Seit der vollständigen Umsetzung der europäischen Richtlinie DSP2 ist die starke Authentifizierung (SCA) zur Norm für Online-Zahlungen mit Kreditkarte in Europa geworden. Die meisten Transaktionen laufen über das Protokoll 3D Secure 2.0, das die Identität des Karteninhabers überprüft, bevor der Kauf validiert wird.
Einige Websites verarbeiten weiterhin Zahlungen ohne diese Überprüfung, indem sie sich auf die in der Regulierung vorgesehenen Ausnahmeregelungen stützen. Die Frage nach der Tragfähigkeit dieses Ansatzes stellt sich besonders akut im Jahr 2025.
Ebenfalls empfehlenswert : Wie erkennt man, ob es wasserdicht ist?
DSP2-Ausnahmen und Transaktionen ohne 3D Secure: der Mechanismus hinter der Ausnahme
Die DSP2 schreibt nicht für jede Transaktion eine starke Authentifizierung vor. Die Verordnung sieht mehrere Ausnahmefälle vor, die Zahlungsdienstleister (PSP) anführen können, um eine Zahlung ohne Banküberprüfung durchzulassen.
Die am häufigsten genutzten Ausnahmen betreffen sogenannte “Low-Value”-Transaktionen (geringe Beträge, in der Regel unter einem vom PSP definierten Schwellenwert) und Transaktionen, die durch die Echtzeitanalyse des Risikos (TRA) des Anbieters als “Low-Risk” eingestuft werden. Ein PSP, dessen Betrugsrate unter bestimmten Schwellenwerten bleibt, kann beantragen, dass seine Transaktionen von der starken Authentifizierung ausgenommen werden.
Weiterlesen : Die besten Seiten zum Herunterladen von Inhalten im Jahr 2023: Wohin gehen?
- Wiederkehrende Transaktionen nach einer ersten erfolgreichen Authentifizierung können bei den folgenden Zahlungen ohne 3D Secure verarbeitet werden.
- Kleinbetragszahlungen profitieren von einer automatischen Ausnahme, jedoch löst eine Ansammlung aufeinanderfolgender Transaktionen eine neue Überprüfung aus.
- Die Echtzeitanalyse des Risikos (TRA) ermöglicht es dem PSP, jede Transaktion zu bewerten und zu entscheiden, ob die Ausnahme gilt, vorausgesetzt, seine Betrugsrate bleibt innerhalb der regulatorischen Schwellenwerte.
Für Händler, die eine Liste von Websites ohne Banküberprüfung 2025 konsultieren, erklären diese Ausnahmen, warum einige Plattformen weiterhin ohne sichtbare Authentifizierung funktionieren können. Die Zahlung wird akzeptiert, aber die Verantwortung im Falle von Betrug wechselt die Hände.
Chargebacks und finanzielle Verantwortung: was der Händler ohne starke Authentifizierung übernimmt
Der Verantwortungsübergang (liability shift) stellt das direkteste finanzielle Risiko dar. Wenn eine Zahlung über 3D Secure authentifiziert wird, übernimmt die ausstellende Bank die Verantwortung im Falle eines betrügerischen Einspruchs. Ohne diese Authentifizierung trägt der Händler allein die Kosten des Chargebacks.
Das Observatorium für die Sicherheit der Zahlungsmittel (OSMP) berichtete in seinem im März 2025 veröffentlichten Bericht von einem signifikanten Anstieg der Chargebacks auf europäischen Websites, die kein 3D Secure verwenden. Die Verbraucherstreitigkeiten nehmen zu, und der Trend beschleunigt sich.
Für eine Website mit hohem Volumen kann diese Exposition erhebliche Kosten verursachen. Jeder Einspruch führt nicht nur zur Rückerstattung des Betrags, sondern auch zu Bearbeitungsgebühren, die vom PSP erhoben werden. Über einen bestimmten Chargeback-Satz hinaus setzen die Karten-Netzwerke (Visa, Mastercard) den Händler in ein Überwachungsprogramm, das zusätzliche Strafen nach sich zieht oder sogar zur Kündigung des Akzeptanzvertrags führt.
Sektoren mit der höchsten Exposition gegenüber Bankblockaden
Französische Banken haben ihre automatischen Filter für nicht authentifizierte Transaktionen verstärkt. Laut den vor Ort gemeldeten Rückmeldungen, die von TF1 Info Ende 2025 veröffentlicht wurden, betreffen die automatischen Blockaden vorrangig Hochrisikosektoren wie das Gaming. Ein Händler in diesen Sektoren, der 3D Secure nicht auslöst, sieht einen wachsenden Anteil seiner Transaktionen, die bereits vor dem Zahlungsvorgang abgelehnt werden.
