Was bedeutet starke Kundenauthentifizierung?
Starke Kundenauthentifizierung, auch „2-Faktor-Authentifizierung“, bedeutet eine Überprüfung der Identität zahlender Personen mindestens anhand zweier von drei Faktoren. Diese sind:
- Wissen: etwas, das nur der Nutzer oder die Nutzerin weiß, zum Beispiel ein Passwort
- Besitz: etwas, das nur der Nutzer oder die Nutzerin hat, zum Beispiel eine Karte, die mittels Kartenlesegerät eingelesen wird, oder ein Handy, auf dem ein TAN Code empfangen wird
- Inhärenz: etwas, das nur der Nutzer oder die Nutzerin ist, zum Beispiel Fingerabdruck oder Gesichtsscan
Durch starke Kundenauthentifizierung sollen Betrugsfälle minimiert und der Zahlungsverkehr sicherer werden.
Für welche Bereiche gilt die starke Kundenauthentifizierung?
Die starke Kundenauthentifizierung gilt für verschiedene Bereiche im Zahlungsverkehr, zum Beispiel für den online-Zugriff auf ein Zahlungskonto, für elektronische Überweisungen, für Kartenzahlungen im E-Commerce-Bereich – also im Online-Handel – und auch für Zahlungen am Point of Sale, also im Geschäft.
Ab wann gelten die Anforderungen der starken Kundenauthentifizierung?
Grundsätzlich traten die neuen Regelungen zur starken Kundenauthentifizierung am 14.9.2019 in Kraft, mit einer Ausnahme: Die Europäische Bankenregulierungsbehörde (EBA ) gab den nationalen Aufsichtsbehörden die Möglichkeit, die Frist für die Umsetzung im E-Commerce-Bereich bis zum 31.12.2020 zu verlängern, um betroffenen Dienstleistern, unter anderem Zahlungsdienstleistern sowie Handelsunternehmen, mehr Zeit für technische Umstellungen zu geben. Zur Unterstützung eines reibungslos funktionierenden Zahlungsverkehrs nahm die FMA diese aufsichtliche Nachsicht in Anspruch. Seit dem 01.01.2021 sind die Regelungen zur starken Kundenauthentifizierung auch im e-Commerce-Bereich in Kraft; die Zeit bis zum 15.03.2021 wurde als erweiterte Testphase angesehen. Spätestens ab diesem Zeitpunkt hat nunmehr für alle Bereiche eine starke Kundenauthentifizierung zu erfolgen, sollte keine gesetzliche Ausnahme anwendbar sein.
Was ändert sich für Konsumenten durch die Einführung der starken Kundenauthentifizierung?
Kontoberechtigte müssen sich beim Zugriff auf ihr Konto, bei der Auslösung von Zahlungen oder bei anderen Handlungen über einen Fernzugang, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch bergen, anhand von zwei Faktoren identifizieren. Das heißt beispielsweise:
- Auf ein online Konto kann zum Beispiel mit Passwort und Fingerprint zugegriffen werden, somit sind die Faktoren Wissen (Passwort) und Inhärenz (Fingerprint) erfüllt.
- Eine Kartenzahlung im E-Commerce-Bereich (Online-Handel) kann zum Beispiel mit Passwort und einem Code der am Handy empfangen wird, durchgeführt werden, somit sind die Faktoren Wissen (Passwort) und Besitz (Handy) erfüllt.
- Eine Kartenzahlung im Geschäft kann zum Beispiel mit Karte und PIN durchgeführt werden, somit sind die Faktoren Besitz (Karte) und Wissen (PIN) erfüllt. Eine Ausnahme sind hier etwa kontaktlose Zahlungen an der Verkaufsstelle bei Kleinbetragszahlungen bis zu 30 Euro.
Was ändert sich für Gewerbetreibende?
Gewerbetreibende müssen entsprechende Anpassungen bei der Zahlungsabwicklung vornehmen. Konkret bedeutet dies, dass die Durchführung einer starken Kundenauthentifizierung durch die verwendete Hard- und Software gewährleistet sein muss.
Was ändert sich bei Bestellungen im EU-Ausland?
Bei Zahlungen für Bestellungen von Händlern, die Zahlungsdienstleister außerhalb des Europäischen Wirtschaftsraumes (EWR) verwenden handelt es sich um sogenannte „one-leg out“-Transaktionen. Der Zahlungsdienstleister unterliegt in diesem Fall nicht der Zahlungsdienstrichtlinie (PSD2), weshalb eine starke Kundenauthentifizierung bei kartenbasierten Zahlungen am Point of Sale (POS) oder im e-Commerce nicht verpflichtend sind. Im Falle von Überweisungen in Länder, die nicht dem EWR angehören, ist eine starke Kundenauthentifizierung jedoch zwingend erforderlich, da diese Transaktion direkt beim Zahlungsdienstleister des Zahlers initiiert wird.