Secure Remote Commerce (SRC) alias ”Click to pay”
INNOVATIVER KATALYSATOR FÜR KARTENZAHLUNGEN ODER VERZWEIFELTER ZWEITER VERSUCH?
Key facts
- eCommere mit weiter zunehmender Bedeutung; Wettbewerb um die Dominanz der Bezahlverfahren weiter offen
- Hinsichtlich der Usability haben Kartenzahlungen einige Schwächen im eCommerce, sodass bspw. bei erstmaligen Zahlungen beim jeweiligen Händler eine aufwändige manuelle Eingabe der Kartendaten erforderlich ist
- Mit dem SRC Protokoll wurde ein Scheme-übergreifender Checkout-Layer geschaffen, welcher die Kundenfreundlichkeit für Kartenzahlungen steigert, indem nur ein zentraler Login mittels Email Adresse zur Zahlungsinitiierung ausreicht
- Gleichzeitig führt die Teilnahme an SRC zu Vereinfachungen auf Seiten des Händlers – und dies unter Wiederverwendung bestehender Akzeptanzverträge und Prozesse
- SRC wurde bereits Ende 2019 in den USA erfolgreich lanciert und hat den Marktstart in Europa für 2021 angekündigt
- Da für Issuer durch frühzeitige Teilnahme Differenzierungspotenziale mit verhältnismäßig geringem Integrationsaufwand realisierbar sind, sollten diese proaktiv und frühzeitig eine Adaption prüfen
Wachstumsmarkt eCommerce – Karten als Gewinner?
Das globale eCommere Handelsvolumen ist in den letzten Jahren stetig gewachsen und hat sich seit 2016 von etwa 1 Billion auf rund zwei Billionen Euro in 2020 fast verdoppelt. In die nahe Zukunft blickend, lassen aktuelle Prognosen eine Fortsetzung dieses Trends erwarten, sodass bis 2024 ein weiteres Wachstum zwischen 30 und 40 % angenommen wird, wobei die langfristigen Effekte der Corona Krise diese Entwicklung noch verstärken könnten.
In Anbetracht dieser Summen stellt sich die Frage: Wie werden diese Umsätze im Distanzgeschäft beglichen? Denn selbst bei geringen Margen lassen sich bei entsprechender Skalierung eines Bezahlverfahrens nicht nur attraktive Erlöse generieren, sondern die Kundenschnittstelle und die damit einhergehende Datenhoheit kann zudem als Grundlage für weiterführende Geschäftsmodelle fungieren.
Neben dem Rechnungskauf und Lastschriften, welche nicht zwingend einen separaten Zahlungsdienstleister brauchen, waren bisher Kartenzahlungen das dominierende Zahlungsmittel im Distanzgeschäft und das aus nachvollziehbaren Gründen: Die Durchdringung von Karten ist auf der Endkundenseite vergleichsweise hoch, sodass auch Händler einen Anreiz haben, Kartenzahlungen zu akzeptieren, da sie mit dieser Bezahlmethode einen Großteil ihrer Kunden abdecken können. Zudem erhält der Händler sofort eine Zahlungsgarantie und hat im Gegensatz zu Lastschrift, Vorkasse oder Rechnugnskauf daher eine geringere Risikodisposition. Zudem bieten weiterführende Use Cases, wie etwa die Hinterlegung der Kartendaten beim Händler für Stammkunden, oder Abozahlungen (z.B. Netflix) eine flexible Anwendbarkeit für den Händler bei gleichzeitig hoher Kundenfreundlichkeit. Auch das Thema „Omnichannel-Fähigkeit“ ist zu erwähnen, denn Karten funktioniern als eines von nur wenigen Zahlungsmitteln sowohl am Point auf Sale, als auch im Distanzgeschäft gleichermaßen gut. Aufgrund dieser Vorteile akzeptieren Händler auch vergleichsweise hohe direkte Kosten. Gleichwohl ist zu bemerken, dass etwa PayPal noch deutlich teurer für Händler ist und gem. einer Analyse von IBI Research bei einer Vollkostenbetrachtung – d.h. unter Berücksichtigung von Zahlungsausfällen, etc. - Kartenzahlungen im eCommerce hinsichtlich der Kosten im Mittelfeld liegen.
