Ich möchte klarstellen, dass Stripe und Redsys heutzutage in vielerlei Hinsicht identisch sind, einschließlich der Möglichkeit, direkt an der Kasse zu bezahlen, ohne die Seite zu verlassen, wie Sie in meinem Beispielshop mit InSite ausprobieren können. Und obwohl viele Leute ständig behaupten, dass Stripe besser für Zahlungen ist, da es eine höhere Abschlussquote gibt, ist das nicht wahr. Nun, lassen Sie uns präzisieren, es ist wahr, wenn man aus Unkenntnis darüber spricht, wie Redsys (tatsächlich die PSD2) und Stripe funktionieren, denn mit Redsys können wir die gleiche niedrige Abbruchquote erreichen, die es bei Stripe bei Zahlungen gibt (die sehr gering ist) und sie sogar senken (ja, senken), man muss nur die Möglichkeit kennen und was das für den Handel bedeutet. Und nein, es hat nichts mit der “überlegenen Technologie” von Stripe zu tun, wie viele Leute ständig wiederholen, als wäre es ein Mantra.
Aber um das alles zu verstehen, muss man von vorne anfangen. Ende 2018 begann man schrittweise, die neue PSD2-Verordnung anzuwenden. Im September 2019 trat sie in Kraft, und wer sie beantragte, konnte sie in seinen Terminals nutzen, und am 31. Dezember 2020 wurde sie verbindlich, obwohl in einigen Fällen der PSD2-Flow in den Terminals im Laufe von 2021 auf Antrag von Unternehmen aktiviert wurde, die “nicht genug Zeit” hatten, ihren Code anzupassen. Ich setze das in Anführungszeichen, weil sie fast 3 Jahre Zeit hatten, also war es mehr Nachlässigkeit (so sehe ich das). Ich habe mein Premium-Plugin für Redsys über 4 Monate hinweg angepasst, ohne großen Druck, und eine Beta-Version veröffentlicht, die bereits im September 2020 Unterstützung für die PSD2 bot, um Feedback von Nutzern zu erhalten, bevor es 4 Monate vor der obligatorischen Nutzung verpflichtend wurde. Tatsächlich habe ich in diesem Moment vielen Unternehmen geholfen, den Code ihrer maßgeschneiderten Websites an die PSD2 anzupassen und mehrere bekannte Entwicklungsunternehmen beraten, denn die Wahrheit ist, dass es nicht einfach ist, und es einfacher war, zu jemandem zu gehen, der bereits “gekämpft” hat, um die neue Verordnung anzuwenden, als von Grund auf nach Informationen zu suchen.
Worin besteht genau die PSD2? Es handelt sich im Grunde um eine doppelte Kaufauthentifizierung. Bis zur Einführung der PSD2 bestand die Authentifizierung aus dem CVV/CVC und in einigen Fällen aus dem Versand einer SMS, wenn man beim Bankdienstleister beantragte, dass sie aktiviert wird (einige Banken aktivierten sie, auch wenn man sie nicht beantragte), viele Leute wussten das nicht oder wollten es “aus Bequemlichkeit” nicht aktivieren. Nach Inkrafttreten der PSD2 war diese zweite Authentifizierung, die in der Regel darin besteht, die Transaktion über die Bank-App zu autorisieren, in Europa verpflichtend. Dies erhöhte die Sicherheit enorm, aber auch die Komplexität beim Bezahlen für viele Menschen, sodass einige bis heute den Kauf nicht abschließen, weil sie nicht wissen, wie es geht, oder weil sie beispielsweise ihr Handy nicht zur Hand haben.
Und hier beginnt der wichtige Punkt, also präge dir das gut ein, damit du es im Hinterkopf behältst. Diese Sicherheit ist bidirektional. Was bedeutet das? Es gibt sowohl dem Kunden, der in einem Geschäft mit seiner Karte kauft, als auch dem Geschäft die Sicherheit, dass der Käufer tatsächlich der Karteninhaber ist und dies durch das Bankensystem garantiert wird. Das heißt, der Käufer hat die Sicherheit, dass das Geschäft seine Karte nicht für unrechtmäßige Abbuchungen verwenden kann, da die doppelte Authentifizierung gewährleistet, und das Geschäft weiß, dass es die Zahlung für die Bestellung erhalten wird, weil das Bankensystem garantiert hat, dass die Person, die gekauft hat, der Karteninhaber ist. Im Falle eines Kartenraubs (zum Beispiel) wird man trotzdem bezahlt, wenn diese Transaktion authentifiziert wurde.
