Starke Ausnahmen für die Kundenauthentifizierung können Ihre Kundenerfahrung verbessern

"Herausfordernd."

Dies muss das beliebteste Wort in Bezug auf die Umsetzung aller Anforderungen der überarbeiteten Richtlinie über Zahlungsdienste (PSD2) sein.

Wir haben alles darüber gehört: Ressourcen zur Anpassung der Technologie an die gesetzlichen Anforderungen; Schwierigkeiten beim Navigieren im Bereich der in der Richtlinie und in den technischen Normen enthaltenen Regeln; Bedenken, dass die von den Aufsichtsbehörden festgelegten Fristen nicht eingehalten werden können; Bedenken hinsichtlich der möglichen Auswirkungen auf das Kundenerlebnis und folglich auf das Geschäft.

Diese letzte Herausforderung hat zu vielen interessanten Gesprächen geführt. PSD2 wirkt sich aufgrund der Anforderungen an die sichere Authentifizierung und Transaktionsautorisierung sicherlich auf das Kundenerlebnis aus. Um diese Anforderungen zu erfüllen, müssen Finanzinstitute standardmäßig eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) für eine Vielzahl von Benutzeraktionen in Remote-Kanälen anwenden. Je nachdem, wie es implementiert ist, kann dies die Benutzererfahrung reibungslos gestalten, was wiederum zum Verlassen des Kunden führen kann.

Angesichts der Fristen für die SCA-Implementierung haben sich einige Finanzinstitute möglicherweise zunächst auf die Einhaltung von Vorschriften konzentriert und das Gespräch über das Kundenerlebnis verschoben. Dieses Gespräch gewinnt jetzt an Bedeutung, da FIs nach Verbesserungen für die Benutzerreise suchen - nämlich um die Reibung auf das erforderliche Minimum zu beschränken. In diesem Blog untersuchen wir, welche Rolle SCA-Ausnahmen spielen können.

Positive Kundenerfahrung

Definieren wir zunächst, was eine positive Kundenerfahrung bedeutet. Die digitalen Bankkanäle können nicht mit der Erfahrung in der Filiale verglichen werden. Stattdessen konkurrieren FIs mit anderen Akteuren im digitalen Bereich: Einzelhandelsplattformen, Social-Media-Giganten, Neobanken, Fintech-Startups usw. Ein Teil der Herausforderung für FIs besteht darin, schnell Fachwissen im Bereich mobiler Apps zu entwickeln: Reduzierung der Anzahl Klicks, Überdenken der Benutzerströme oder Suche nach neuen Wegen, um mit dem Kunden in Kontakt zu treten.

Finanzinstitute wissen, dass Kunden eine geringe Reibungstoleranz haben. Kunden zu gewinnen und zu binden bedeutet, ein nahtloses und intuitives digitales Erlebnis zu bieten, einschließlich eines optimierten Authentifizierungsprozesses. Ein Kunde, der den Zahlungsfluss durchläuft, sollte nur dann einer Authentifizierungsherausforderung ausgesetzt sein, wenn das Risiko über einem bestimmten Schwellenwert liegt. In vielen Fällen, wie bei hochwertigen Geldtransfers, stärken Authentifizierungsprobleme das Vertrauen des Kunden, dass Schutzmaßnahmen getroffen wurden. Bei routinemäßigen Operationen mit geringem Wert kann es jedoch frustrierend sein, nach einer Multi-Faktor-Authentifizierung (MFA) gefragt zu werden.

Zeit und Benutzerfreundlichkeit sind wichtiger denn je. Überkomplizierte und starre Authentifizierungsabläufe sorgen für Frustration - insbesondere, da der mobile Kanal ein wesentlicher Bestandteil des Bankerlebnisses wird. In vielen Regionen ist Mobile Banking bereits vorhanden. Laut Forrester in Der Stand des Digital Banking, 2021 68% der britischen Online-Erwachsenen nutzen ihr Telefon mindestens monatlich für Bankgeschäfte, während in Asien „Mobile Banking der beliebteste Bankkontaktpunkt ist“.