Auch für die Kartenausgebenden Banken (Issuer) ist es wünschenswert, wenn Kunden mit ihrer Karte zahlen: Zum einen generieren die Banken die s.g. Interchange Erträge, d.h. einen vom Scheme festgelegten (und oft vom Regulator gedeckelten) Umsatzanteil, der indirekt vom Händler an den Issuer gezahlt wird. Hinzu kommen ggf. weitere Erlöse vom Kunden selbst, bspw. durch Kreditzinsen oder Kartengebühren. Zum anderen ist die Karte als Objekt des täglichen Bedarfs jedoch auch eine wichtige Kundenschnittstelle, welche als Ankerpunkt für Cross- und Up-Selling genutzt werden kann. Dabei sind die durch die Kartenumsätze generierten und aufgrund der weiten Einsetzbarkeit vglw. umfassenden Transaktionsdaten ebenfalls indirekt monetarisierbar (z.B. in Form von Loyalty Programmen) oder können die Grundlage für gänzlich neue Geschäftsmodelle sein (z.B. „buy now, pay later“).
Diesen Ausführungen folgend, könnte man annehmen, dass Kartenzahlungen äquivalent vom stetigen eCommerce Wachstum profitieren. Dies stimmt jedoch nur bedingt, denn die Konkurrenz im Markt für Bezahlverfahren schläft nicht.
Die Qual der Wahl des passenden Bezahlverfahrens
Der erstmalige Einsatz einer Karte im eCommerce muss der Kunde neben dem Karteninhabernamen auch die i.d.R. 16-stellige Kartennummer (PAN), das Ablaufdatum und eine dreistellige Prüfziffer (CVV2/CVC2) eingeben – i.d.R. manuell. Dies ist vergleichsweise aufwändig und aufgrund des Umfangs der anzugebenden Informationen, sind nur die wenigsten Kunden in der Lage, diese aus dem Gedächtnis heraus griffbereit zu haben. In Hinblick auf die Convenience sind Kartenzahlungen daher Wettbewerbern wie PayPal, bei denen die Kombination aus Nutzername und Passwort meist genügt, unterlegen.
Der Händler kann die vom Karteninhaber eingegebenen Daten (ausgenommen CVV2/CVC2) zwar für zukünftige Transaktionen bei sich speichern, dazu müssen er oder sein Acquirer/PSP jedoch PCI DSS compliant sein, d.h. strengen Sicherheitsanforderungen genügen und dies durch regelmäßige Zertifizierungen nachweisen, was einen Aufwands- und Kostentreiber für den Händler darstellt. Zwar gibt es mittlweile die Möglichkeit durch s.g. Tokenisierung ein nicht-sensitives Abbild der Kartendaten lokal zu speichern und damit die PCI DSS Anforderungen zu vermeiden, jedoch ist dies noch längst nicht flächendeckend im Markt umgesetzt. Ferner macht das Abspeichern der Kartendaten für Folgetransaktionen nur Sinn, sofern es sich um einen „Stammhändler“ des Kunden handelt, sodass der Kunde auch gewillt ist, einen Nutzeraccount beim Händler anzulegen. Dies ist jedoch in der Realität meist nur bei einigen wenigen Händlern gegeben und viele Kunden bevorzugen es, bei nur gelegentlich genutzten Händlern „als Gast“ einzukaufen, womit beim nächsten Einkauf wieder die volle Eingabe der Kartendaten notwendig wird.
Die beschriebenen Convenience Einschränkungen von Kartenzahlungen im eCommerce werden zusätzlich verstärkt, da durch die PSD2 Anforderungen an die Starke Kundenauthentifizierung (SCA – Strong Customer Authentication) seit Beginn 2021 deutlich häufiger das s.g. 3-D Secure Verfahren zum Einsatz kommen muss. Dies bedingt einen zusätzlichen Interaktionsschritt durch den Kunden, bspw. durch Eingabe eines SMS Einmalpasswort sowie einer Sicherheitsfrage, oder der Autorisierung in einer vom Issuer dafür bereitgestellten App.