Fängst du an zu verstehen, wo die Unterschiede liegen? Das ist im Grunde der Unterschied zwischen Stripe und Redsys. Stripe verlangt viel weniger Authentifizierungen (praktisch fast keine), während Redsys standardmäßig fast bei allen Transaktionen eine Authentifizierung anfordert. Das führt dazu, dass es bei Stripe viel mehr abgeschlossene Zahlungen gibt als bei Redsys. Aber wie kann das sein, wenn die PSD2 die Authentifizierung vorschreibt? Und was passiert mit all diesen nicht authentifizierten Transaktionen bei Stripe? Ich nehme an, du hast dir diese beiden Fragen gestellt, und wenn nicht, solltest du sie dir mit allem, was ich dir bis jetzt erklärt habe, gestellt haben.
Innerhalb der PSD2-Richtlinie gibt es Ausnahmen, die als SCA (Strong Consumer Authentication oder verstärkte Verbraucherautorisierung) bekannt sind. Es gibt mehrere SCAs, aber drei sind in diesem Bereich besonders wichtig. Eine ist das MIT, das in diesem Fall nicht zutrifft, da es ausschließlich für Abonnements gilt. Die, die wir kennen und berücksichtigen müssen, sind das LWV und das TRA.
Das LWV ist ein SCA, das angewendet wird, wenn die Bestellung von geringem Wert ist. Das heißt, wenn der Betrag unter 30€ liegt, kann es in der Zahlungsanforderung angegeben werden, und es wird keine Authentifizierung angefordert. Stripe wendet es direkt an, wenn die Bestellung in den Preisbereich fällt, und bei Redsys muss man es anfordern, damit es aktiviert wird, und das SCA zum Zeitpunkt der Zahlungsanforderung senden, wenn es erforderlich ist. Übertragen auf die Offline-Welt ist es, wenn du in einem physischen Geschäft mit der Karte bezahlst, und aufgrund des Kaufbetrags wird dir nicht die PIN für die Zahlung angefordert. Offensichtlich merkt man das nicht so sehr, wenn man mit dem Handy über NFC bezahlt, da immer der Fingerabdruck zur Sicherheit des Zugriffs auf die Zahlungsmethode angefordert wird, mindestens mit der App, die ich benutze (CaixaBank).
Das TAR, das “gefährlich” ist, ist wie das LWV, aber mit dem Unterschied, dass es für viel höhere Beträge gilt. TRA steht für (Transaction Risk Analysis). Die maximale Anwendung des SCA TRA hängt in der Regel von der Bank im Falle von Redsys ab, aber im Allgemeinen sind sie sehr zurückhaltend, es für Beträge über 250€ zu aktivieren/zu akzeptieren. Wenn dir TRA bei Redsys aktiviert wird, kannst du beantragen, dass es angewendet wird, und Redsys wird eine Bewertung vornehmen, ob es an den Emittenten gesendet wird oder nicht, aber bedenke, dass das Risiko von dir getragen wird (wie ich später noch erklären werde). Stripe hat es direkt aktiv und für Beträge bis 500€. Was Stripe tun wird, ist eine Risikoanalyse durchzuführen, und wenn es nichts Signifikantes sieht, wird es TRA an den Kartenemittenten für die Zahlungsanforderung senden, sodass keine Authentifizierung durchgeführt wird (wenn der Emittent des Kunden es akzeptiert). In der folgenden Abbildung, die du hier finden kannst, siehst du, wie sie die Risikoanalyse anwenden, um TRA zu senden oder nicht.
Das Vorherige mag sehr interessant erscheinen und man könnte denken: „Ah, fantastisch, ich sende immer TRA!“ Es ist ein Gedanke, der einem sehr schnell in den Sinn kommen kann, oder? Weniger Anfragen zur Authentifizierung, mehr Konversionen, mehr Verkäufe, fantastisch! „Jetzt verstehe ich, warum es bei Stripe nicht so viele Abbrüche beim Bezahlen gibt, weil sich nur sehr wenige authentifizieren müssen.“
Ja, ihr hättet recht, dass das der Grund ist, sendet LWV oder TRA in fast der gesamten Transaktionen, und das führt dazu, dass in praktisch keinem Fall eine Authentifizierung angefordert wird, wenn der Emittent/Bank des Kunden es akzeptiert, denn vielleicht akzeptiert der Emittent/Bank das TRA aus irgendeinem Grund nicht und fordert eine Authentifizierung an. Und wie ich bereits erwähnt habe, könnt ihr Redsys bitten, es für euch zu aktivieren. Das LWV wäre praktisch sofort, und das TRA könnte etwas länger dauern. Aber Vorsicht, sie werden dich über die Konsequenzen informieren, die es hat, wenn sie dir diese SCAs aktivieren, und vielleicht siehst du es dann nicht mehr als gute Idee, denn Wissen ist Macht, insbesondere bei Entscheidungen.
