Die DSP2-Richtlinie verlangt eine starke Authentifizierung für Online-Zahlungen im Europäischen Wirtschaftsraum. Dennoch wird im Jahr 2025 ein nicht unerheblicher Anteil der Kreditkartentransaktionen weiterhin ohne sichtbare 3D Secure-Herausforderung für den Karteninhaber durchgeführt. Um zu verstehen, warum und unter welchen Bedingungen, ist es notwendig, legitime Ausnahmen von echten Compliance-Verstößen zu unterscheiden.
DSP2-Ausnahmen und Transaktionsrisikoanalyse: der technische Mechanismus hinter Zahlungen ohne 3D Secure
Eine Website, die eine Zahlung per Karte akzeptiert, ohne eine Authentifizierungsseite anzuzeigen, ist nicht unbedingt rechtswidrig. Die PSPs (Zahlungsdienstleister) verfügen über regulatorische Hebel, die von der DSP2 selbst vorgesehen sind, um die Herausforderung zu umgehen.
Weiterlesen : Der abnehmbare Schultergurt: Definition, Vorteile und Tipps zur täglichen Nutzung
Am häufigsten wird die Transaktionsrisikoanalyse (TRA) verwendet, eine Echtzeitanalyse des Risikos, die vom Acquirer oder Emittenten durchgeführt wird. Wenn die Betrugsrate des PSP unter den von den RTS (Regulatory Technical Standards) festgelegten Schwellenwerten bleibt, kann er eine Ausnahme für begrenzte Beträge beantragen. Das Ergebnis: Der Karteninhaber sieht keinen 3D Secure-Bildschirm, aber die Transaktion bleibt durch einen rechtlichen Rahmen abgedeckt.
Weitere häufige Ausnahmen:
Ebenfalls empfehlenswert : Ideen und Tipps zur Unterstützung der frühen Entwicklung von Kleinkindern
- Kleinbetragszahlungen, in der Regel unter einem kumulierten Schwellenwert, solange die Anzahl der aufeinanderfolgenden Transaktionen ohne Authentifizierung die von der ausstellenden Bank festgelegte Grenze nicht überschreitet.
- Wiederkehrende Zahlungen (Abonnements): Nur die erste Transaktion erfordert eine starke Authentifizierung, die folgenden sind davon befreit.
- Vertrauenswürdige Begünstigte (trusted beneficiaries): Der Karteninhaber kann einen Händler bei seiner Bank auf eine Whitelist setzen, wodurch die Herausforderung für zukünftige Einkäufe entfällt.
- Vom Händler initiierte Transaktionen (MIT), typischerweise Abbuchungen von registrierten Karten, die außerhalb des SCA-Rahmens liegen.
Wir beobachten, dass die Mehrheit der als “ohne 3D Secure” dargestellten Websites tatsächlich eine dieser Ausnahmen nutzt. Die Konsultation einer Liste von Websites ohne 3D Secure im Jahr 2025 ermöglicht es, das Ausmaß des Phänomens zu messen, aber die Unterscheidung zwischen legitimer Ausnahme und echtem Verstoß gegen die Vorschriften erfordert eine technische Analyse.
Verantwortung im Falle von Betrug bei einer Zahlung ohne starke Authentifizierung
Ohne starke Authentifizierung und ohne gültige Ausnahme liegt die Verantwortung für Betrug beim PSP, nicht beim Karteninhaber. Die Banque de France erinnert im Rahmen des Observatoriums für die Sicherheit von Zahlungsmethoden (Bericht 2024) an diese Verteilung.
Konkret, wenn ein Händler eine Zahlung ohne SCA abwickelt, während keine Ausnahme gilt, trägt die Bank des Zahlers (oder der Acquirer, je nach Vereinbarung) das Risiko der Rückbuchung. Der betrogene Karteninhaber hat ein nahezu automatisches Recht auf Rückerstattung.
