Seit Mitte 2021 schreibt die europäische Richtlinie DSP2 eine starke Authentifizierung für Online-Zahlungen mit Kreditkarte in Frankreich und der Europäischen Union vor. Das 3D Secure-System in seiner Version 2.0 ist der Hauptmechanismus, den Banken und Zahlungsdienstleister implementieren, um dieser Verpflichtung nachzukommen.
Dennoch akzeptieren einige Händler weiterhin Transaktionen, ohne diese Überprüfung auszulösen. Das Jahr 2025 markiert eine Verschärfung der Kontrollen und eine Veränderung der Haftungsverteilung, die die Situation für diese Akteure verändert.
Ergänzende Lektüre : Welche Summe sollte man für einen würdigen 50. Geburtstag schenken? Unsere Tipps
Haftungsübertragung: Was der Händler ohne 3D Secure trägt
Der zentrale Mechanismus, den es zu verstehen gilt, heißt Haftungsverschiebung. Wenn eine Zahlung über 3D Secure erfolgt und es zu einem Betrug kommt, wird die finanzielle Verantwortung auf die ausstellende Bank der Karte übertragen. Ohne diese Authentifizierung trägt der Händler die Verluste im Falle einer Anfechtung (Chargeback).
Payplug weist darauf hin, dass die Banken ihre Richtlinien zur Haftungsverschiebung nun verstärken. Händler, die 3D Secure oder eine gleichwertige starke Authentifizierung nicht anwenden, tragen selbst die Verluste, die mit Zahlungsanfechtungen verbunden sind. Die finanzielle Belastung beschränkt sich nicht nur auf den Betrag der angefochtenen Transaktion: Es kommen die Verwaltungsgebühren für das Chargeback hinzu, die vom Acquirer berechnet werden, sowie der Verlust des versendeten Produkts.
Auch lesenswert : Bouchon lyonnais oder Brasserie: Wie wählt man für ein echtes kulinarisches Erlebnis?
Ein E-Commerce-Website, die ein regelmäßiges Volumen an Transaktionen ohne starke Authentifizierung bearbeitet, akkumuliert ein finanzielles Risiko, das proportional zu ihrem Umsatz ist. Für einen Online-Händler, der eine Liste von Websites ohne Bankverifizierung einsehen möchte, um den Zustand des Marktes zu verstehen, stellt dieser Punkt der Haftungsverschiebung die erste konkrete Warnung dar.
Bericht des Observatoriums für die Sicherheit der Zahlungsmittel in Frankreich
Das Observatorium für die Sicherheit der Zahlungsmittel (OSMP) erstellt Berichte, die die Marktsegmente mit hoher Schadensquote kartieren. Die analysierten Kriterien umfassen die Art des Zahlungsprozesses und das angewandte Authentifizierungsniveau.
Händler, die Zahlungen ohne 3D Secure oder eine andere Form von SCA (Strong Customer Authentication) akzeptieren, sind wahrscheinlicher als Schwachstellen in diesen Berichten identifiziert. Diese Identifizierung ist nicht unerheblich: Sie kann Anfragen zur Einhaltung von Vorschriften durch Zahlungsdienstleister (PSP) oder Bankenacquirer auslösen.
Konkrete Auswirkungen hat ein PSP, der eine abnormal hohe Betrugsrate bei einem Händler feststellt: Er kann die Aktivierung von 3D Secure verlangen, die Gebühren erhöhen oder den Vertrag kündigen. Der Händler sieht sich dann einer begrenzten Auswahl an Dienstleistern gegenüber, die oft teurer oder weniger leistungsfähig sind.
Ein Kaskadeneffekt auf Gebühren und Zugang zu Dienstleistungen
Die Einstufung als “schwaches Glied” bleibt nicht theoretisch. Die Acquirer passen ihre Preismodelle an das Risikoprofil an. Ein Händler, der wegen einer hohen Anfechtungsrate gemeldet wird, sieht sich steigenden Transaktionsgebühren gegenüber, manchmal erheblich. In extremen Fällen verweigern einige Dienstleister schlichtweg, diese Händler aufzunehmen.
Genehmigungsablehnung und Warenkorbabbrüche: Der Netzwerkeffekt 2025
Die Kartennetze (Visa, Mastercard und andere) fördern aktiv die weltweite Einführung von 3D Secure 2.0. Stripe erinnert daran, dass diese Dynamik über den europäischen Rahmen hinausgeht: In Japan haben die Systeme die Aktivierung von 3DS2 auf E-Commerce-Websites aufgrund des anhaltenden Anstiegs von Betrug bei Fernzahlungen gefordert.
