren Einkauf woanders abschließen. Es können auch 3DS-Fehler auftreten, bei denen legitime Kunden die 3DS-Challenge nicht abschließen und den Kauf abbrechen. Diese Folgen lassen sich gleichermaßen häufig beobachten.

Wenn alle Transaktionen an 3DS gesendet werden, wirkt sich das negativ auf die Konversion aus. Einige Händler, die wissen wie sich die 3DS-Friction auf ihre Umsätze auswirkt, versuchen jede Transaktion für eine Ausnahmeregelung unter PSD2 zu kennzeichnen. Leider hängt dies immer noch zu sehr von externen Faktoren ab, die außerhalb der Kontrolle des Händlers liegen.

Die beiden größten Nachteile dieses Ansatzes sind:

• Verhalten des „Issuers“
  Betrug und 3DS unter PSD2 sind keine getrennten Themen

Verhalten der Issuer

Wenn Issuer eine Transaktion ablehnen, handelt es sich nicht immer um ein „Soft Decline“ welches es dem Händler ermöglichen würde die Transaktion zu retten – indem er sie mit 3DS erneut verarbeitet. Forter als Fraud Spezialist, schätzt, dass bis zu 65 Prozent dieser nicht Soft Declines wiederhergestellt werden könnten, wenn sie von Anfang an, an 3DS gesendet worden wären. Die Issuer ändern ihre Policies in Bezug auf die Akzeptanz von 3DS und PSD2-Ausnahmen. Wenn dies passiert, optimieren Händler mit einem fixierten manuellen Ansatz für alle Transaktionen ihre Einnahmen und Umsätze nicht.

Betrug (Fraud) und 3DS im Rahmen der PSD2 sind keine getrennten Themen:

1. Durch die Kombination eines „exempt all“-Ansatzes mit einer unzureichenden Betrugsprüfung können unweigerlich risikoreiche und potenziell betrügerische Transaktionen zur Bearbeitung übermittelt werden. Das führt zu zwei Problemen:
   • Die Haftung für den freigestellten Verkehr geht nicht auf den Kartenaussteller über, und der Händler muss die Rechnung für die Betrugsrückbuchungen (Fraud Chargebacks) bezahlen.
   • Die Betrugsquote der Zahlungsverkehrsdienstleister könnte durch risikoreichere Transaktionen negativ beeinflusst werden, wodurch die Wahrscheinlichkeit sinkt, dass künftige Transaktionen für eine Freistellung gekennzeichnet werden.
2. Durch die Verwendung eines zu aggressiven Betrugs-Tools vor der Autorisierung können Händler zwar potenzielle Rückbuchungen vermeiden, könnten sich aber selbst erhebliche Probleme bei der Konvertierung einhandeln. Einige Zahlungsverkehrsdienstleister gestatten einen exempt all-Ansatz unter der Bedingung, dass die Händler ihr „Pre-Authorization-Fraud“-Tool einsetzen – unglücklicherweise sind diese Tools häufig regelbasierte Lösungen, die gute Transaktionen mitblocken.
3. Selbst wenn eine optimierte Fraud-Engine verwendet wird, werden Händler wahrscheinlich Umsätze verlieren, wenn das Modul keine Kontrolle darüber hat, was an 3DS gesendet wird. Nicht alle „Fraud Declines“ sind gleich, einige Fraud Declines könnten durch eine 3DS-Authentifizierung gerettet werden. Wenn Fraud Declines vor der Authentifizierung nicht darüber informieren, was ausgenommen wird, müssen sie damit rechnen, dass auch legitimer Datenverkehr abgelehnt wird. In Anbetracht all dieser Punkte lässt sich sagen, dass Händlern, die sich der PSD2-Compliance nähern, indem sie jede Transaktion ausnehmen, legitime Transaktionen im Wert von mindestens zwei bis drei Prozent ihres Umsatzes entgehen.

Aus Sicht der Händler lassen sich daraus zwei wichtige Schlüsse ziehen:

Die Issuer kennen

Durch den Einsatz einer dynamischen Engine kann ein Händler viel schneller auf Änderungen im Verhalten der Kartenaussteller reagieren, als wenn er lediglich das erwartete Verhalten anhand von Regeln befolgen würde. Eine dynamische Engine nutzt Automatisierung und maschinelles Lernen, um das Verhalten der Kartenaussteller bei jeder Transaktion zu überwachen und darauf zu reagieren.

Die Kunden kennen

Das Verständnis des Kunden, der die Händlerwebseite besucht, ist entscheidend für die Optimierung von Zahlungen. Wenn man den Kunden und sein Verhalten kennt, lässt sich das Risiko jeder einzelnen Transaktion viel besser quantifizieren. Es geht hierbei nicht nur um das Betrugsrisiko, sondern auch um das Risiko, dass ein Kunde eine 3DS-Anforderung abbricht oder nicht abschließt.

Fazit und Lösungsansatz: Risiko und Zahlungen miteinander verknüpfen

Der beste Weg, dies zu tun, besteht darin, vor der Autorisierung eine Betrugsprüfung durchzuführen. Darüber hinaus muss derselbe Anbieter entscheiden, welche Transaktionen an 3DS weitergeleitet oder ausgenommen werden. Die besten Systeme treffen differenzierte, dynamische Entscheidungen auf der Grundlage der Wahrscheinlichkeit, dass eine Person eine 3DS-Prüfung durchläuft; der Wahrscheinlichkeit, dass der Kartenaussteller eine Ausnahme akzeptiert und des tatsächlichen Transaktionsrisikos selbst.

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2019
PSD2 fordert Qualifizierte Website-Zertifikate