PSD2 Revolution

PSD2 mit seinen strengen Anforderungen in Bezug auf SCA und Transaktionssicherheit kam wie eine Revolution für Finanzdienstleistungen und insbesondere für E-Commerce und Zahlungen. Bei der Verbesserung der Sicherheit war von Anfang an klar, dass sich dies auf das Kundenerlebnis auswirken würde, indem zusätzliche Schritte und Überprüfungen zum Zahlungsfluss hinzugefügt würden. Die Sorge ist, dass diese Anforderungen insgesamt zu einer Zunahme des Abbruchs von Transaktionen und der Kundenabwanderung führen würden.

Um die Auswirkungen von PSD2 zu verstehen, möchten wir Sie kurz über die wichtigsten Änderungen für die Verbraucher informieren. Erstens gibt die überarbeitete Richtlinie über Zahlungsdienste den Menschen Einblick in ihre Finanzdaten, indem sie einen sicheren Informationsaustausch zwischen Finanzinstituten ermöglicht. Durch die Schaffung der Grundlage für Open Banking wird der Datenaustausch zwischen verschiedenen Bankbetreibern ermöglicht. In einigen Fällen können Verbraucher alle ihre Bankkonten über eine mobile App verwalten. Dies ist ein großartiger Schritt in Richtung eines besseren Bankerlebnisses.

Zweitens legt PSD2 bestimmte Sicherheitsstandards fest, um finanzielle Online-Interaktionen zu schützen. Unter anderem wurde SCA in die Regulatory Technical Standards (RTS) von PSD2 aufgenommen, um die Zahlungssicherheit zu verbessern und Betrug zu reduzieren. Es erfordert FIs, um Kunden mithilfe von zu authentifizieren mindestens zwei voneinander unabhängige Authentifizierungsfaktoren . Dies legt die Messlatte für Betrüger höher: Selbst wenn sie es schaffen, das Passwort zu hacken, müssen sie den anderen Faktor herausfinden, der die Wahrscheinlichkeit von Betrug verringert.

Starke Ausnahmen für die Kundenauthentifizierung

SCA ist für die meisten Online-Zahlungsmethoden im gesamten Europäischen Wirtschaftsraum obligatorisch. Dies kann eine Herausforderung sein, da in bestimmten Authentifizierungsszenarien weitere Schritte eingeführt werden. Eine Bewertung der Auswirkungen ist noch zu früh (Frist für die vollständige Umsetzung der SCA war der 31. Dezember 2020), eine Studie schätzt dies jedoch Das europäische E-Commerce-Geschäft könnte 57 Milliarden Euro verlieren im ersten Jahr nach der SCA-Durchsetzung aufgrund zusätzlicher Reibung an der Kasse.

Auf der anderen Seite werden auch Händler, die die SCA-Anforderungen nicht erfüllen, ernsthafte Probleme haben, da Banken solche Transaktionen ablehnen müssen. Nach dem letzten Update von CMSPI Im Einzelhandel besteht ein Risiko von fast 89 Milliarden Euro, dass Transaktionen fehlschlagen, technische Fehler auftreten und letztendlich gute Kunden gezwungen sind, ihre Einkäufe zu stornieren.

Bedeutet dies, dass Finanzinstitute und Händler verpflichtet sind, SCA in alle Szenarien einzubauen? Müssen Verbraucher immer eine mehrstufige Authentifizierung durchlaufen (z. B. die Eingabe der PIN beim Kauf eines Kaffees)? Zum Glück nicht.

Kapitel III der Regulatory Technical Standards führt das Zauberwort ein: SCA Ausnahmen . Diese Ausnahmen wurden geschaffen, um die erwarteten negativen Auswirkungen auf die Rate erfolgreich verarbeiteter Transaktionen zu kompensieren. Im Allgemeinen gelten bestimmte Kriterien, damit eine Ausnahme von SCA zulässig ist. Während Transaktionsüberwachung ist für alle von ihnen obligatorisch. Die Berechtigung für bestimmte Ausnahmefälle unterliegt einer verstärkten Überwachung und Meldung von Betrug.

