Definition
Strong Customer Authentication (SCA) ist eine Anforderung der EU-Zahlungsdiensterichtlinie PSD2, die eine Zwei-Faktor-Authentifizierung bei elektronischen Zahlungen verlangt. Ziel ist die Reduktion von Betrug im E-Commerce. Die Authentifizierung muss zwei von drei definierten Faktoren kombinieren.
Die drei Authentifizierungsfaktoren
| Faktor | Kategorie | Beispiele |
|---|---|---|
| Wissen | Etwas, das der Kunde weiss | PIN, Passwort, Sicherheitsfrage |
| Besitz | Etwas, das der Kunde hat | Smartphone (SMS-OTP, Push-Notification), Hardware-Token, Bankkarte |
| Inhärenz | Etwas, das der Kunde ist | Fingerabdruck, Face ID, Stimmerkennung, Iris-Scan |
Eine gültige SCA-Kombination wäre z.B.: Smartphone-Besitz (Push-Notification) + Fingerabdruck (Biometrie). Zwei Faktoren aus derselben Kategorie (z.B. Passwort + PIN) erfüllen die Anforderung nicht.
Exemptions: Wann SCA nicht nötig ist
Nicht jede Transaktion erfordert SCA. PSD2 definiert klare Ausnahmen, die Händler aktiv nutzen sollten, um die Conversion zu schützen:
Exemption-Entscheidungsbaum
- Ist die Transaktion eine MIT? → Keine SCA nötig (nach initialer Authentifizierung)
- Ist der Betrag unter EUR 30? → Low-Value Exemption möglich (bis kumuliert EUR 100 oder 5 Transaktionen)
- Ist der Händler als Trusted Beneficiary gelistet? → Keine SCA
- Qualifiziert sich die Transaktion für TRA? → Exemption möglich, abhängig von Acquirer-Betrugsrate
- Ist es eine Corporate Card? → Secure Corporate Payment Exemption möglich
- Nichts trifft zu? → SCA erforderlich (3D Secure Challenge)
Exemption-Typen im Detail
| Exemption | Bedingung | Max. Betrag | Wer entscheidet |
|---|---|---|---|
| Low-Value | Unter EUR 30, kumuliert <EUR 100 oder <5 Transaktionen | EUR 30 | Issuer |
| Transaction Risk Analysis (TRA) | Betrugsrate des Acquirers unter Schwellenwert | Bis EUR 500 | Acquirer beantragt, Issuer entscheidet |
| Trusted Beneficiary | Kunde hat Händler als vertrauenswürdig markiert | Unbegrenzt | Issuer |
| Recurring (MIT) | Ab der zweiten Zahlung einer Fixed-Recurring-Serie | Gleicher Betrag wie Erstbetrag | Automatisch |
| Secure Corporate | B2B-Zahlungen mit dedizierten Corporate Cards | Unbegrenzt | Issuer |
| Mail/Phone Order (MOTO) | Telefonische oder schriftliche Bestellung | Unbegrenzt | Nicht im Scope |
Entscheidung beschleunigen?
Nutze den Payment-Fit-Check und erhalte eine priorisierte Anbieterliste für dein Setup.
Zum Payment-Fit-CheckTRA-Schwellenwerte nach Acquirer-Betrugsrate
Die Transaction Risk Analysis (TRA) Exemption ist betragslimitiert und hängt von der Betrugsrate des Acquirers ab:
| Acquirer-Betrugsrate | Max. TRA-Exemption-Betrag |
|---|---|
| < 0.01% (1 Bp) | EUR 500 |
| < 0.06% (6 Bp) | EUR 250 |
| < 0.13% (13 Bp) | EUR 100 |
| ≥ 0.13% | Keine TRA-Exemption möglich |
Praxistipp: Fragen Sie Ihren PSP/Acquirer nach seiner aktuellen Betrugsrate. Die besten Acquirer (z.B. Adyen, Worldline) liegen oft unter 0.01% und können TRA bis EUR 500 anbieten.
Conversion-Auswirkungen nach Exemption-Typ
SCA hat einen messbaren Einfluss auf die Checkout-Conversion. Die Daten zeigen grosse Unterschiede je nach Implementierungsqualität:
| Szenario | Durchschnittliche Conversion-Rate | Veränderung vs. Baseline |
|---|---|---|
| Ohne SCA (Baseline) | 92–95% | – |
| 3DS Challenge (schlecht implementiert) | 70–78% | -15 bis -25% |
| 3DS Challenge (gut implementiert, App-basiert) | 82–88% | -5 bis -12% |
| 3DS Frictionless (Exemption genehmigt) | 90–94% | -1 bis -3% |
| Trusted Beneficiary | 93–96% | ±0% |
Kernbotschaft: Die Nutzung von Exemptions und Frictionless Flows kann den Conversion-Verlust durch SCA von 15–25% auf unter 5% reduzieren.
Delegated Authentication
Bei Delegated Authentication übernimmt der Händler (oder sein PSP) die SCA-Prüfung selbst, anstatt an den Issuer weiterzuleiten. Voraussetzungen:
- Händler/PSP muss vom Kartennetzwerk als Delegated Authenticator zertifiziert sein
- Biometrische Authentifizierung muss auf dem Gerät des Kunden verfügbar sein
- Ist derzeit nur bei wenigen Anbietern aktiv (z.B. Adyen, Stripe mit Link)
Vorteil: Schnellere Authentifizierung, keine Weiterleitung zum Issuer, bessere UX, höhere Conversion.
Nachteil: Hohe Anforderungen an die Zertifizierung; Haftungsübernahme durch den Händler.
