Ob Pullover, Flugticket oder Druckerpatrone: Vieles kann man bequem online einkaufen und mit Kredit- oder Debitkarte bezahlen. Oft muss man eine solche Transaktion noch einmal bestätigen, zum Beispiel mittels Fingerabdruck oder SMS-Code, den man zugeschickt bekommt.
Diese zweite Authentifizierung ist ein Sicherheitscheck und nennt sich 3-D Secure. Einige Kreditkarten sind standardmässig so eingestellt, bei anderen muss man dies selber aktivieren.
Erstaunlich: Selbst wenn man 3-D Secure aktiviert hat, muss man nicht jede Zahlung ein zweites Mal bestätigen. Weshalb?
Onlineshops und Kartenherausgeber entscheiden über 3-D Secure
Ein Onlineshop entscheidet bei jeder einzelnen Transaktion, ob er dafür 3-D Secure anbietet oder nicht. Wenn nicht, erfolgt keine zweite Authentifizierung. Dies gilt für alle Webshops, in denen man mit einer Schweizer Karte zahlt. Als Nächstes liegt der Ball bei der Bank und/oder der Kartenherausgeberin.
«Starke Authentifizierung» versus «Frictionless Flow»
Entscheidet sich der Shop für 3-D Secure, liegt es an der Bank oder der Kartenherausgeberin, wie sie 3-D Secure umsetzt. Sie hat grundsätzlich zwei Möglichkeiten:
Bei der «starken Authentifizierung» muss man eine Zahlung noch einmal bestätigen.
Beim «Frictionless Flow» geht die Zahlung ohne zweite Authentifizierung durch den Kunden oder die Kundin durch. Die Zahlung wird aber dennoch geprüft.
Eigene Sicherheitssysteme
Visa, Mastercard und American Express setzen die Rahmenbedingungen für 3-D Secure. Innerhalb dieses Rahmens haben Banken und Kartenherausgeber ihr eigenes Sicherheitssystem, das für jede Zahlung das Risiko eines möglichen Betrugs einstuft. Je nachdem erfolgt eine Zahlung mit «Frictionless Flow» oder es wird eine «starke Authentifizierung» verlangt.
Unter welchen Bedingungen eine Zahlung «frictionless» durchgewinkt wird, wollen die Banken aus Sicherheitsgründen nicht genau sagen, aber so viel ist klar: Dies passiert nur im Falle eines tiefen Betrags, oder wenn man häufig bei einem bekannten Shop etwas bestellt hat und schon einmal eine Zahlung bestätigen musste. Im Zweifelsfall kommt die «starke Authentifizierung» zur Anwendung.
Bei Kreditkarten von Viseca erfolgt bei jeder Transaktion die «starke Authentifizierung». Karten von Viseca haben die Migros Bank, die Kantonalbanken und die Raiffeisenbanken.
Wer wann haftet
Für den Kunden oder die Kundin bestehe auch bei «Frictionless Flow» kein höheres Risiko, sagen Banken und Kartenherausgeber. Deshalb sei es als Kundin auch nicht möglich, auf der «starken Authentifizierung» zu bestehen. Beim «Frictionless Flow» haftet die Bank, sofern die Kundin die Sorgfaltspflicht nicht verletzt hat.
Bei der «starken Authentifizierung» haftet der Kunde selber, wenn er aus Versehen eine Zahlung bestätigt, die er nicht getätigt hat.
Und wenn ein Onlineshop 3-D Secure nicht anbietet, haftet der Shop bei einem Kartenmissbrauch.
Bankenombudsmann: Mehr Fälle wegen «starker Authentifizierung»
Der Bankenombudsmann hatte bisher nur einen Missbrauchsfall mit «Frictionless Flow», das Problem liege eher bei der «starken Authentifizierung», weil viele Kundinnen und Kunden zu schnell eine Zahlung bestätigen, die sie gar nicht getätigt haben.