Beispiele für Anwendungsfälle für Ausnahmen sind:

• Wiederkehrende Transaktionen : Diese können von SCA ausgenommen werden, wenn der Wert, der Empfänger und der wiederkehrende Zyklus identisch sind, wie bei Abonnements.
• Transaktionen mit geringem Wert: Eine Ausnahme kann für eine bestimmte Anzahl von Transaktionen mit geringem Wert (weniger als 30 €) oder für kontaktlose Transaktionen wie die an Parkterminals angewendet werden.
• Vertrauenswürdige Begünstigte (Zahlungsempfänger) : Dies ist interessant für das Online-Banking, wenn der Kunde einen bestimmten Empfänger sicher auflistet. Für den E-Commerce ist es auch interessant, wenn der Kunde nach der Authentifizierung seiner Zahlung die ausstellende Bank auffordert, einen bestimmten Händler als vertrauenswürdig zu kennzeichnen. In diesem Fall ist SCA für spätere Transaktionen nicht obligatorisch, wenn die Bank dieser Anwendung zustimmt.
• Transaktionen mit geringem Risiko: Ein weiteres Beispiel sind Transaktionen mit geringem Risiko, wobei das von der Bank festgelegte Etikett „geringes Risiko“ auf der Grundlage von a Echtzeit-Transaktionsrisikoanalyse von mehreren Datenpunkten (wie dem Ausgabenmuster, dem abnormalen Standort des Zahlers und mehr). Diese Ausnahme ist die schwierigste, da zusätzlich zu den allgemeinen Anforderungen für die Transaktionsüberwachung eine zusätzliche Analyse erforderlich ist. Zum Beispiel:
  • Die Betrugsrate muss gleich oder unter der Referenzbetrugsrate liegen.
  • Der Betrag der Transaktion darf den Ausnahmeschwellenwert nicht überschreiten.
  • Die TRA-Standards (Transaction Risk Analysis) wurden erfüllt, was bedeutet, dass die Echtzeit-TRA in der Lage sein sollte, die folgenden Faktoren zu identifizieren: abnormale Ausgaben oder Verhaltensweisen, Geräte- und Softwarezugriff, Malware oder bekannte Betrugsszenarien, abnormaler Standort des Zahlers, und das Risikograd des Zahlungsempfängers.

Eine detaillierte Beschreibung der Anforderungen sowie die Funktionen eines Betrugsüberwachungssystems, das zur Erfüllung dieser Anforderungen beitragen kann, finden Sie in unserem Whitepaper: Aktivieren der PSD2-kompatiblen Betrugsüberwachung .

Verbesserung der Sicherheit und des Kundenerlebnisses durch SCA-Ausnahmen

Die erfolgreiche Anwendung von SCA-Ausnahmen auf flexible, adaptive Authentifizierungsabläufe ist eine der Lösungen zur Verringerung der Reibung und zur Lösung der Herausforderung für das Kundenerlebnis. Wenn Sie die Liste der Ausnahmen durchlesen, werden Sie feststellen, dass sie alle auf Datenanalysen basieren, obwohl der Datenbereich von Ausnahmefall zu Ausnahmefall unterschiedlich ist.
Bei der Planung von auf Ausnahmen basierenden Flüssen ist Folgendes zu berücksichtigen:

• Ausreichende Qualitätsdaten: Digitale Kanäle statten Betrugsanalystenteams mit einer leistungsstarken Waffe aus: Daten. Dies reicht von Daten, die vom Gerät des Benutzers erfasst werden, bis zu Kontextdaten zum Benutzer und seinem Konto (einschließlich historischer Aktionen und Ausgabenmuster). Ziel ist es, ein vollständiges und genaues Bild des Kontexts rund um die Transaktion zu erstellen.
  