Auch hier können die Wettbewerber gegenüber den Kartenzahlungen punkten: Bei Zahlungen mit Apple oder Google Pay im eCommerce ist die SCA bereits in der Zahlungsbestätigung mit dem Smartphone durch Einsatz eines biometrischen Faktors (z.B. Touch ID) enthalten. PayPal ist zwar auch von den PSD2 Anforderungen betroffen, hat jedoch mehrere Jahre Vorsprung in Bezug auf transaktionsbasiertes Echtzeit-Risikoscoring und kann daher deutlich häufiger von den in der PSD2 gewährten SCA-Ausnahmen Gebrauch machen. Anbieter wie Klarna umgehen zudem – je nach Zahlungsart – teilweise die SCA Anforderung, indem sie selbst die Zahlung Richtung Händler tätigen und später das Geld vom Kunden via Lastschrift oder Rechnung „zurückholen“ .
SRC alias „click to pay” als möglicher Katalysator für Kartenzahlungen
Die übergreifenden Vorteile von Kartenzahlungen im eCommerce aus einer Ökosystem-Sicht – hohe Händlerakzeptanz, hohe Kundendurchdringung und Attraktivität für Banken – sind weiterhin gültig, doch in Hinblick auf Convenience sind Karten stellenweise den im Wettbewerb stehenden Bezahlverfahren unterlegen. Dieser Herausforderung haben sich die großen Card Schemes angenommen und im Rahmen ihres globalen Verbands EMVCo eine Initiative mit dem Titel „Secure Remote Commerce“ (SRC) entwickelt, welche tlw. auch unter dem Namen „click to pay“ vermarktet wird. Ziel ist es, Kartenzahlungen unter Beibehaltung des Sicherheitsniveaus einfacher zu machen und dabei das bestehende Akzeptanznetzwerk zu hebeln. Konkret bedeutet dies: SRC Zahlungen bleiben Kartenzahlungen und sind somit für Issuer und Händler – Infrastrukturkosten ausgeblendet – kommerziell neutral, was sie auch von Lösungen wie bspw. Apple Pay unterscheidet, wenngleich der Gedanke einer digitalen Geldbörse der gleiche ist: Das SRC Protokoll sieht vor, dass ein Kunde einen zentralen und Card Scheme übergreifenden Wallet Account hat, hinter welchem er alle seine Karten und ggf. weitere Zusatzinformationen (z.B. Lieferadresse) speichern kann. Somit muss ein Kunde, welcher mehrere Karten und ggf. sogar unterschiedliche Schemes (bspw. Visa und Mastercard) verwendet, nicht mehrfach und komplex die Kartendaten eingeben, sondern kann alle Zahlungen aus einem zentralen und durch die Email Adresse repräsentierten Account ansteuern. Der Clou dabei ist, dass aufgrund des Prozessdesigns kein Passwort benötigt wird. Hinzu kommt, dass nicht mehr der Händler in der Verantwortung ist die Kartendaten zu speichern, was eine zusätzliche Entlastung bedeutet. Aus Sicht des Händlers bleibt eine SRC Zahlung jedoch eine „normale“ Kartenzahlung, es werden also keine neuen Akzeptanzverträge oder ähnliches notwendig und auch preislich ist eine über SRC abgewickelte Transaktion gleichwertig, womit das Skalierungspotenzial auf der Händlerseite entsprechend hoch ist. Die möglichen Checkout-Szenarien finden sich in der nachstehenden Abbildung 1.
Entscheidet sich der Kunde für einen Checkout mittels „Click-to-pay“, besteht zum einen die Möglichkeit, zunächst eine Karte zu enrollen. Handelt es sich jedoch um einen wiederkehrenden Nutzer, ist höchstens noch eine Verifikation mittels Email Einmalpasswort nötig, um den Checkout abschließen zu können. Der genaue Ablauf des Prozesses findet sich in Abbildung 2.
