Update zur PSD2 und starken Kundenauthentifizierung
Die Übergangsfrist für die PSD2-Richtlinie wurde verlängert, was auch maßgebliche Konsequenzen für online-Zahlungen in der Hotellerie hat.
Lesezeit:
Eigentlich mit 14. September 2019, nun aber mit einer verlängerten Übergangsfrist bis Ende 2020, gilt für online Zahlungen die sog. Payment Service Directive 2 (PSD2-Richtlinie), was auch maßgebliche Konsequenzen für online-Zahlungen in der Hotellerie hat.
Was sind Kern-Inhalt und Ziel der PSD2-Richtlinie?
Online Zahlungen sollen sicherer werden – deswegen müssen elektronische Zahlungen durch eine sogenannte Zwei-Faktor-Authentifizierung oder auch Strong Customer Authentication (SCA) abgesichert werden. Dabei sind zur Freigabe einer Bezahlung mindestens zwei unabhängige Faktoren aus den drei Kategorien
- Wissen (z.B. Passwort, PIN),
- Besitz (z.B. Bezahlkarte, Smartphone) oder
- Inhärenz (z.B. Fingerabdruck, Gesichtserkennung, Iris, Stimme)
notwendig.
Die SCA soll sicherstellen, dass es sich beim bezahlenden Nutzer auch tatsächlich um den Kontoinhaber handelt. Ziel ist die Reduktion von Kreditkartenbetrug.
Gerade bei Zahlungsvorgängen, bei denen der Gast nicht vor Ort anwesend ist, z.B. Buchung übers Internet und der damit verbundenen Bezahlungen oder Anzahlung („card not present“) müssen womöglich Anpassungen im Prozess mit dem Acquirer und Payment Service Provider durchgeführt werden, um die PSD 2 korrekt umzusetzen. Es gilt jetzt die von der FMA in Aussicht gestellte Nachsicht bei der Umsetzung der Zahlungsdiensterichtlinie zu nutzen und sich auf die anstehenden Änderungen bestmöglich vorzubereiten! Wie bisher laufen Zahlungen ab, in denen der Gast anwesend ist und mit seiner Karte („card present“) am Terminal vor Ort bezahlt. Hier ist es bereits Standard, die SCA anzuwenden in dem der Kunde seine Karte ins Terminal steckt bzw. ans Terminal hält, mit PIN bestätigt oder auf dem Zahlungsbeleg unterschreibt. Auch um Missbrauch und nachfolgende Rückbuchungen zu vermeiden - sind möglichst viele Transaktionen durch Einlesen der Karten am POS Terminal mit Bestätigung durch den Kunden zu empfehlen.
Info
Banken und Kreditkarteninstitute informieren die Karteninhaber laufend und fordern sie auf sich mit den neuen Regularien zu beschäftigen. So werden immer mehr Gäste an die notwendigen Voraussetzungen für eine PSD2-konforme Zahlung (PIN, 3D Secure Code, …) herangeführt und mögliche Zahlungsabbrüche werden sinken.
In folgenden Fällen sieht die PSD2 unter anderem keine starke Kundenauthentifizierung vor:
Virtuelle Kreditkarten: Diese Zahlungskarten (von z.B. den großen OTAs wie Booking.com oder Expedia) sind ausgenommen, sofern der Inhaber keine natürliche Person ist.
MOTO-Transaktionen: Mail-Order und Telefon-Order sind ebenfalls von der SCA ausgenommen. Hier ist aber zu beachten, dass die Abwicklung am stationären Kartenterminal künftig PCI konform abgewickelt werden muss. Es wird empfohlen eine MOTO-Terminal bzw. eine Web-Anwendung zu nutzen. Ihr Acquirer unterstützt Sie hier! Der ÖHV-Partner PAYONE (T.:+43 800 2957 68) steht Ihnen hier mit Rat und Tat zur Seite!
Folgende Handlungsempfehlungen ergeben sich:
- Sprechen Sie mit Ihrem Acquirer, Zahlungsdienstanbieter, Payment Service Provider und Ihrem Partner bei Direktbuchungen (Web Booking Engine). Klären Sie auch „Merchant Initiated Transactions“, also Abbuchungen die von Ihnen als Händler ausgelöst werden, ab. Gemeint sind damit z.B. die Nachverrechnung von Minibar-Konsumationen. Voraussetzung wird sein, dass die erste Transaktion (kann eine Abbuchung oder eine Reservierung einer Gebühr auf der Kreditkarte sein) mit einer starken Kundenauthentifizierung durchgeführt wurde.
- Bereiten Sie Ihre Website auf die Neuerungen vor und lassen Sie 3D Secure Verfahren mithilfe Ihres Zahlungsdienstanbieters integrieren. Die Nutzerfreundlichkeit sollte hier im Fokus stehen, um erhöhte Abbruchquoten zu vermeiden. Am besten Sie informieren sich bei Ihrem Acquirer auch über die Möglichkeiten der PCI-konformen Paymentlinks. Diese Links zu „virtuellen Terminals“ verschicken Sie einfach direkt per E-Mail und Ihre Gäste können schnell, sicher und unkompliziert bezahlen.
- Möglicherweise sind auch Ihre Datenschutzerklärungen zu aktualisieren, nachdem Sie mit Ihrem Zahlungsdienstleister gesprochen haben. Es gilt abzuklären welche Gastdaten für den Zahlungsvorgang verarbeitet werden. Diese Daten werden nicht zu Marketingzwecken verwendet oder gespeichert.
- Ausnahmen bestehen für Zahlungsvorgänge, bei denen der beteiligte Zahler nicht in der EU ansässig ist. Die Starke Kundenauthentifizierung gilt nur für Händler und Kunden im Europäischen Wirtschaftsraum - hier kann es ab Jahresbeginn zu Ablehnung der Kartenausgebenden Banken bei manuellen Transaktionen kommen.
Stand: Mai 2020
Dieser Artikel könnte Sie auch interessieren:
Eine umfassende Zusammenfassung der PSD2-Richtlinie und ihre Bedeutung für die Hotellerie haben wir in einem extra Artikel für Sie zusammengefasst.