GH GambleHub

NFC und kontaktlose Limits

1) Grundbegriffe von NFC/EMV

NFC (contactless) am POS ist eine EMVCo-Zahlung über einen Funkkanal (Visa payWave, Mastercard PayPass usw.) mit einem einmaligen Kryptogramm und CVM (Cardholder Verification Method).
Der CVM bestimmt, ob und welche Inhaberüberprüfung erforderlich ist: Kein CVM, Offline-PIN, Online-PIN, CDCVM (Consumer Device CVM - Biometric/Device Pin in Apple/Google/Samsung Pay).
DPAN/Network Token: Wallets (Apple/Google Pay) verwenden ein Token anstelle einer PAN.
Terminal risk-engine: floor limit, offline risk rules, CAPK keys, TAC/IAC (Terminal/Application Action Codes).

2) Woher das „kontaktlose Limit ohne PIN“ kommt

Das lokale Ökosystem legt einen „No CVM-Schwellenwert“ fest (der Betrag, bis zu dem ein Terminal eine Transaktion ohne PIN/Signatur durchführen kann), um kleinere Käufe zu beschleunigen. In der Praxis setzt sich die Grenze zusammen aus:

1. Kartenschema (Visa/MC/et al.) - Legt CVM-Regeln und Kernkompatibilität fest.

2. Regulierungsbehörde/Markt - kann den No-CVM-Betrag begrenzen (z. B. in der EU, im Vereinigten Königreich usw. - eigene Schwellenwerte).

3. Die terminalen Parameter sind config des Kernels (CVM Limit, Floor Limit, Velocity/Cumulative counters).

4. Emittent/Karte - Risikoprofile, Off-Services, Counters (Anzahl der Transaktionen in Folge ohne SCA und/oder Summenschwelle).

Wichtig: Das Limit gilt für keine CVM-Transaktionen auf der physischen Karte. Sobald CDCVM angewendet wird, ist es bereits „mit starker Authentifizierung“ und der No-CVM-Schwellenwert ist nicht relevant.

3) Warum Apple/Google Pay oft „ohne Limit“ ist

CDCVM = Biometrie/Gerätepin, bestätigt auf dem Telefon/der Uhr. Dies entspricht der SCA und gilt als vollständige Überprüfung des Inhabers.
Bei Transaktionen mit CDCVM erhält das Terminal das Zeichen, dass der CVM ausgeführt wurde, so dass die Summenbeschränkungen des No-CVM nicht gelten (die Zahlung ist für einen beliebigen Betrag möglich, wenn der Emittent zustimmt).
Ausnahmen: Terminal/Core unterstützt kein CDCVM, Wallet deaktiviert Biometrie, Transit/Offline-Szenarien, lokale Regulierungsregeln.

4) Offline-Limits und kumulative Counts

Floor Limit - die Schwelle, bis zu der das Terminal theoretisch die Offline-Autorisierung zulassen kann (in kontaktlosen Kontakten häufiger Null, aber die Einstellungen hängen ab).
Cumulative/Velocity counters - Anzahl aufeinanderfolgender Operationen ohne SCA oder deren Gesamtbetrag. Nach Erschöpfung verlangt das Terminal/der Emittent eine PIN/online.
Offline-PIN in contactless wird nicht von allen Karten/Terminals unterstützt; häufiger online gehen und eine Online-PIN anfordern.

5) Regulatorischer Rahmen (Benchmarks)

PSD2/SCA (EWR): Kontakt- und kontaktlose Operationen ohne SCA sind mit Schwellenwerten zulässig (z. B. bis zu ~ €50 auf einmal und insgesamt bis zu ~ €150/oder N aufeinander folgende Operationen - Benchmarks; die genauen Werte hängen von der lokalen Implementierung der Bank/des Marktes ab). Überschreitung der → erforderlich SCA (PIN/CDCVM).
UK/andere Märkte: eigene No-CVM-Grenzwerte (historisch erhöht).
Transit/Open-Loop (U-Bahnen, Busse): spezielle Transporteinstellungen - kein CVM bei hohem Durchsatz, Offline-Risikomechanismen und anschließende Post-Autorisierung/Aggregation erlaubt. „Ungewöhnliche“ Zustände und späte Denails sind möglich.

💡 Fazit: Die Regeln variieren je nach Markt und die Banken können noch strengere Schwellenwerte anwenden.

6) Typische CVM-Fallherden

Physische Karte, Kauf unterhalb der No-CVM-Schwelle: schnelles Tap, keine PIN.
Physische Karte, oberhalb der No-CVM-Schwelle: Das Terminal fordert eine PIN/Unterschrift an oder übersetzt in contact/online.
Apple/Google Pay (CDCVM): Biometrie ist erfüllt - das Limit ist tatsächlich „aufgehoben“, aber der Emittent kann immer noch nach seinen eigenen Regeln/Risiken ablehnen.
Wearables: in der Regel CDCVM über PIN-Geräte beim „Entsperren“ und dauerhaften Tragen; Nach dem Entfernen des Geräts ist eine erneute PIN erforderlich.