Nach Auswahl von „Click-to-pay“ als Checkout-Variante (Betätigung des „SRC-Triggers“) wird zunächst im Hintergrund geprüft, ob das verwendete Gerät bekannt ist und ob diesem vertraut wird. Ist dies der Fall, wird dem Kunden eine Liste der enrollten Karten präsentiert, welche für den Checkout zur Verfügung stehen. Sofern das Gerät jedoch nicht erkannt wurde, hat der Kunde die Möglichkeit, eine neue Karte zu enrollen oder, wie in Abbildung 1, mittels Eingabe der Email-Adresse sowie der Eingabe eines Email-OTPs Zugang zur Auswahl der bestehenden Karten zu erhalten. Hat der Kunde sich für eine zu verwendende Karte entschieden, wird der Kunde im Hintergrund in die Sphäre seines Issuers übertragen, bei welchem die mit der Karte verknüpften Adressdaten angezeigt und auf Wunsch des Kunden im laufenden Checkout Prozess angepasst werden können. Nach Bestätigung durch den Kunden wird die Prozesshoheit wieder an die Händlerseite übergeben und eine Autorisierung (ggf. mit vorgängiger Authentifizierung mittels 3D-Secure) initiiert.
Das beschriebene SRC Protokoll wurde Ende 2019 lanciert und bereits ein halbes Jahr später von mehr als 10.000 Händlern in den USA unterstützt – mit stark steigender Tendenz. Die Einführung in Europa wird seitens der Card Schemes für 2021 kommuniziert und es sind bereits deutliche Vermarktungsinitiativen in Form von Webinaren und Marketing Kampagnen wahrzunehmen. SRC ist dabei nicht als Alternative zu Kartenzahlungen zu verstehen, sondern vielmehr als vorgeschalteter Layer, der Kartenzahlungen im Sinne aller involvierten Parteien für den Kunden einfacher macht.
Evaluation
Die Idee einer Wallet für Kartenzahlungen im E-Commerce ist keineswegs neu: So hatte bspw. Mastercard mit Masterpass einen ähnlichen Service bereits 2015 lanciert, der jedoch mangels Nachfrage 2019 eingestellt wurde. Visa hatte mit Visa Checkout eine äquivalente und ebenso gescheiterte Lösung im Programm. Was also soll diesmal den erfolgsbringenden Unterschied ausmachen?
Zunächst ist der Scheme-übergreifende Ansatz hervorzuheben, d.h. es handelt sich um eine kollaborative Lösung auf Verbandsebene. Damit ist nicht nur die potenzielle Reichweite bedeutend höher, sondern insbesondere sind Händler, welche mehrere Card Schemes akzeptieren (was de Facto der Standardfall ist), anders als bei früheren Initiativen nicht in der Situation, je verschiedene Wallets pro Scheme anbinden zu müssen. Diese Erleichterung gepaart mit der höheren Anzahl erreichbarer Kunden, dürfte die Adaption auf Seiten der Händler deutlich verbessern.
Gleicher Vorteil kommt auch Kunden zu Gute, welche Karten verschiedener Schemes nutzen: Mit dem SRC Ansatz brauchen sie nur einen zentralen Account für alle ihre Karten, was positiv auf die Endkundenakzeptanz wirken dürfte.
Weiterhin bleibt der „USP“ einer Lösung ohne Passwort: Die Email Adresse als einziges vom Kunden zu merkendes Merkmal ist einem selbst im Regelfall sehr bekannt. Das Device Binding wiederum, welches die Sicherheit in den Prozess bringt, erfolgt vollständig im Hintergrund und wird vom Kunden nicht aktiv wahrgenommen. Grundsätzlich ist aus Kundensicht als Vorteil zu werten, dass die Interaktion mit dem Endkunden aufgrund der genutzten Cap-Screen Mechanik vollständig auf der Domain des Händlers erfolgt. Darum wirkt die Lösung für den Kunden „wie aus einem Guss“ und mehrfache Weiterleitungen werden vermieden. Auch dies ist ein wesentlicher Unterschied zu Masterpass und Visa Checkout und auch vielen aktuellen Bezahlverfahren.
