Die europäische Richtlinie über Zahlungsdienste (PSD2) verlangt seit mehreren Jahren eine starke Authentifizierung für Online-Transaktionen mit Karte. Im Jahr 2025 wird der regulatorische Rahmen weiter verschärft. Händler, die weiterhin ohne 3D Secure arbeiten, nutzen gesetzlich vorgesehene Ausnahmen, aber diese Spielräume verringern sich von Quartal zu Quartal unter dem Druck der Aufsichtsbehörden und der Kartennetzwerke.
Übertragung der Betrugsverantwortung: Was Händler unterschätzen
Der am wenigsten sichtbare Mechanismus für einen E-Commerce-Händler, der 3D Secure ablehnt, betrifft den Liability Shift. Seit Visa und Mastercard ihre Haftungsprogramme zwischen 2023 und 2025 weiterentwickelt haben, trägt ein Händler ohne 3D Secure allein die Kosten für betrügerische Rückbuchungen. Der Acquirer und der Kartenaussteller decken den Betrug nicht mehr ab, wenn die starke Authentifizierung nicht ausgelöst wurde.
Weiterlesen : Alles über die STECAL im Baugesetz: Definition und Nutzen
Konkrete bedeutet dies, dass eine Website, die ein signifikantes Volumen an Transaktionen ohne Authentifizierung verarbeitet, unbezahlte Forderungen anhäuft, die ihre Acquiring-Bank nicht mehr übernimmt. Über einem bestimmten Rückbuchungsschwellenwert wenden die Kartennetzwerke Überwachungsprogramme mit steigenden finanziellen Strafen an. Mehrere europäische Händler haben nach der Überwachung durch Visa oder Mastercard einen starken Anstieg ihrer Bearbeitungsgebühren erlebt.
Die Situation der Websites ohne 3D Secure im Jahr 2025 bleibt legal, solange die Ausnahmen korrekt dokumentiert sind, aber die tatsächlichen finanziellen Kosten übersteigen oft die vermeintlichen Einsparungen beim Conversion-Rate.
Ebenfalls empfehlenswert : Entdecken Sie die besten Lösungen zum Streamen von Filmen und Serien im Jahr 2024
SCA-Ausnahmen im Jahr 2025: Ein zunehmend überwacht Rahmen
Die europäische Regulierung sieht mehrere Fälle vor, in denen die starke Authentifizierung umgangen werden kann: Transaktionen mit geringem Betrag, Echtzeitanalyse des Risikos (TRA), vertrauenswürdige Empfänger auf der Whitelist oder wiederkehrende Zahlungen nach einer ersten Authentifizierung. Diese Ausnahmen existieren, um die Fluidität des Kaufprozesses zu erhalten.
Die Europäische Bankenaufsichtsbehörde (EBA) hat Ende 2024 mehrere Aktualisierungen ihrer FAQs zur PSD2 veröffentlicht. Die Botschaft ist klar: Die Ausnahmen müssen in der Minderheit, dokumentiert und überwacht bleiben. Zahlungsdienstleister (PSP), die ein zu hohes Volumen an ausgenommenen Transaktionen zulassen, setzen sich verstärkten Kontrollen und Aufforderungen aus, die Nutzung von nicht authentifizierten Prozessen zu begrenzen.
Für einen Händler bedeutet dies, dass selbst wenn sein PSP heute bereit ist, bestimmte Transaktionen ohne 3D Secure über die TRA-Ausnahme zu leiten, nichts garantiert, dass diese Möglichkeit in sechs Monaten noch bestehen bleibt. Die PSP passen ihre Schwellenwerte je nach regulatorischem Druck an.
Die noch verwendbaren Ausnahmen und ihre Bedingungen
- Transaktionen mit geringem Betrag (in der Regel unter einem vom Netzwerk festgelegten Schwellenwert) bleiben ausgenommen, aber es gilt eine kumulierte Obergrenze. Darüber hinaus wird die starke Authentifizierung wieder obligatorisch.