Für den Händler ist die Auswirkung indirekt, aber real. Die Netzwerke Visa und Mastercard wenden Überwachungsprogramme auf Händler an, deren Rückbuchungsquote bestimmte Schwellenwerte überschreitet. Ein abnormal hohes Volumen an Anfechtungen bei nicht authentifizierten Transaktionen kann zu folgendem führen:
- Erhöhung der von der Acquirer erhobenen Interchange-Gebühren.
- Eintritt in ein Monitoring-Programm mit der Verpflichtung zu einem Korrekturplan.
- Im Extremfall eine Kündigung des Kartenakquisitionsvertrags.
Der Verantwortungsübergang (liability shift) bleibt der strukturierende Punkt. Mit aktiviertem 3D Secure und einer erfolgreich bestandenen Herausforderung wechselt die Verantwortung zum Emittenten. Ohne 3D Secure bleibt sie beim Acquirer oder Händler, es sei denn, es liegt eine dokumentierte Ausnahme vor.
Regulatorische Kontrollen und bevorstehende Verschärfungen mit der DSP3
Die Europäische Bankenaufsichtsbehörde (EBA) hat ihre Kontrollen gegenüber PSPs, die die TRA-Ausnahmen missbrauchen, verstärkt. Wir empfehlen Händlern, sicherzustellen, dass ihr Zahlungsdienstleister jede genutzte Ausnahme dokumentiert, da europäische Regulierungsbehörden nun Akteure mit reduzierter Reibung ins Visier nehmen, deren Ausnahmeraten unverhältnismäßig erscheinen.
Plattformen außerhalb des EWR stellen ein separates Problem dar. Eine Website, die außerhalb der Union ansässig ist, unterliegt nicht direkt der DSP2, aber der europäische Emittent der Karte des Karteninhabers ist weiterhin verpflichtet, die SCA anzuwenden. In der Praxis lösen einige außereuropäische Acquirer das Protokoll nicht aus, was erklärt, warum internationale Websites weiterhin Zahlungen ohne jegliche Überprüfung akzeptieren.
Die zukünftige DSP3, deren gesetzgeberische Arbeiten im Gange sind, sieht vor, den Rahmen zu verschärfen. Zu den diskutierten Richtungen gehören: eine strengere Harmonisierung der Anwendung von Ausnahmen, eine verstärkte Regulierung grenzüberschreitender Transaktionen außerhalb des EWR und eine Erweiterung des Rahmens auf neue Zahlungsmethoden (Wallets, Zahlungen per Link).
Wichtige Punkte für Karteninhaber auf Websites ohne 3D Secure
Das Fehlen von 3D Secure auf einer Händlerwebsite ist an sich kein Betrugszeichen. Es verändert jedoch das Risikoprofil der Transaktion. Ein Kauf, der ohne starke Authentifizierung auf einer unbekannten Website getätigt wird, vereint zwei Faktoren der Verwundbarkeit: keine Identitätsüberprüfung auf der Zahlungsseite und keine Garantie für die Zuverlässigkeit des Händlers.
Die virtuelle Einmal-Karte bleibt die effektivste Lösung für Einkäufe auf Plattformen ohne Authentifizierung. Die meisten französischen Banken bieten diesen Service an, der die Exposition im Falle einer Kompromittierung der Kartendaten begrenzt.
Ein weiterer Reflex: Überprüfen Sie, ob der Händler auf der Liste der vertrauenswürdigen Begünstigten Ihres Bankbereichs erscheint. Wenn dies nicht der Fall ist und die Zahlung ohne Herausforderung erfolgt, handelt es sich wahrscheinlich um eine vom PSP angewandte TRA-Ausnahme. Der Karteninhaber behält sein Recht auf Rückerstattung im Falle einer nicht autorisierten Transaktion, unabhängig davon, ob 3D Secure ausgelöst wurde oder nicht.
Der schrittweise Rückgang der tatsächlich nicht konformen Websites ist ein grundlegender Trend. Händler, die die SCA absichtlich ohne rechtliche Grundlage umgehen, setzen sich zunehmenden Sanktionen aus, und die Emittenten verschärfen ihre Filterregeln. Bis zum Inkrafttreten der DSP3 sollte die Anzahl der Transaktionen ohne jegliche Form der Authentifizierung weiterhin signifikant sinken.