Wenn wir tiefer in die SCAs eintauchen, muss die Stelle, die das SCA sendet (sei es das Geschäft oder die Bank), sei es LWV oder TRA, im Falle von Betrug/Diebstahl die Verantwortung übernehmen. Wenn wir tiefer in die PSD2/SCA eintauchen, können wir sehen, dass derjenige, der im Falle von Betrug die Verantwortung übernehmen muss, derjenige ist, der die Zustimmung zu TRA sendet (in diesem Beitrag von Adyen wird alles sehr gut erklärt). Am Ende steht dies:
2. Transaktionen mit geringem Risiko – TRA (Transaction Risk Analysis)
Die emittierenden Banken können bestimmte Transaktionen als geringes Risiko betrachten. Dazu stützen sie sich auf die durchschnittlichen Betrugsraten des Emittenten, des Erwerbers oder beider gleichzeitig. In diesen Fällen kann die Ausnahme sowohl vom Geschäft als auch von der emittierenden Bank beantragt werden.
Die Verantwortung im Falle eines Rückbuchungsanspruchs liegt bei der Bank, wenn diese die Ausnahme beantragt hat, oder beim Geschäft, wenn es die Ausnahme beantragt hat.
Das Wichtigste ist der letzte Absatz. Du hast also einen Hinweis darauf, was dir deine Bank sagen wird. Sie können LWV oder TRA am Terminal aktivieren, um zu beantragen, die Transaktion nicht zu authentifizieren, aber wenn diese Karte gestohlen wurde (zum Beispiel) und die emittierende Bank das TRA akzeptiert, wirst du ohne das Produkt dastehen (wenn du es bereits versendet hast) und ohne das Geld, weil du es zurückgeben musst. Wenn es eine Authentifizierung gibt, auch wenn die Person ihre Karte und ihr Handy gestohlen hat und in deinem Shop gekauft hat, kann dir niemand etwas anhaben. Du behältst das Geld, denn es ist ein Problem des Karteninhabers und der emittierenden Bank, sie werden klären, wer für diese Belastung verantwortlich ist, die Bank, weil sie die Karte nicht rechtzeitig annulliert hat, oder der Karteninhaber, weil er den Diebstahl nicht sofort gemeldet hat. Aber du bist sicher nicht verantwortlich.
Und jetzt denkst du vielleicht: „Ah, Stripe ist es, der TRA sendet, lass ihn aufpassen!“. Und das wäre in diesem Fall logisch, denn es sendet es, ohne dass du etwas davon weißt, aber das ist der einzige schlüpfrige Teil daran. Denn nein, es sendet TRA in deinem Namen, ohne dass du davon Kenntnis hast und ohne die Konsequenzen zu kennen, die es bei Bestellungen bis zu 500€ hat, und im Falle von Betrug wird das Problem auf dich abgewälzt eine Streitigkeit eröffnen, das heißt, es sorgt dafür, dass die Leute sich nicht authentifizieren, ohne den Händlern die Konsequenzen zu erklären, aber wenn es ein Problem gibt, muss das Geschäft die Konsequenzen tragen, ohne dass es beantragt hat, dieses Risiko zu übernehmen. Deshalb sage ich, dass das der schlüpfrige Teil daran ist. Das heißt, wenn du das Pech hast, dass eine Bande von Dieben/Kartenklau durch deine Website geht und Produkte im Wert von beispielsweise 10.000€ mit verschiedenen Benutzern und Karten kauft, dass dir mit Stripe nichts passiert, weil es TRA gesendet hat, sich nicht authentifiziert hat, und dir das Problem durch eine Streitigkeit übergeben wird, wenn alle Anzeigen erscheinen, dass die Karten gestohlen oder kopiert wurden und die Käufe nicht authentifiziert wurden. Aber du wirst nicht nur das Geld zurückgeben müssen, sondern es wird auch eine Gebühr für das, was als Rückbuchung bezeichnet wird, angewendet, das heißt, du wirst nicht nur ohne Geld und das Produkt dastehen, sondern auch dafür bezahlen müssen. Im Falle von Stripe beträgt die Gebühr für eine verlorene Streitigkeit heute 15€ (denk daran, dass innerhalb dieser 10.000€ Hunderte von verschiedenen Bestellungen sein können) + 20€ für jede Rückzahlung (das gleiche, es können Hunderte von Kunden/Bestellungen sein), und ich weiß nicht, ob es einen Prozentsatz des Wertes der Strafe gibt. Aber nur mit den 15€ + den 20€ pro Transaktion/Kunde, rechne nach. Vielleicht zahlst du mehr mit all diesen Gebühren, als die 10.000€, die dir bereits gestohlen wurden, ganz zu schweigen von dem Verlust der Waren/Produkte.
