Man bestellt auf Amazon, klickt auf “Jetzt kaufen”, und die Zahlung erfolgt, ohne dass ein Sicherheitscode von der Bank angefordert wird. Keine SMS, keine Benachrichtigung in der Banking-App. Beim ersten Mal fragt man sich, ob die Transaktion wirklich sicher ist. Dieses Verhalten, das keineswegs ein Fehler ist, beruht auf einem präzisen Mechanismus, der durch die europäische Gesetzgebung und die technischen Entscheidungen von Amazon geregelt ist.
Ausnahmen DSP2: der regulatorische Rahmen, der es Amazon erlaubt, den Code zu umgehen
Die europäische Richtlinie DSP2 schreibt grundsätzlich eine starke Authentifizierung (SCA) für Online-Zahlungen vor. Zwei von drei Faktoren müssen validiert werden: etwas, das man kennt (Passwort, Code), etwas, das man besitzt (Telefon, Karte) oder etwas, das man ist (Fingerabdruck).
Auch lesenswert : Warum die Puff immer mehr im Alltag begeistert
Die gleiche Richtlinie sieht Fälle vor, in denen diese Überprüfung umgangen werden kann. Man spricht von regulatorischen Ausnahmen, und Amazon nutzt diese systematisch, um den Kaufprozess zu optimieren. Mehrere Situationen erlauben es, darauf zu verzichten:
- Transaktionen mit geringem Betrag, unterhalb eines von der Regulierung festgelegten Schwellenwerts, lösen nicht automatisch die starke Authentifizierung aus.
- Das “Merchant Whitelisting” ermöglicht es dem Kunden, Amazon als vertrauenswürdigen Händler bei seiner Bank zu deklarieren, was die Überprüfung für die folgenden Käufe aufhebt.
- Die Echtzeitanalyse des Risikos (Transaction Risk Analysis) erlaubt es dem Kartenherausgeber oder dem Zahlungsdienstleister, das Risiko zu bewerten und eine Ausnahme zu gewähren, wenn die Betrugsrate unter den von der EBA festgelegten regulatorischen Schwellen bleibt.
So versteht man besser, warum die Zwei-Faktor-Authentifizierung auf Amazon nicht bei jeder Bestellung ausgelöst wird. Das System basiert auf einem Ausgleich zwischen Sicherheit und Fluidität, der durch das Gesetz geregelt ist.
Auch interessant : Erfahren Sie, wer hinter der Herstellung der hochwertigen BMW Motorradhelme steckt
Interne Betrugserkennung bei Amazon: was die SMS Ihrer Bank ersetzt
Wenn Amazon es sich leisten kann, die Banküberprüfung nicht auszulösen, liegt das daran, dass die Plattform ihre eigenen Erkennungsmechanismen entwickelt hat. Das Prinzip ist einfach: Anstatt bei jedem Kauf einen Code anzufordern, analysiert Amazon das Verhalten des Kontos in Echtzeit.
Das System bewertet mehrere Signale, bevor es eine Zahlung validiert. Die verwendete IP-Adresse, das Terminal (Computer, Telefon), die Bestellhistorie, die Lieferadresse, der Betrag der Transaktion. Wenn das Risikoprofil als niedrig eingestuft wird, erfolgt die Bestellung ohne Reibung.
Im Gegensatz dazu wird ein Kauf von einem neuen Gerät, an eine noch nie verwendete Adresse, mit einem ungewöhnlichen Betrag eine Überprüfung auslösen. Man kann eine SMS, eine Bestätigungsanfrage per E-Mail oder eine Benachrichtigung in der Banking-App erhalten. Die Auslösung hängt vom geschätzten Risikoniveau ab, nicht nur vom Betrag.
Dieses Modell hat direkte Auswirkungen auf das Einkaufserlebnis. Amazon optimiert die Konversion, indem es die Anzahl der Validierungsschritte reduziert. Weniger Reibung bedeutet weniger Warenkorbabbrüche, was einen wichtigen kommerziellen Hebel für die Plattform darstellt.
Betrug und Ausnahmen: das Risiko verlagert sich, nicht die Sicherheit
Die starke Authentifizierung hat die Betrugsrate bei Online-Zahlungen, die der SCA unterliegen, seit ihrer vollständigen Einführung erheblich gesenkt. Die Berichte der europäischen Aufsichtsbehörden bestätigen diesen Trend. Die Betrugsversuche verschwinden jedoch nicht.
Sie verlagern sich auf Transaktionen, die gerade von den Ausnahmen profitieren: Zahlungen mit geringem Betrag, Einkäufe mit einem Klick, vertrauenswürdige Händler. Betrüger zielen auf vereinfachte Prozesse ab, bei denen kein Code angefordert wird. Das ist ein mechanischer Effekt der Regulierung.
Der Einsatz von Amazon auf Fluidität
Amazon investiert in die interne Erkennung, um dieses Risiko auszugleichen. Ziel ist es, eine ausreichend niedrige Betrugsrate aufrechtzuerhalten, um weiterhin von den DSP2-Ausnahmen zu profitieren. Wenn die Betrugsrate die von der EBA festgelegten Schwellen überschreitet, kann die ausstellende Bank die Ausnahme verweigern und systematisch die starke Authentifizierung verlangen.
Das Gleichgewicht ist also fragil. Amazon muss eine niedrige Betrugsrate aufrechterhalten, um seine regulatorischen Ausnahmen zu behalten. Es ist ein Kreislauf: Je besser die interne Erkennung funktioniert, desto weniger Überprüfungen verlangt die Bank, und desto flüssiger bleibt der Kaufprozess.
Banküberprüfung abgelehnt auf Amazon: Was konkret zu tun ist
Es kommt vor, dass die Überprüfung ausgelöst wird und fehlschlägt. Der Kauf wird blockiert, die Bestellung geht nicht durch. Mehrere Ursachen sind möglich, und die Rückmeldungen variieren diesbezüglich je nach Banken und Kontoeinstellungen.
- Die Telefonnummer, die mit der Kreditkarte verknüpft ist, ist bei der Bank nicht mehr aktuell, was den Empfang des SMS-Codes verhindert.
- Die Banking-App, die zur Validierung der Zahlung verwendet wird, ist auf dem Telefon nicht aktiviert oder nicht aktuell.
- Die auf Amazon gespeicherte Karte ist abgelaufen oder wurde ersetzt, ohne dass das Amazon-Konto aktualisiert wurde.
- Das Online-Zahlungslimit der Karte ist erreicht oder die Karte erlaubt keine internationalen Transaktionen.
Der effektivste Reflex ist es, zunächst die Sicherheitsparameter bei der Bank zu überprüfen. Die Telefonnummer bei der Bank zu aktualisieren löst die Mehrheit der Blockaden im Zusammenhang mit dem Empfang des Validierungscodes.
Auf Seiten von Amazon
Im Amazon-Konto kann man auch die Zahlungsmethode löschen und dann erneut speichern. Diese Manipulation zwingt zu einer neuen Überprüfung der Karte und setzt die an die Bank übermittelten Daten beim nächsten Kauf zurück.
Das systematische Fehlen der Zwei-Faktor-Authentifizierung auf Amazon ist weder ein Versehen noch ein Fehler. Es ist das Ergebnis eines europäischen regulatorischen Rahmens, der Ausnahmen vorsieht, kombiniert mit einem betrugserkennenden System, das spezifisch für die Plattform ist. Die Sicherheit der Zahlung beruht auf der gesamten Kette, von der ausstellenden Bank bis zu den Algorithmen von Amazon, und nicht nur auf einem per SMS erhaltenen Code.