  Ein bestimmter Umfang der Transaktionsüberwachung ist für alle Zahlungen obligatorisch (gemäß Artikel 2 des RTS ). Aus diesem Grund können Finanzinstitute bei der Datenerfassung nicht nur den unter einer bestimmten Ausnahme aufgeführten Geltungsbereich betrachten. Sie benötigen Daten, um das Betrugsrisiko einer Transaktion jederzeit bewerten zu können
• Zuverlässige Datenanalyse: Für alle freigestellten und nicht freigestellten Transaktionen ist eine zuverlässige Lösung zur Betrugsüberwachung erforderlich. Um eine korrekte Ausgabe zu erzielen, werden im Idealfall geschäfts- und risikogesteuerte Richtlinien kombiniert, die auf einer Regelengine und maschinellem Lernen basieren. Im Fall der Ausnahmeregelung für „vertrauenswürdige Begünstigte“ verknüpft ein Betrugsüberwachungssystem beispielsweise nicht nur die Vertrauensstufe des Empfängers mit den damit verbundenen SCA-Anforderungen. Durch maschinelles Lernen sollte auch das Risiko jeder Transaktion bewertet werden, selbst für „vertrauenswürdige“ Zahlungsempfänger. Die Bank wird in Echtzeit benachrichtigt, wenn sich das mit einer Transaktion für einen bestimmten Empfänger verbundene Risiko ändert.
• Richtige Aktionen und Workflows basierend auf den Ergebnissen der Analyse: Die Datenerfassung und -analyse liefert ein Ergebnis, das in erweiterte, flexible Authentifizierungsworkflows integriert werden kann. Die Transaktion wird freigegeben, wenn das Risiko ausreichend niedrig ist. Ausnahmen von SCA können in diese flexiblen Workflows einbezogen werden, wobei die Risk Engine ständig Daten im Hintergrund in Echtzeit analysiert. Dieser Prozess verzögert die Ausführung der Transaktion nicht. Darüber hinaus kommt es dem Kundenerlebnis auf andere Weise zugute. Wenn die Kriterien für die Befreiung erfüllt sind, wird der Kunde den Prozess im Handumdrehen durchlaufen. Wenn die Betrugsbekämpfungs-Engine eine Transaktion mit einer Risikobewertung kennzeichnet, die einen definierten Schwellenwert überschreitet, wird ein anderer Workflow angewendet, der die Authentifizierungsaufforderung verstärkt, damit sie dem Risiko angemessen ist.
• Berichterstattung: Die Berichterstattung über Betrugsraten ist eine Voraussetzung für risikobasierte Ausnahmen. Daher ist es wichtig, ein umfassendes Berichtstool zu implementieren, das sowohl ein erhöhtes Transaktionsrisiko als auch den Zeitpunkt erkennt, zu dem Änderungen in der Ausnahmeregelung angewendet werden müssen. Im Idealfall enthält ein solches Tool eine Reihe vordefinierter Berichtsvorlagen, die die RTS-Anforderungen und die Richtlinien für die Betrugsberichterstattung unter PSD2 abdecken.

Gedanken schließen

Obwohl wir noch nicht gesehen haben, wie eine starke Kundenauthentifizierung die Welt des Zahlungsverkehrs verändern wird, erwarten wir, dass mehr FIs und E-Commerce-Händler flexible, intelligente Authentifizierungsworkflows implementieren, die den Kunden nahtlos durch die Transaktion führen.

Als vertrauenswürdiger Sicherheitspartner der weltweit führenden Banken bietet OneSpan fachkundige und technische Anleitungen für die Einhaltung von PSD2 SCA. Wir helfen Finanzinstituten dabei, den Wert adaptiver Authentifizierungslösungen auf der Grundlage von Risikoanalysen zu verstehen, die bei der Einhaltung von PSD2 helfen und gleichzeitig Reibungsverluste im Kundenerlebnis beseitigen.