Ist das alles ein Plädoyer gegen Stripe? Nein, ich erzähle dir nur, was sie nicht erzählen, damit du eines Tages keine sehr unangenehme Überraschung erlebst. Jetzt weißt du mindestens, wie das Spielfeld aussieht, und kannst mit allen Informationen in der Hand entscheiden.
Stripe hat im Vergleich zu Redsys einige Vorteile, wie die einfache Vertragsgestaltung, das Transaktionsmanagement-Panel, die Rechnungsstellung usw. Das kann ein zusätzlicher Wert sein, der euch zu seiner Nutzung neigen lässt. Aber im Gegenzug hat Redsys viel Sicherheit und sehr niedrige Gebühren.
Im Moment denkst du vielleicht: „Mir ist so etwas noch nie passiert“, bis eines Tages etwas passiert und du dich in einer ähnlichen Situation wie der vorherigen befindest. Aber jetzt kannst du nicht mehr sagen, dass du es nicht erwartet hast oder nicht wusstest, aber wenn du dennoch bereit bist, das Risiko von TRA und in viel geringerem Maße LWV zu akzeptieren, kannst du es auch bei Redsys haben, und das zu viel niedrigeren Gebühren als die, die Stripe anwendet (und noch mehr nach der Erhöhung, die sie vorgenommen haben), und mit meinem Redsys-Plugin für WooCommerce kannst du LWV und TRA an Redsys beantragen (wenn sie dir am Terminal aktiviert wurden) und auch das Kreditkartenformular an der Kasse haben, ohne die Website zu verlassen, was auch mit Redsys möglich ist, wie du in meinem Beispielshop überprüfen kannst.
Es kann sehr interessant sein, LWV am Terminal zu aktivieren, damit alle Zahlungen unter 30€ nicht authentifiziert werden, aber man muss vorsichtig mit TRA sein. Zweifellos wird das Senden von TRA, das du, wie ich erwähne, auch mit Redsys tun kannst, deine Verkäufe wahrscheinlich erhöhen, da die Authentifizierung nicht so oft angefordert wird, aber es erhöht auch die Möglichkeit, dass du betrogen wirst.
Jetzt hast du wirklich alle Informationen darüber, wie die PSD2 funktioniert. Ich glaube nicht, dass du viele so klare Beiträge über die Funktionsweise und die Risiken, die mit den SCAs verbunden sind, finden wirst. In diesen Momenten, in denen du alles weißt, was du nach dem Lesen des Beitrags weißt, kannst du wirklich eine Entscheidung darüber treffen, was du erreichen möchtest, wobei du die Konsequenzen berücksichtigst. Jetzt kannst du bewerten, wie du deine Zahlungsmethode gestalten möchtest, mehr Authentifizierungen, ohne irgendeine Art von SCA zu verwenden, um ruhig zu leben, LWV anzuwenden, wobei du ein Gleichgewicht zwischen Sicherheit und geringem Risiko bei niedrigen Beträgen hast, oder du wirst TRA verwenden, um die Verkäufe zu maximieren, indem du die Authentifizierungen reduzierst, aber auch die Risiken maximierst.