Abhängigkeit von Low-Risk-Ausnahmen: eine strukturelle Fragilität für E-Commerce-Händler
Ein Zahlungsmodell um die DSP2-Ausnahmen herum aufzubauen, bedeutet, auf die Stabilität seiner Betrugsrate zu setzen. Der Mechanismus funktioniert, solange die Indikatoren im grünen Bereich bleiben. Sobald ein Betrugspeak auftritt, verliert der PSP die Fähigkeit, die TRA-Ausnahme geltend zu machen, und alle Transaktionen des Händlers unterliegen wieder der starken Authentifizierung.
Dieser Übergang kann abrupt sein. Eine Website, die an einen reibungslosen Zahlungsprozess (ohne Authentifizierungsschritt) gewöhnt ist, sieht plötzlich ihre Abbruchrate steigen, weil ihre Kunden noch nie mit der Überprüfung konfrontiert wurden. Die Anpassung ist nicht sofort: Die Zahlungsseiten, die Conversion-Trichter und sogar die Kundenkommunikation müssen neu überdacht werden.
Japan veranschaulicht die Richtung, die die Regulierungsbehörden eingeschlagen haben. Seit April 2025 ist 3D Secure 2.0 für alle japanischen E-Commerce-Websites obligatorisch, wie Stripe in seiner aktualisierten Dokumentation detailliert. Plattformen, die das Protokoll nicht integriert hatten, sahen sich von einem Tag auf den anderen mit blockierten Kartenzahlungen konfrontiert. Die verfügbaren Daten erlauben keine Schlussfolgerung, dass Europa einen ähnlichen Zeitplan übernehmen wird, aber die regulatorische Konvergenz geht in diese Richtung.
Betrug durch soziale Ingenieurkunst und Grenzen der Filter ohne Authentifizierung
Die Betrugstechniken entwickeln sich schneller als die statistischen Filter. Die Echtzeitanalyse des Risikos basiert auf Modellen, die das Verhalten des Käufers bewerten (verwendetes Gerät, Geolokalisierung, Historie). Diese Modelle erkennen bekannte Muster gut, haben jedoch Schwierigkeiten mit Angriffen durch soziale Ingenieurkunst, bei denen der Karteninhaber manipuliert wird, um den Kauf selbst durchzuführen.
In diesem Fall erkennt die TRA-Analyse keine Anomalie, da das Verhalten das des echten Inhabers ist. Die Zahlung wird ohne Authentifizierung akzeptiert, der Betrüger erhält die Ware oder Dienstleistung, und der Verbraucher bestreitet anschließend die Transaktion bei seiner Bank. Der Händler, ohne Nachweis einer starken Authentifizierung, verliert systematisch den Streit.
Tokenisierung und Alternativen: Ergänzungen, keine Ersatzlösungen
Einige Händler kompensieren das Fehlen von 3D Secure durch zusätzliche Sicherheitsschichten: Tokenisierung der Kartendaten, verstärktes Verhaltensscoring, Adressverifizierung (AVS). Diese Werkzeuge reduzieren bestimmte Betrugsvektoren, aber keines ersetzt den Verantwortungsübergang, den die starke Authentifizierung bietet.
Die Tokenisierung schützt die gespeicherten Daten vor Leaks. Das Scoring verfeinert die Erkennung. Die AVS vergleicht die Rechnungsadresse. Keine dieser Methoden beweist, dass der Karteninhaber die Transaktion validiert hat, was das entscheidende Kriterium im Streitfall bleibt.
Der europäische regulatorische Rahmen wird weiterhin um die starke Authentifizierung enger geschnürt. Die DSP3, die sich in der finalen Phase befindet, soll den Anwendungsbereich der SCA erweitern und die aktuellen Ausnahmemargen reduzieren. Für einen E-Commerce-Händler, der seinen Zahlungstrichter auf das Fehlen von Überprüfungen aufgebaut hat, stellt jede regulatorische Entwicklung ein direktes operationelles Risiko dar. Die Integration von 3D Secure 2.0 jetzt, auch für Transaktionen, die für eine Ausnahme in Frage kommen, bleibt die kostengünstigste Strategie auf mittlere Sicht.