7) Risiken und Betrugsbekämpfung

No-CVM-Verlust/Diebstahl der Karte: Emittenten entschädigen, aber halten counters/velocity, um den Schaden zu begrenzen.
Offline-Terminal-Lösungen: erhöhen die UX, bergen aber das Risiko eines „späten“ Ausfalls bei der anschließenden Online-Überprüfung.
CDCVM reduziert das Risiko (SCA), erhöht die Approve Rate, schließt jedoch Emittenten/regulatorische Sperren durch MCC/Geo/Scoring nicht aus.

8) UX-Muster an der Kasse

Status anzeigen: „Karte/Telefon ablegen“, „Auf Gerät bestätigen“, „PIN eingeben“.
Wenn decline über dem Schwellenwert liegt, schlagen Sie vor: „Mit PIN wiederholen“ oder „Mit Wallet bezahlen (Apple/Google Pay)“.
Im Transit gibt es klare Texte „Tap in/Tap out“, „Card clash“ (mehrere Karten/Wallets gleichzeitig).

9) Terminal Setup Checkliste (Acquirer/Merchant)

1. Kernel: aktuelle EMV kontaktlose Kernel, CAPK, Schaltungsparameter (Visa/MC/...); regelmäßige Updates.
2. CVM Limit/Floor Limit/Velocity: Abstimmung mit der Bank und den lokalen Regeln; CDCVM-Unterstützung aktivieren.
3. Online-Präferenz: für hohes Risiko - erzwungenes Online; für den Transit das Profil transport.
4. Vollbeck-Logik: Bei Überschreitung der Schwelle → eine PIN-Anfrage/Unterschrift/Kontakt-Insert.
5. Protokolle/Telemetrie: Grund für PIN-Anforderung (No-CVM exceeded/counters), CDCVM-Anteil, Offline-Lösungen, Annahmequote.
6. UX: verständliche Prompts auf dem Display; für Geldbörsen - Hinweis „Bestätigen Sie auf Ihrem iPhone/Uhr/Android“.
7. Testfälle: Beträge unter/über dem Schwellenwert, N in Folge Tap ohne PIN (Trigger Counters), CDCVM-Zahlung, Offline-Fenster, Transit-Profil.

10) Merkmale der Vertikalen

Transit/Ticketing: Prioritätsgeschwindigkeit, Null/minimale UI; oft getrennte Post-Clearing-Tarife/-Verfahren.
Hotels/Vermietungen: Prepautorisierungen und inkrementelle Capchuren sind besser in Kontakt/online mit SCA zu halten; ein kontaktloses „Tap-and-Go“ ist erst bei der Endabrechnung angebracht.
iGaming/Quasi-Cache: Offline selten relevant; bei MCC-Risiko können Emittenten auch bei CDCVM selektiv ablehnen.

11) KPIs und betriebliche Kennzahlen

Zustimmungsrate durch Schnitte: Karte vs Geldbörsen (CDCVM), unter/über No-CVM, Offline-Lösungen.
Der CDCVM-Anteil und sein Beitrag zur Konversion.
PIN-Prompts Rate (wie viele Transaktionen die PIN erforderte) und Auswirkungen auf die Servicegeschwindigkeit.
Late declines (nach Offline-Auflösungen), Chargeback-Rate für No-CVM.
Transit KPIs: throughput (taps/min), tap-on/tap-off match, revenue protection.

12) Schnelle Antworten für Saport/Operationen

„Warum keine PIN für einen großen Betrag?“ - CDCVM wird in der Brieftasche durchgeführt; Das ist SCA.
„Warum hast du nach einer PIN für einen kleinen Betrag gefragt?“ - Counters ausgelöst haben oder das Terminal SCA gemäß den Regeln gefordert hat.
„Warum hat das Telefon nicht funktioniert?“ - Terminal/Core unterstützt kein CDCVM, Wallet gesperrt, kein Netzwerk für Online, Kartenkonflikt (Kartenkollash).

13) Zusammenfassung/praktische Schlussfolgerungen

Das No-CVM-Limit ist der Schwellenwert nur für Transaktionen ohne Inhaberüberprüfung. bei CDCVM gilt sie nicht.
Konfigurieren Sie CDCVM-fähige Terminals, aktualisieren Sie Kernel und Parameter (CVM/Floor/Velocity).
Berücksichtigen Sie lokale Regulierungsschwellen und Schaltungsregeln; halten Sie verschiedene Profile (Einzelhandel vs Transit).
Überwachen Sie approve rate/CDCVM-share/PIN-prompts und reduzieren Sie Offline-Risiken.
Machen Sie in der Kommunikation und UI die Gründe für PIN-Anfragen transparent und schlagen Sie Wallets vor, um SCA ohne „Limit“ zu durchlaufen.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.