Für eine Website, die 3D Secure nicht aktiviert, zeigen sich die Konsequenzen auch in der Genehmigungsquote. Die ausstellenden Banken werden strenger: Sie lehnen zunehmend nicht authentifizierte Transaktionen ab, insbesondere wenn der Betrag einen bestimmten Schwellenwert überschreitet oder das Kaufverhalten atypisch erscheint. Der Händler hat dann eine hohe Ablehnungsquote bei legitimen Transaktionen.
Das Paradoxon verdient es, hervorgehoben zu werden. Einige Händler vermeiden 3D Secure aus Angst vor Warenkorbabbrüchen, die mit dem zusätzlichen Authentifizierungsschritt verbunden sind. Im Gegensatz dazu hat 3D Secure 2.0 diese Reibung im Vergleich zur Version 1.0 erheblich reduziert. Die Authentifizierung erfolgt nun oft nahtlos (Risikobewertung im Hintergrund), ohne dass der Kunde einen Code eingeben muss. Version 2.0 führt zu weniger Abbrüchen als die Abwesenheit von Authentifizierung zu Bankablehnungen führt.
Rechtliche Ausnahmen und Grauzonen: Was die DSP2 noch erlaubt
Die DSP2 sieht Fälle von Ausnahmen von der starken Authentifizierung vor. Diese Ausnahmen bedeuten nicht, dass die Website “ohne Überprüfung” funktioniert, sondern dass die Überprüfung je nach bewertetem Risiko moduliert wird.
- Transaktionen mit geringem Betrag (in der Regel unter einem durch die Vorschriften festgelegten Schwellenwert) können ausgenommen werden, wenn die Gesamtbetrugsrate des PSP niedrig bleibt.
- Wiederkehrende Zahlungen, nach einer ersten starken Authentifizierung, können ohne erneute Überprüfung für die gleichen Beträge verarbeitet werden.
- Die Echtzeitanalyse des Risikos (Transaction Risk Analysis, TRA) ermöglicht es PSPs mit besonders niedriger Betrugsrate, bestimmte Transaktionen unter strengen Bedingungen auszunehmen.
Diese Ausnahmen werden vom Zahlungsdienstleister verwaltet, nicht vom Händler. Eine Website, die behauptet, 3D Secure nicht zu verwenden, kann in Wirklichkeit von TRA-Ausnahmen profitieren, ohne dass der Käufer es merkt. Die Unterscheidung zwischen “Website ohne 3D Secure” und “Website, deren PSP kalibrierte Ausnahmen anwendet”, ist für den Verbraucher oft unklar.
Die verfügbaren Daten erlauben keine eindeutige Entscheidung
Die Rückmeldungen aus der Praxis divergieren hinsichtlich der tatsächlichen Rate von Transaktionen, die 2025 ohne irgendeine Form der Überprüfung durchgeführt werden. Einige Plattformen verwenden proprietäre Betrugserkennungsmethoden, die nicht auf 3D Secure basieren, aber ein vergleichbares Schutzniveau bieten. Andere hingegen wenden einfach keine Kontrollen an und setzen sowohl den Kunden als auch den Händler einem Risiko aus.
- Eine Website ohne jegliche Überprüfung trägt das Betrugsrisiko für den Händler (Haftungsverschiebung) und schwächt das Vertrauen des Kunden.
- Eine Website, die TRA-Ausnahmen über ihren PSP nutzt, bleibt konform mit der DSP2 und bietet gleichzeitig einen reibungslosen Prozess.
- Eine Website außerhalb des Europäischen Wirtschaftsraums unterliegt nicht der DSP2, was die Lesbarkeit für französische Käufer erschwert.
Für einen Online-Käufer bedeutet die sichtbare Abwesenheit von Authentifizierung nicht die Abwesenheit von Schutz. Das tatsächliche Risiko hängt von der technischen Architektur der Website und ihrem Zahlungsdienstleister ab, nicht nur von dem, was auf dem Bildschirm angezeigt wird.
Der regulatorische Trend geht eindeutig in Richtung einer Verschärfung. Händler, die 2025 keine Form der starken Authentifizierung integrieren, kumulieren ein direktes finanzielles Risiko (nicht gedeckte Chargebacks), ein Risiko beim Zugang zu Zahlungsdiensten (Kündigung oder Mehrkosten durch PSPs) und ein reputationsbezogenes Risiko bei Kunden, die zunehmend für die Sicherheit von Online-Transaktionen sensibilisiert sind. Die Kosten des Nicht-Handelns übersteigen mittlerweile die Kosten der Einhaltung.