PSD2 & Starke Kundenauthentifizierung (SCA)

Die neue Zahlungsdienstrichtlinie PSD2 kommt von der Europäischen Bankenaufsichtsbehörde und wird im Europäischen Wirtschaftsraum (EWR) eingeführt, um Online-Zahlungen für Händler und Kunden sicherer zu gestalten. Die Regulierung soll betrügerische Aktivitäten im EWR verringern, die häufig vorkommen, wenn der Karteninhaber bei der Zahlung nicht persönlich anwesend ist (z.B. bei Online-Zahlungen).

Ein wichtiger Teil der PSD2 ist die erforderliche Starke Kundenauthentifizierung (SCA), die offiziell am 14. September 2019 in Kraft tritt.

Für die Durchführung der SCA müssen Zahlungsdienstleister die Legitimität des Kunden bei der Online-Zahlung authentifizieren. Beispielsweise müssen Online-Händler (wie auch Sie selbst) verifizieren, dass der Gast, der die Buchung online abschließt, auch der Karteninhaber der verwendeten Zahlungskarte ist. Diese Authentifizierung wird üblicherweise in den Zahlungsprozess integriert und erfordert zwei oder mehr der untenstehenden Nachweise vom Kunden:

• Etwas, das nur der Kunde kennt (z.B. eine PIN-Nummer)
• Etwas, das nur der Kunde besitzt (z.B. ein Smartphone) und
• Biometrische Informationen zum Kunden selbst (z. B. Fingerabdruck / Iriserkennung)

SCA wird mit Hilfe des 3D Secure-Verfahrens (3DS) angewandt. 3DS wird für gewöhnlich von der Bank des Karteninhabers eingeleitet, um eine Transaktion zu verifizieren (normalerweise durch einen Code, der an das Smartphone des Karteninhabers gesendet wird). Dieses Verfahren wurde vor Kurzem auf 3DS2 aktualisiert, um die Online-Erfahrung des Kunden weniger zu beeinträchtigen.

Ein gutes Verständnis der Schritte, die ein Kunde bei Online-Zahlungen durchlaufen muss, ist nötig, um mit dem neuen System konform zu gehen. Sehen Sie sich Ihren Zahlungsprozess genau an und überprüfen Sie, bei welchen Schritten Sie der PSD2 unterliegen:

• Zahlung bei der Buchung – Volle Zahlungen oder Anzahlungen zum Zeitpunkt der Buchung unterliegen möglicherweise den SCA-Vorschriften
• Verzögerte Zahlung – Anzahlung vor Check-in, Stornierungsgebühren oder No-Shows
• Zahlung bei Abreise – Unterkunfts- und andere Kosten
• Zahlung nach der Abreise – Abreise vor Zahlung, ausstehende Minibar-Kosten, Schäden

Hoteliers werden sich nun neuen Herausforderung stellen müssen. Wenn ein Gast seine Kartenangaben online bei der Buchung hinterlegt, werden die Details sicher als „Karte in der Datenbank“ gespeichert, damit Hoteliers zu einem späteren Zeitpunkt Zahlungen darüber bearbeiten können, wenn der Gast wieder offline ist. Die eigentliche Zahlung von Anzahlungen, ausstehenden Beträgen, Zusatzleistungen, Stornierungen oder No-Show-Gebühren werden dann jedoch schwierig, da der Gast nicht vor Ort oder online ist, um die SCA durchzuführen. Zahlungen über eine Karte in der Datenbank tragen daher ein hohes Risiko von der Bank des Karteninhabers abgelehnt zu werden, wenn kein Nachweis einer SCA vorliegt. Um sich dieser Herausforderung zu stellen, sollten Sie ab sofort die Kartenangaben des Gastes immer beim Check-in über eine konforme Zahlungsmethode erfassen und die Karte für spätere Zahlungen vom Gast vor-autorisieren lassen.

• Technologien wie Online-Buchungssysteme oder PMS mit einem konformen Payment-Gateway.
• POS Transaktionen mit Chip und PIN-Nummer, da der Nutzer im Besitz von Karte und PIN sein muss.
• Zahlungen mit Apple Pay, da der Nutzer das eigene Smartphone und einen Fingerabdruck oder Gesichtserkennung dazu benötigt.

Diese Regulierung wurde von den Behörden zur Verhinderung von Kreditkartenbetrug eingeführt und wird die Zahlungsvorgänge für Hotels grundlegend verändern. Mit der Einführung der SCA ist das größte Risiko für Ihr Unternehmen, dass nicht-konforme Transaktionen abgelehnt werden und sich die Anzahl Ihrer Buchungen, Ihre Belegungsrate und Ihr Umsatz deutlich verringern. Außerdem wird die Verwaltung von Stornierungen und No-Shows komplizierter, da diese nicht länger wie gewohnt über hinterlegte Karten abgerechnet werden können.

In der Branche wird hart daran gearbeitet, die Anforderungen der neuen SCA zu erfüllen. SiteMinder arbeitet eng mit OTAs, PMSs und Payment Gateways zusammen, um sicherzugehen, dass unsere Produkte den neuen Sicherheitsstandards gerecht werden.

Letztendlich wurden die PSD2 und SCA im besten Interesse von Kunden, Ihren Gästen und Ihrem Unternehmen eingeführt. Auch wenn die Regulierung vielleicht zunächst Auswirkungen auf die Conversion hat, werden die Vorteile diese kurzzeitigen Hürden weitaus überwiegen.

