PSD2: Starke Kundenauthentifizierung und ihre Folgen

Seit dem 13. Januar 2018 gilt bereits die zweite EU-Zahlungsdienste-Richtlinie (Payment Services Directive 2 – PSD2). Sie verpflichtet Banken, durch die Einrichtung von Schnittstellen, Nichtbanken Zugriff auf Kontodaten ihrer Kunden zu ermöglichen. Wenn der Kunde dies möchte und aktiv einwilligt, können durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zertifizierte Drittanbieter auf Grundlage der PSD2 Kontoinformationen abfragen oder Zahlungen auslösen. Ziel der PSD2 ist die Förderung von Wettbewerb bei Zahlungsdienstleistungen. Bis zum 14. März 2019 müssen Banken und Zahlungsdienste so genannten Drittanbietern (Third Party Providers) eine Testumgebung (Sandbox) und die dazugehörige technische Dokumentation der Schnittstelle zur Verfügung stellen. Ab 14. September 2019 ist dann der Produktivbetrieb zu realisieren. Zu diesem Zeitpunkt treten darüber hinaus auch die Vorgaben der PSD2 über die Starke Kundenauthentifizierung im elektronischen Zahlungsverkehr in Kraft und haben spürbare Auswirkungen auf Online-Banking-Nutzer.

Wissen, Besitz, Inhärenz

Die Starke Kundenauthentifizierung verlangt eine Authentifizierung, die aus mindestens zwei Elementen besteht. Diese Elemente müssen zwingend aus den drei Kategorien Wissen, Besitz und Inhärenz stammen. Für Wissen steht bspw. ein Passwort, für Besitz das Smartphone oder ein TAN-Generator etc, die die Transaktionsnummer (TAN) zuliefern. Für Inhärenz stehen Elemente, die dem Nutzer persönlich oder körperlich zu eigen sind, wie bspw. sein Fingerabdruck.

Die PSD2 regelt, wann eine starke Kundenauthentifizierung notwendig ist. Sie ist insbesondere beim Auslösen einer elektronischen Zahlung erforderlich, bspw. wenn ein Zahler im Geschäft mit seiner Karte und persönlicher Identifikationsnummer (PIN) bezahlt. Erfolgt die Zahlung mit Karte und Unterschrift, ist auch dies ausreichend.

Neuerungen bei Kartenzahlungen

Auch bei kontaktlosen Kartenzahlungen gibt es verschiedene Anwendungsszenarien. Beträgt der Betrag einer solchen Zahlung 50 Euro oder weniger, ist keine Starke Kundenauthentifizierung von Nöten. Allerdings ist hierbei zu beachten, dass die verwendete Karte lediglich für maximal fünf aufeinanderfolgende kontaktlose Zahlungen bis in Summe von 150,- Euro verwendet werden kann. Anschließend muss zwingend eine Starke Kundenauthentifizierung, bspw. durch zusätzliche Eingabe der PIN erfolgen. Auch das Bezahlen mit Kreditkarte im Internet verändert sich aufgrund der Anforderungen der PSD2. Bisher reicht es meistens aus, die auf der Kreditkarte befindlichen Daten beim Bezahlvorgang einzugeben, so bspw. die Kartennummer, das Ablaufdatum und die Prüfziffer. Diese Elemente erfüllen jedoch nicht die Anforderungen an eine Starke Kundenauthentifizierung hinsichtlich der relevanten Kategorien Besitz, Wissen und Inhärenz. Es ist davon auszugehen, dass es künftig der zusätzlichen Eingabe eines Passwortes bzw. einer PIN bedarf.

Bei künftigen Zahlungen besteht für Zahlungsdienstleister die Möglichkeit einer sogenannten Transaktionsrisikoanalyse, um festzulegen, ob eine Starke Kundenauthentifizierung notwendig ist. Bei der Analyse wird jede eingehende Zahlung automatisch auf mögliche Betrugsszenarien untersucht. Grundlage hierfür können Ähnlichkeiten zu bekannten Betrugsmustern oder ungewöhnliche Abweichungen von bisherigen Verhaltensmustern des Nutzers ein. Besteht ein hohes Betrugsrisiko, kann eine Starke Kundenauthentifizierung verlangt werden. Banken können jedoch festlegen, in welchen Fällen sie die Höchstgrenze risikoarmer Transaktionen, die normalerweise bei 30 Euro liegt, auf maximal 500 Euro anheben. Dies kann bspw. bei bestimmten Online-Shops der Fall sein. In diesem Fall ist eine Starke Kundenauthentifizierung nicht erforderlich.

Zugriff auf Online-Banking-Konto

Beim Zugriff auf das Online-Banking-Konto kommt die Starke Kundenauthentifizierung ebenfalls zum Einsatz. Für das einfache Einloggen dürfte weiterhin eine einfache Authentisierung ausreichen. Hintergrund ist, dass die Delegierte Verordnung, die die Einzelheiten der PSD2 regelt, eine Ausnahme von der Pflicht zur starken Kundenauthentifizierung vorsieht, wenn der Nutzer lediglich seinen Kontostand oder die Umsätze der vergangenen 90 Tag aufrufen möchte. Um möglichen Missbrauch beim Online-Banking vorzubeugen, ist die Starke Kundenauthentifizierung jedoch mindestens alle 90 Tage zwingend erforderlich.

Hier geht es zurück zu allen Veröffentlichungen