Mit der von der EU verabschiedeten Zahlungsrichtlinie (PSD2) sollen Bezahlvorgänge im Internet sicherer und billiger werden. Für Individualreisende mag die damit verbundene „starke Kundenauthentifizierung“ funktionieren, für viele Firmenkunden ist sie in der Praxis schwer umsetzbar.
Zweifach-Identifikation für Kreditkartenzahlungen erforderlich
Um mehr Wettbewerb bei der Durchführung von Zahlungsprozessen zu fördern und den steigenden Kreditkartenbetrug im Internet zu bekämpfen, hat die EU im Oktober 2015 die neue Zahlungsrichtlinie PSD2 erlassen. Zukünftig reicht es für einen Zahlungsprozess nicht mehr aus, seine Kreditkartendaten einzugeben. Nutzer müssen sich zudem durch weitere Kriterien identifizieren. Zur Auswahl stehen die Eingabe einer PIN, die per SMS zugesendet wird und das Fingerabdruckverfahren.
Persönliche Kreditkarten nur noch für Selbstbucher
Die Umsetzung der PSD2-Richtlinie mit der starken Kundenauthentifizierung („Strong Customer Authentication“, kurz: SCA) erfolgt zum 01.01.2021. Doch was bedeutet das für Firmen und ihre Reisenden? Auf welche Änderungen müssen sie sich vorbereiten?
Für alle Kunden, die persönliche Kreditkarten für die Reisebuchung nutzen, ist die Angabe einer PIN, die z.B. per SMS an den Kreditkarteninhaber gesendet wird, im Buchungsprozess erforderlich. Je nach Bank kann die Zahlung auch per Fingerabdruck oder Face-ID über eine App freigegeben werden. Eigentlich rechtfertigt die erhöhte Sicherheit den kleinen Mehraufwand bei der Online-Buchung. Doch in der Praxis buchen Reisende nicht immer selbst; stattdessen buchen die Assistenz oder Mitarbeiter einer Reisestelle und auch ein Reisebüro für den Reisenden und müss(t)en dafür systemtechnisch Zugriff auf die verschlüsselten Kreditkarten haben. Daher muss die buchungsberechtigte Person in Zukunft auch die PIN eingeben, die per SMS an die Handynummer des Reisenden gesendet wird. In der Praxis ist das kaum umzusetzen, da der Reisende nicht immer direkt verfügbar ist, um seine PIN mitzuteilen. Gleiches gilt für den Fingerabdruck oder Face-ID am Handy in der App.
Persönliche Kreditkarte können in Zukunft in Online-Buchungssysteme daher nur von den Reisenden selbst verwendet werden. Erfolgt die Reiseorganisation über Assistenzen oder Reisestellen, können nur noch zentrale Zahlungsprozesse einen effizienten Prozess ermöglichen.
Die PSD2 ermöglicht es für Kunden, einzelne Händler auf eine „White List“ setzen zu lassen. Dies muss jedoch durch den Karteninhaber veranlasst werden. Ob und unter welchen Voraussetzungen diese Option besteht, hängt von der kreditkartenausgebenden Bank ab. Werden Buchungen bei zahlreichen Anbietern durchgeführt, kann diese Variante sehr mühsam sein.
Die Alternative: Reisestellenkarten
Vor diesem Hintergrund kann die persönliche Kreditkarte also nur noch eine Zahlungsmöglichkeit für Selbstbucher sein. Und da Reisestellenkarten wie der AirPlus Company Account von der sogenannten Strong Customer Authentification (SCA), also der starken Kundenauthentifizierung ausgenommen sind, empfiehlt Atlatos seinen Kunden die zentrale Buchung und die zentrale Zahlung über eine Reisestellenkarte. Schon jetzt nutzen mehr als 89 Prozent aller Atlatos-Kunden diese Option.
Bei Buchung durch Reisestellen oder Reiseassistenzen: Atlatos empfiehlt zentrale Reisestellenkarten und virtuelle Karten zur Reisebuchung und -bezahlung.
Reisebranche im Zeitverzug
Für den Handel und auch die Reisebranche war die von der EU eingeräumte Übergangsphase bis zum 14. September 2019 nicht ausreichend, daher hat die Finanzaufsicht einen Aufschub für die Umsetzung der sogenannten starken Kundenauthentifizierung gewährt. Einfacher Grund: Die Finanzaufsicht hatte die Komplexität der Zahlungsanwendungen und die unterschiedlichen Geschäftsmodelle unterschätzt. Am Beispiel von Online Booking Engines (OBE) ist das leicht erklärt: Atlatos beispielsweise führt Zahlungen nie selbst durch. Auf der Atlatos-Buchungsplattform muss der Firmenkunde zwar die Daten seiner Kreditkarte angegeben; die eigentliche Abrechnung/ Abbuchung erfolgt jedoch erst durch den jeweiligen Leistungsträger, wie durch die Airline oder die Deutsche Bahn etwa.
Bei Mietwagen- und Hotelbuchungen erfolgen Zahlungen vielfach erst vor Ort. Im Garantiefall können Hotels die Kreditkartendaten des derzeitigen Buchungsprozesses mit der neuen PSD2-Regelung nicht mehr belasten, weil ihnen das einmalige Kennwort nicht vorliegt. Und selbst wenn: zum Abbuchungsdatum wäre die Gültigkeit des Passworts nicht mehr gegeben. Damit Hotels im Garantiefall also nicht auf ihren Kosten sitzen bleiben, mussten Prozesse zur verzögerten Belastung von Kreditkarten entwickelt werden. Auch zu der neuen Frist haben viele Hotelprovider oder auch die Hotellerie diese Entwicklungen noch nicht abgeschlossen. Es wird daher die eine oder andere Garantieleistung per Rechnungsstellung erfolgen.
Die Herausforderung: Da verschiedene Anbieter über unterschiedliche Geschäftsmodelle verfügen, müssen Schnittstellen für jeden einzelnen Prozess angepasst werden: Die einen stellen im Buchungsprozess einen eigenen Link zur Authentifizierung zur Verfügung, andere präferieren Authentifizierungen durch einen Dritten wie Atlatos. Um eine Authentifizierung der Kreditkarte seitens Atlatos durchzuführen, müssen also alle Schnittstellen der Hotel- und Mietwagenanbieter zur Übermittlung der Authentifizierungsdaten aktualisiert werden.
Eine Übersicht der Leistungsträger und der Stand der SCA-Authentifizierung im Atlatos Profi Traveller finden Sie hier.