Stellen Sie sich den neuen Herausforderungen, bis bessere Lösungen gefunden werden, und ziehen Sie alternative Zahlungsvorgänge in Erwägung, die von der SCA ausgeschlossen sind oder die Authentifizierung leichter machen. Wir empfehlen:

• Zahlungen vor Ort abzuwickeln (wenn Kreditkarteninhaber mit Karte und PIN anwesend sind);
• Zahlungen vorab über Ihr Buchungssystem erfassen (um das Risiko zu verringern, Zahlungen über hinterlegte Karten nicht bearbeiten zu können); oder
• Bestand auf OTAs verteilen, die virtuelle Kreditkarten ausstellen (da diese von der Regulierung ausgeschlossen sind).

Es gibt folgende Ausnahmen:

• Transaktionen von geringem Wert – Jegliche Zahlungen unter 30 € gelten als Ausnahmen und müssen keine SCA durchlaufen. Diese Transaktionen können jedoch maximal fünf Mal hintereinander durchgeführt werden oder dürfen insgesamt 100 € nicht überschreiten. Danach ist eine SCA erforderlich.
• Whitelisting – Nach der Durchführung einer SCA kann ein Kunde den Händler auf eine weiße Liste setzen, sodass zukünftig keine weiteren Kundenauthentifizierungen erforderlich sind. Händler müssen 3DS2 implementieren (siehe Glossar), um diese Funktion vollständig nutzen zu können.
• Geschäftszahlungen und virtuelle Kreditkarten – Geschäftliche Kreditkarten, die nicht im Namen des Kunden ausgestellt sind, und virtuelle Kreditkarten sind von der SCA ausgenommen.
• Merchant-initiated transactions (MIT) – Zahlungen über gespeicherte Karten, wenn der Kunde nicht anwesend ist, können als „Merchant-initiated transactions“ gelten. Diese Zahlungen sind theoretisch von der SCA ausgenommen. Praktisch wird bei dieser Art von Zahlungen eine Ausnahme angefragt und die jeweilige Bank entscheidet, ob die Authentifizierung für die Transaktion nötig ist oder nicht.

Mail Order and Telephone Order (MOTO) – Diese Transaktionen sind von der SCA ausgenommen, da es derzeit zu schwierig ist, eine Zwei-Faktor-Authentifizierung telefonisch, per Fax oder Post durchzuführen.

Online-Reisevermittler haben die Möglichkeit, eine SCA zum Zeitpunkt der Buchung durchzuführen, wenn die Kartenangaben erfasst werden.

Bis zum 14. September 2019 werden OTAs ihre Kunden und Partner über die Änderungen auf Grund der PSD2 informieren. Wir nehmen an, dass viele OTAs ihre Partner im EWR auf „OTA collect“-Zahlungsverfahren umstellen und virtuelle Kreditkarten (VCC) ausstellen, anstatt die Kartenangaben von Gästen an die Unterkünfte weiterzuleiten. Da virtuelle Kreditkarten von der SCA ausgenommen sind, ist dies vielleicht nicht für alle ideal, aber zumindest vorübergehend eine Lösung.

Wir raten Ihnen, Ihre OTA-Partner zu kontaktieren, um sicherzugehen, dass sie mit Zahlungsanbietern daran arbeiten, bis zum 14. September die neuen Sicherheitsstandards implementiert zu haben.

Die Finanzdienstleistungsaufsicht (FCA) des Vereinigten Königreichs hat bestätigt, dass ab dem 14. September 2019 über 18 Monate eine „stufenweise Einführung“ der SCA vorgenommen wird. Das bedeutet, dass die FCA keine Fahndungsaktionen gegen Banken und Zahlungsdienstleister im Vereinigten Königreich durchführen wird, welche die neuen Sicherheitsstandards der SCA ab dem 14. September nicht erfüllen. Am Ende der 18 Monate wird die SCA voll in Kraft treten. Da die Bank des Karteninhabers entscheidet, ob eine Zahlung durchgeführt oder abgelehnt wird, besteht jedoch weiterhin das Risiko, dass Zahlungen von diesen Gästen aufgrund fehlender SCA abgelehnt werden, falls sich die Bank nicht im Vereinigten Königreich befindet (z.B. wenn ein Gast aus einem anderen EU-Land zu Besuch ist).

Sie sind wahrscheinlich nur dann von den neuen Richtlinien betroffen, wenn sich Ihre Unterkunft in einem Land im Europäischen Wirtschaftsraum (EWR) befindet. SCA ist nur dann erforderlich, wenn sich sowohl der Kartenherausgeber als auch Ihre Bank im EWR befinden.

In den kommenden Jahren kann man allerdings davon ausgehen, dass es weltweit zu ähnlichen Regulierungen kommen wird.

Weitere Informationen zur PSD2 und SCA finden Sie hier:

• Stellungnahme zu SCA & PSD2 der Europäischen Bankenaufsichtsbehörde
• Anleitung von zur Starken Kundenauthentifizierung
• Pressemitteilung der EU-Kommission

Wir empfehlen Ihnen, sich an Ihren Zahlungsanbieter zu wenden und nachzufragen, ob bis zum 14. September alle neuen Sicherheitsstandards implementiert sein werden.