Wie du sehen kannst, kannst du auch mit Redsys die Authentifizierungen auf ein Minimum reduzieren und die Verkäufe maximieren, um Zahlungsabbrüche wie bei Stripe zu vermeiden, indem du die SCAs LWV und TRA anforderst und aktivieren lässt, aber die Entscheidung, das Risiko bei Redsys zu akzeptieren, liegt bei dir, während es bei Stripe auferlegt wird und die meisten Händler sich der Risiken, die sie eingehen, nicht bewusst sind. Und das Schlimmste ist, dass die meisten es so interpretieren, als ob man mit Stripe mehr Verkäufe hat, weil es die bessere Technologie hat.
Pues muy interesante y tiene sentido. También para explicar a los comerciantes el porqué de tantos pasos, autenticaciones,etc. que a veces se reclama para hacerles más fácil el camino a los compradores, pero no tienen en cuenta que los pasos de seguridad tienen su porqué…
Está claro que según el tipo de negocio se puede plantear más uno el tomar una u otra alternativa. Para tiendas de productos como comentas donde de pronto pudieran hacerte grandes cantidades de pedidos pues igual hay que andarse con más ojo.
Lo que creo que para poco volumen de ventas, es más económico Stripe y pagar por cada transacción que Redsys que creo que funciona por cuotas mensuales y adicionalmente algo por transacción, o según condiciones del banco ¿no? La verdad, esperaba ver incluido algo en cuanto a comparativa de costes.
Hola Taisa, gracias por comentar 🙂
Stripe funcina con un fijo por transacción (0,25€) más un porcentaje de esta (1,5%), mientras Redsys en solo un porcentaje por transacción que no suele superar el 0’45%, y mucha gente incluso ha conseguido mediante negociación con su banco rebajarlo hasta el 0’20%. No hay cuota de mantenimiento en Redsys siempre y cuando llegues a un mínimo facturado, que cada banco pone el suyo. Por regla general suele estar sobre los 300-400€ de facturación.
En esta entrada me he enfocado más al tema técnico que no al económico, porque creo que hay muchísmo más desconocimientom por no decir nulo de como funciona la PSD2 y de los «trucos» que hay para que haya más «frictionless» (sin autenticación) pero asumiendo sus posibles peligros y consecuencias.
Saludos
Buen artículo sin embargo hay una parte que probablemente no conozcas. El motor de riesgo de stripe está basado en cientos de variables sobre la transacción, machine Learning e inteligencia artificial. Y sabe cuando enviar la exención y cuando no. Ten en cuenta que todos pagamos varias veces al mes a través de stripe y nos conocen. Todo eso Redsys ni se lo huele. Bastante tienen con poner reglitas estáticas que para algunos comercios pueden valer y para otros no. Y no son sólo las exenciones a la psd2. También al dotar de mucha mayor información a las operaciones, el emisor no siempre pide el challenge y las operaciones tienen el mismo nivel de protección que si se hubiera producido.
Muy posiblemente, Martin.
Muchas gracias por tu aporte 🙂
Sí y no. Por ejemplo, CaixaBank con Redsys (Cyberpac) tiene un completo que cuesta entre 2cts y 0,5 cts por transacción (Addon Sales Conversion) donde la empresa global payments (bastante reputada a nivel mundial) es la encargada de hacer el análisis de riesgo. Yo, de las operaciones que van via tarjeta (no cuento Apple Pay y Google Pay) solo tengo que autenticar un 8% aproximadamente, y normalmente es debido a que es de un importante bastante grande la operación a la vez que es de un país de fuera de Europa, ha hecho muchas compras …
Si tu banco tiene algo parecido entonces es importante considerar si sale a cuenta un Stripe o mejor pelearse unas semanas con bancos, romperse un poco (bastante) la cabeza integrando todo y pagar comisiones de hasta el 0,05% o 0,01% cuando es entre comercio-tarjeta del mismo banco.
Stripe lo que mas me gusta es todas las opciones de pagos incluidas que tiene, ya que no tienes que abrirte cuentas en cada sistema de pagos, solo Paypal, tiene klarna, sepa, etc incluidos en tu cuenta de Stripe, ademas que solia obtener mas conversion dado que no falla tanto como redsys, que veo denegación todos los días, y de altas compras importantes en mi tienda, lo peor que tiene Stripe he incluso Paypal, en mi opinión y experiencia de comerciante por casi 5 años, es que puedes levantarte un día y te inhabilitaron la cuenta sin retorno, todo el dinero que tenias estará bloqueado por 4 meses y con el riesgo muy alto de que Stripe & Paypal lo reembolse a los clientes.