Implementierungsqualität: Checkliste
Prüfen Sie die SCA-Implementierung Ihres PSPs anhand dieser Kriterien:
- [ ] 3DS 2.2+ unterstützt – Ältere Versionen bieten weniger Exemptions und schlechtere UX
- [ ] Frictionless Flow aktiviert – PSP sendet ausreichend Datenfelder an den Issuer
- [ ] TRA-Exemption konfiguriert – Automatische Beantragung bei qualifizierten Transaktionen
- [ ] Low-Value Exemption aktiv – Für Transaktionen unter EUR 30
- [ ] MIT-Flag korrekt gesetzt – Recurring Payments werden als MIT (nicht CIT) gesendet
- [ ] Device-Daten werden übertragen – Browser-Fingerprint, IP, Geolocation an 3DS-Server
- [ ] Fallback auf Challenge – Bei abgelehnter Exemption wird automatisch ein Challenge ausgelöst
- [ ] Exemption-Reporting – Sie können auswerten, welche Exemptions beantragt und genehmigt werden
- [ ] Soft Decline Handling – Bei Soft Decline (SCA erforderlich) wird automatisch mit 3DS erneut eingereicht
Schweizer Kontext: Relevanz und Adoption
PSD2 gilt nicht direkt in der Schweiz – die Schweiz ist kein EWR-Mitglied. Trotzdem ist SCA für Schweizer Händler hochrelevant:
Wann SCA für Schweizer Händler gilt
| Szenario | SCA-Pflicht? | Grund |
|---|---|---|
| CH-Händler → EU-Kunde (EU-Karte) | Ja – «One Leg Out»-Regelung vieler Issuer | Issuer in der EU unterliegt PSD2 |
| CH-Händler → CH-Kunde (CH-Karte) | Teilweise | Viele CH-Issuer implementieren 3DS freiwillig |
| CH-Händler → CH-Kunde (EU-Karte) | Ja | Issuer in EU erzwingt SCA |
| CH-Händler → Nicht-EU-Kunde | Nein (i.d.R.) | Keine PSD2-Verpflichtung |
Schweizer Timeline und Adoption
- 2019–2021: PSD2/SCA-Rollout in der EU. Schweizer Händler mit EU-Kunden erstmals betroffen.
- 2022–2023: Visa und Mastercard verschärfen 3DS-Mandate auch für «One Leg Out»-Transaktionen. Schweizer Issuer (UBS, PostFinance, Swisscard) rollen 3DS 2 aus.
- 2024–2025: Praktisch alle Schweizer Issuer unterstützen 3DS 2.x. Frictionless-Raten steigen auf 60–70%.
- 2026 (aktuell): 3DS ist in der Schweiz de facto Standard, auch wenn kein gesetzliches Mandat existiert. Die FINMA beobachtet, hat aber bislang keine eigene SCA-Regulierung erlassen.
Einschätzung: Schweizer Händler sollten SCA als gegeben behandeln – unabhängig vom rechtlichen Status. Die Kartennetwerke setzen es über ihre Regeln durch, nicht über Schweizer Gesetze.
Handlungsempfehlungen
- Optimieren Sie den Frictionless-Anteil. Je mehr Datenfelder Sie an den 3DS-Server übermitteln (E-Mail, Adresse, Device-Daten), desto höher die Frictionless-Rate.
- Nutzen Sie TRA-Exemptions aktiv – besonders bei Acquirern mit tiefer Betrugsrate können Sie Transaktionen bis EUR 500 ohne Challenge abwickeln.
- Messen Sie Ihre Exemption-Genehmigungsrate. Wenn sie unter 60% liegt, stimmt die Datenbasis nicht – arbeiten Sie mit Ihrem PSP an der Datenqualität.
- Testen Sie den 3DS-Flow regelmässig auf verschiedenen Geräten und Browsern. Eine fehlerhafte Weiterleitung zum Issuer kostet Conversion.
- Planen Sie mit SCA, auch rein für den Schweizer Markt. Die grossen Schweizer Issuer erzwingen 3DS zunehmend – eine SCA-freie Zukunft gibt es nicht.
Payment Setup optimieren?
Wir analysieren deinen Use Case und priorisieren passende Anbieter.
Weiterführende Inhalte
Passende Seiten basierend auf Thema, Entitäten und Kontext.
Payment Schweiz 2026: Anbieter, Kosten und Strategie
Inhaltlich eng verwandt
LesenBNPL in der Schweiz: Conversion-Booster mit Governance-Pflicht
Inhaltlich eng verwandt
LesenKartenzahlungen in der Schweiz: Basis für jedes Payment-Setup
Inhaltlich eng verwandt
LesenKauf auf Rechnung in der Schweiz: Vertrauen und Risikobalance
Inhaltlich eng verwandt
LesenTWINT im Checkout: Wirkung, Kosten, Umsetzung
Inhaltlich eng verwandt
LesenMarketplace Payments Schweiz: Split Payouts, Risiko und Skalierung
Inhaltlich eng verwandt
LesenRetail Payment Stack Schweiz: Conversion und Kosten im Gleichgewicht
Inhaltlich eng verwandt
LesenSaaS Payments Schweiz: Subscription-Setup mit geringem Churn-Risiko
Inhaltlich eng verwandt
LesenCustom Stack Payments Schweiz: Build vs Buy richtig entscheiden
Inhaltlich eng verwandt
LesenShopify Payments in der Schweiz: Providerwahl und Setup-Fallen
Inhaltlich eng verwandt
Lesen