- Die Echtzeitanalyse des Risikos (TRA) ermöglicht es dem PSP, 3D Secure zu umgehen, wenn seine Gesamtrate an Betrug unter einem bestimmten Schwellenwert bleibt. Ein PSP, dessen Betrugsrate steigt, verliert diese Möglichkeit.
- Die Whitelist (vertrauenswürdige Empfänger) basiert auf einer Entscheidung des Karteninhabers bei seiner Bank. Der Händler hat keinen direkten Einfluss auf diese Eintragung.
Betrug bei Internetzahlungen ohne starke Authentifizierung: Die Daten vor Ort
Die Banque de France stellt im Jahresbericht 2024 des Observatoriums für die Sicherheit von Zahlungsmethoden einen klaren Trend fest. Der Betrug bei Internetzahlungen mit Karte nimmt dort zu, wo die starke Authentifizierung nicht systematisch angewendet wird. Transaktionen, die durch 3D Secure 2.x geschützt sind, weisen eine deutlich niedrigere Betrugsrate auf als der Rest.
Diese Feststellung führt die französischen Aufsichtsbehörden dazu, Konfigurationen ohne 3DS über sehr gezielte Anwendungsfälle hinaus abzulehnen. Die Rückmeldungen vor Ort variieren hinsichtlich des genauen Umfangs des Betrugsunterschieds je nach Sektor, aber die Richtung ist klar: Weniger Authentifizierung führt zu mehr Betrug.
Für Händler ist das Risiko nicht nur finanzieller Natur. Eine hohe Betrugsrate schädigt den Ruf der Website bei den Kartenausstellern, die entscheiden können, systematisch Transaktionen von diesem Händler abzulehnen, selbst solche mit Authentifizierung. Der Kreislauf wird dann schwer umzukehren.
DSP3 und Online-Zahlung: Was nach 2025 kommt
Die Europäische Kommission arbeitet an der DSP3, die in den kommenden Jahren die PSD2 ersetzen soll. Die laufenden Diskussionen betreffen eine Verschärfung der Authentifizierungspflichten und eine Reduzierung des Umfangs der Ausnahmen.
Mehrere Richtungen zeichnen sich ab:
- Eine strengere Regelung der TRA-Ausnahme, mit niedrigeren Betrugsgrenzen für PSP, die davon profitieren möchten.
- Eine europäische Harmonisierung der Ausnahmepraxis, die heute von Land zu Land je nach Auslegung der nationalen Aufsichtsbehörden variiert.
- Die Integration neuer Authentifizierungsmethoden (verhaltensbiometrische Daten, Sitzungstoken), die 3D Secure für den Benutzer weniger sichtbar machen könnten, während das Sicherheitsniveau aufrechterhalten wird.
Wenn die DSP3 den aktuellen Kurs beibehält, werden Websites, die ohne jede Form der starken Authentifizierung betrieben werden, zu einer regulatorischen Anomalie anstelle einer einfachen Geschäftsstrategie. Händler, die diesen Wandel nicht antizipieren, riskieren, ihre Zahlungsinfrastruktur in Eile anpassen zu müssen.
Conversion und Sicherheit: Die falsche Opposition
Das historische Argument gegen 3D Secure basierte auf der Reibung, die es dem Kaufprozess hinzufügte. Mit der Version 2.x des Protokolls hat sich diese Reibung erheblich verringert. Die Authentifizierung erfolgt nun oft passiv, durch die Analyse des Terminals und des Verhaltens des Käufers, ohne sichtbare Intervention.
Die verfügbaren Daten erlauben nicht den Schluss, dass 3D Secure 2.x die Conversion im Vergleich zu einem Prozess ohne Authentifizierung signifikant verschlechtert. Im Gegensatz dazu erzeugt das Fehlen von 3D Secure Rückbuchungen, die messbare Auswirkungen auf die Marge haben.
Die wirtschaftliche Berechnung hat sich geändert. Im Jahr 2025 besteht die Frage für einen Händler nicht mehr darin, ob er auf 3D Secure verzichten kann, sondern wie lange er dies noch tun kann, bevor die indirekten Kosten den vermeintlichen Nutzen aus der Conversion-Rate übersteigen.