Die am 14. September 2019 in Kraft getretene EU-Richtlinie PSD 2 erhöht die Sicherheit beim digitalen Zahlungsverkehr. Dazu gehört unter anderem, dass Kreditkarten-Abbuchungen, die online ausgelöst werden, durch zusätzliche Maßnahmen abgesichert werden. Die Richtlinie betrifft bei Steady ausschließlich Mitglieder, die mit Kreditkarte zahlen (das sind je nach Publisher zwischen zehn und 20 Prozent der Mitglieder).
Was bedeutet das für Mitglieder? | Was bedeutet das für Publisher? |
Betroffen sind Personen, die bei einem Publisher eine neue Mitgliedschaft abschließen ebenso wie bestehende Mitglieder, bei denen die Abbuchung einer monatlichen oder jährlichen Mitgliedschaftsgebühr ansteht. Neue Mitglieder: Wer eine neue Mitgliedschaft bei einem Steady-Publisher abschließt und mit Kreditkarte zahlt, muss möglicherweise einmalig eine zusätzliche Authentifizierung seiner Bank oder seines Kreditkartenanbieters durchlaufen. Nicht jedes neue Mitglied ist betroffen. Dieses Verfahren unterscheidet sich von Bank zu Bank (Details dazu siehe unten). Das Verfahren wird aber in jedem Fall nahtlos in den Bezahlvorgang bei Steady integriert. Neue Mitglieder bei Publikationen mit 30-Tage-Testphase: Personen, die eine Mitgliedschaft mit einer 30-Tage-Testphase abschließen und mit Kreditkarte zahlen wollen, müssen ebenfalls unter Umständen den neuen Authentifizierungsschritt durchlaufen. Dabei kann es passieren, dass Steady einen Euro (oder eine vergleichbare Summe in der jeweiligen Landeswährung) auf der Kreditkarte reserviert und sofort wieder freigibt. Dieser Schritt ist unter Umständen nötig, um die Authentifizierung durchzuführen. Bestehende Mitglieder: Steady wird wie gehabt von bestehenden Mitgliedern monatlich oder jährlich abbuchen. Sollte das aufgrund einer fehlenden zusätzlichen Authentifizierung fehlschlagen, erhalten die betroffenen Mitglieder eine Mail von Steady, in der sie gebeten werden, die Authentifizierung durchzuführen, damit ihre Mitgliedschaft nahtlos fortgesetzt werden kann. Diese Mail wird dann verschickt, wenn Steady turnusgemäß abzubuchen versucht, es aber aufgrund der neuen Richtlinie nicht funktioniert. In der Mail befindet sich ein Link. Klickt das Mitglied auf den Link, muss es sich bei Steady einloggen. Danach wird das Authentifizierungsverfahren einmalig durchlaufen, während dem die Kreditkartendaten erneut eingegeben werden müssen (Details zum Verfahren siehe unten). Wenn die Authentifizierung durchgeführt wurde, wird Steady erneut versuchen, abzubuchen. Dieser erneute Versuch geschieht automatisch, es wird aber bis zu einigen Tagen dauern, bis ein erneuter Abbuchungsversuch gestartet wird. Reagiert das Mitglied nicht auf die Mail, wird Steady in verschiedenen Abständen noch bis zu 4 weitere Mails verschicken bis maximal 28 Tage verstrichen sind. Sollte sich das Mitglied bis dahin nicht erneut authentifiziert haben, beendet Steady die Mitgliedschaft. | Publisher müssen nichts tun, denn Steady kümmert sich um alle Maßnahmen, die zur Erfüllung der PSD 2-Richtlinie notwendig sind. Die Publisher sollten aber wissen, dass es zu vermehrten Anfragen von Mitgliedern kommen kann, die sich nicht an Steady, sondern an die Publisher selbst wenden. Publisher können ihre Mitglieder auf diese Seite verweisen, die alle Informationen zur neuen Richtlinie enthält. Steady hilft Mitgliedern auch unter support@steadyHQ.com weiter. Da Steady den betroffenen Mitgliedern zur Autorisierung ihrer Kreditkarte 28 Tage einräumt und nur vereinnahmtes Geld an Publisher weiterüberweisen kann, ist es möglich, dass bei den kommenden Publisher-Abrechnungen einzelne Mitgliedschaftsbeiträge erst im Folgemonat weiterüberwiesen werden können, weil sie nicht rechtzeitig bei Steady eingehen. Es ist auch möglich, dass einzelne Mitglieder die Authentifizierung ihrer Kreditkarte zum Anlass nehmen, auf eine andere Zahlungsmethode (PayPal oder Lastschrift) zu wechseln oder die Authentifizierung gar nicht durchführen, was nach mehreren Erinnerungsmails durch Steady zu einer Kündigung der Mitgliedschaft führt. |
Wie sieht dieses zusätzliche Authentifizierungsverfahren aus?
Die kartenausgebende Bank oder der Kreditkartenanbieter entscheidet, welche Angaben bei der Authentifizierung verlangt werden. Möglich sind unter anderem:
Erneute Eingabe der Kreditkartendaten
Eingabe einer PIN, die an eine App oder per SMS versandt wird
Reservierung von einem Euro (oder einem vergleichbaren Betrag in der jeweiligen Landeswährung), der aber sofort wieder freigegeben wird
Hintergrund
Die zweite Zahlungsdiensterichtlinie der EU wird unter anderem das Bezahlen im Netz neu regeln und betrifft vor allem Kreditkartenzahlungen. Aber kein Grund zur Panik: Mitglieder können ihre Lieblingsprojekte immer noch problemlos unterstützen.
Damit die Transaktionen aber weiterhin reibungslos ablaufen und die Mitgliedsbeiträge bei den Publishern ankommen, müssen sich insbesondere die Mitglieder, die mit Kreditkarte zahlen, auf die neue Richtlinie einstellen. Am besten ist es, sich rechtzeitig bei der eigenen Bank oder Sparkasse zu informieren und das neue Verfahren zum sicheren Bezahlen im Netz so früh wie möglich für die eigene Kreditkarte einzurichten.
Was regelt die EU-Richtlinie?
Die neue Zahlungsdiensterichtlinie (englisch Payment Services Directive oder PSD 2) sieht erhöhte Sicherheitsvorkehrungen für Zahlungen im Internet vor. Künftig muss bei Transaktionen eine starke Kundenauthentifizierung (englisch Strong Customer Authentication oder SCA) erfolgen.
Wer mit einer Kreditkarte im Netz bezahlen möchte, muss die eigene Identität künftig mit zwei Sicherheitsfaktoren nachweisen. Bisher reichte ein Faktor wie zum Beispiel ein Passwort aus.
Es gibt drei Kategorien von Sicherheitsfaktoren: Wissen, Besitz und Inhärenz (persönliche oder körperliche Eigenschaften). Die Identität muss beim Bezahlen mit jeweils einem Faktor aus zwei der drei verschiedenen Kategorien nachgewiesen werden.
Wissen | Besitz | Inhärenz |
Passwort | Smartphone | Fingerabdruck |
PIN | Kreditkarte | Gesichtserkennung |
Eine starke Kundenauthentifizierung könnte also so aussehen: Beim Bezahlen gibt man ein Passwort ein und bestätigt die Transaktion zusätzlich mit einer TAN, die per App oder SMS an das Smartphone gesendet wird.
Das Verfahren zur starken Kundenauthentifizierung heißt 3DS 2.0. Wie es aber genau umgesetzt wird, hängt von der jeweiligen Bank oder dem Kreditkartenanbieter ab.