Diese Cap-Screen Mechanik erlaubt es zudem auch, dass Issuer-seitig weder eine Front-End Integration, noch eine zusätzliche Anbindung an die Processing Systeme notwendig sind, was die Initialaufwände deutlich reduziert und eine Partizipation am SRC System mittels einer extern sourcebaren „Plug and Play“ Lösung ermöglicht. Gleichwohl kann aber ein Issuer ein eigenes Front End – beispielsweise im E-Banking – bereitstellen, sofern er Adminstrations Use Cases wie etwa die Änderung von Kontaktdaten in dieser Umgebung anbieten möchte.
Ein nicht unumstrittener Faktor ist hingegen die (gefühlte) Sicherheit des Verfahrens. Faktisch betrachtet, wird lediglich die manuelle Eingabe der Kartendaten durch die Email Adresse mit einem Device Binding substituiert. Zwar sind die Kartendaten als sensitv zu betrachten, jedoch sind die Kartendaten selbst auch bei einer konventionellen Kartenzahlung nicht als Authentifizierungsfaktor zulässig, da nicht vorausgesetzt werden kann, dass nur der Karteninhaber diese kennt. So gibt es auch heute eCommerce Kartenzahlungen welche ohne weitere Authentifizierung (non-secure) abgesichert sind (der Händler haftet) und über 3-D Secure abgesicherte Zahlungen (Issuer haftet). Wann 3-D Secure zur Anwedung kommt, hängt von der Anfrage des Händlers ab, wird schlussendlich jedoch vom Issuer entschieden. An dieser Mechanik ändert SRC zunächst nichts. Tatsächlich kann sogar attestiert werden, dass die Sicherheit durch SRC erhöht wird, da im Checkout Prozess die Anzeige der Kartendaten in Klartext nicht mehr erforderlich ist. Zudem reicht die reine Kenntnis einer Email Adresse nicht aus, um fraudulente Transaktionen zu initiieren. Es könnte allenfalls mit einer kompromittierten Email Adresse ein „falscher“ SRC Account angelegt werden. Diesen für betrügerische Transaktionen bei anderen Händlern zu nutzen ist aufgrund der Maskierung nicht möglich, jedoch könnte bei dem jeweiligen Händler eine betrügerische non-secure Transaktion initiiert werden. Was bedrohlich klingt, ist in Wahrheit kein prominenter Angriffsvektor, da 1. der tatsächlich realisierbare Betrugsschaden analog einer konventionellen Kartenzahlung durch 3-D Secure und die mittlerweile mandatorischen Anwendungsregeln stark limitiert ist und 2. in der Realität das direkte Abgreifen der Kartendaten deutlich einfacher und damit für Betrüger attraktiver ist, als das kompromittieren von Email Account und Device.
Faktisch ist also durch SRC kein erhöhtes Sicherheitsrisiko gegenüber einer normalen Kartenzahlung anzunehmen – alles andere wäre auch stark verwunderlich, wo das Verfahren von den großen internationalen Card Schemes und weiteren Security Experten aus dem Card Business designed wurde, welche allesamt ein Interesse daran haben, hier keine Angriffsflanken zu öffnen. Emotional jedoch dürfte die Einfachheit des Prozesses und der Verzicht auf ein Passwort bei einigen Kunden jedoch Unbehagen auslösen. Ob und in welchem Ausmaß dies die Adaption der Lösung bremst und wie weit dies durch Aufklärung und geeignete Kommunikation mitigiert werden kann, bleibt abzuwarten.
Fazit
Durch den kollaborativen, Scheme-übergreifenden Ansatz sowie die hohe Convenience bei gleichzeitig niedrigen Einstiegsbarrieren für alle Stakeholder, könnte SRC den Ablauf von Kartenzahlungen im eCommerce nachhaltig verändern. Dabei kann primär die User Experience von Kartenzahlungen selbst verbessert werden, doch auch gegenüber anderen Bezahlverfahren lassen sich wesentliche differenzierende Markmale feststellen.
Entscheidend wird, wie so oft im Zahlungsverkehr, das schnelle Erreichen einer kritischen Masse zum Durchbrechen des Henne-Ei Problems sein. In Abtracht der individuellen Motivationen und Ausgangslagen der involvierten Akteure sind die Aussichten hierbei jedoch positiv: Kunden die gerne mit Karten zahlen, profitieren von gesteigerter Convenience. Händler, welche Kartenzahlungen akzeptieren, können mit wenig Mehraufwand einen hohen Mehrwert für ihre Kunden realisieren, Kaufabschlüsse schlanker gestalten und Kaufabbrüche vermeiden. Als „Urheber“ dieses Verfahrens kann den Schemes unterstellt werden, dass sie Kartenzahlungen gegenüber den neuen Wettbewerbern a la PayPal oder Apple Pay attraktiver gestalten wollen – zwar lösen diese im Status Quo meist auch Kartenzahlungen aus, jedoch ist der weitere Player in der Wertschöpfungskette aus Sicht der Card Schemes als Risiko zu verstehen, denn perspektivisch könnten jene Zahlungen auch mit Lastschriften oder Instant Payments gefundet werden, bzw. werden es bereits. Es liegt daher nahe, dass die Card Schemes eine hohe Motivation zeigen werden, SRC im Markt zu positionieren – und in Anbetracht vergangener strategischer Initiativen und der aktuellen Finanzlage dieser Unternehmen, kann davon ausgegangen werden, dass dieses Vorhaben offensiv finanziell gefördert wird.
Dies sollte auch Issuer hellhörig machen: Issuer können durch die Adaption von SRC mit vergleichsweise kleinem Integrationsaufwand positive Effekte im Transaktionsverhalten ihrer Karteninhaber und damit Umsatzsteigerungen sowie ein erhöhtes Involvement ihrer Kunden realisieren. Noch kann die Unterstützung von SRC zudem eine positive Differenzierung im Wettbewerb ermöglichen und noch ist durchaus denkbar, dass durch strategische Kooperationen mit den Card Schemes, die entsprechenden Projektaufwände (z.B. Marketing) sozialisiert werden können. Sobald erst eine kritische Masse im Markt erreicht ist und SRC zum Hygienefaktor reift, ist diese Opportunität verstrichen. Es gilt also schnell zu agieren und das positive Momentum zu nutzen – denn Abwarten und Beobachten hatte sich zuletzt bei den Markteintritten von Apple Pay und Co als strategisch nachteilhafte Variante erwiesen.
Quellen
Abbildung 1: CORE (basierend auf Informationen aus den EMV SRC Spezifikationen)
Abbildung 2: CORE (basierend auf Informationen aus den EMV SRC Spezifikationen)
1. EMV SRC Spezifikationen:https://www.emvco.com/emv-technologies/src/
2. ibi research 2019: „Gesamtkosten von Zahlungsverfahren im deutschen E-Commerce“ https://ibi.de/veroeffentlichungen/gesamtkosten2019
Unsere Autoren
Expert - Dominik Siebert
Dominik Siebert ist Managing Partner bei CORE und blickt in der Finanzindustrie auf fundierte Erfahrungen bei komplexen Transformationsvorhaben, von der strategischen Konzeptionierung bis zur Umset...
Mehr lesenDominik Siebert ist Managing Partner bei CORE und blickt in der Finanzindustrie auf fundierte Erfahrungen bei komplexen Transformationsvorhaben, von der strategischen Konzeptionierung bis zur Umsetzungssteuerung, zurück. Bei CORE fokussiert sich Dominik auf Projekte zur Entwicklung und strategischen Positionierung digitaler Bezahllösungen.