Sprache umschalten / Switch language

Informationen zur starken Kundenauthentifizierung

Veröffentlichungsdatum:

Was bedeutet starke Kundenauthentifizierung?

Starke Kundenauthentifizierung, auch „2-Faktor-Authentifizierung“, bedeutet eine Überprüfung der Identität zahlender Personen mindestens anhand zweier von drei Faktoren. Diese sind:

  • Wissen: etwas, das nur der Nutzer oder die Nutzerin weiß, zum Beispiel ein Passwort
  • Besitz: etwas, das nur der Nutzer oder die Nutzerin hat, zum Beispiel eine Karte, die mittels Kartenlesegerät eingelesen wird, oder ein Handy, auf dem ein TAN Code empfangen wird
  • Inhärenz: etwas, das nur der Nutzer oder die Nutzerin ist, zum Beispiel Fingerabdruck oder Gesichtsscan

Durch starke Kundenauthentifizierung sollen Betrugsfälle minimiert und der Zahlungsverkehr sicherer werden.

Für welche Bereiche gilt die starke Kundenauthentifizierung?

Die starke Kundenauthentifizierung gilt für verschiedene Bereiche im Zahlungsverkehr, zum Beispiel für den online-Zugriff auf ein Zahlungskonto, für elektronische Überweisungen, für Kartenzahlungen im E-Commerce-Bereich – also im Online-Handel – und auch für Zahlungen am Point of Sale, also im Geschäft.

Ab wann wird die starke Kundenauthentifizierung eingeführt?

Grundsätzlich treten die neuen Regelungen zur starken Kundenauthentifizierung am 14.9.2019 in Kraft, mit einer Ausnahme: Die Europäische Bankenregulierungsbehörde (EBA) hat den nationalen Aufsichtsbehörden die Möglichkeit gegeben, die Frist für die Umsetzung im E-Commerce-Bereich zu verlängern, um betroffenen Dienstleistern, unter anderem Zahlungsdienstleistern sowie Handelsunternehmen, mehr Zeit für technische Umstellungen zu geben. Die FMA wird von dieser Möglichkeit Gebrauch machen. Die neue Frist wird Ende September feststehen und anschließend unverzüglich an die betroffenen Dienstleister kommuniziert werden.

Warum wird nur die Frist für den E-Commerce-Bereich (Online-Handel) verschoben?

Bei Kartenzahlungen im E-Commerce-Bereich (Online-Handel) wird die Frist verlängert, da hier einige derzeit gängige Bezahllösungen nicht konform mit den neuen Regelungen sind und die Zahlungsdienstleister bzw. Handelsunternehmen noch mehr Zeit für die technische Umstellung auf die starke Kundenauthentifizierung benötigen.

Denken Sie etwa an Zahlungen im Internet, welche durchgeführt werden, indem sie lediglich die Kreditkartendetails einzugeben haben (z.B. bei Hotelbuchungen). Hier ist zwar der Faktor Besitz durch den am Handy empfangenen Code erfüllt, doch es fehlt ein zweiter Faktor, da die Kreditkartendetails nicht geheim, sondern für jedermann ersichtlich auf der Karte abgedruckt sind. Es wird derzeit seitens der Kreditwirtschaft intensiv an einer Umstellung gearbeitet.

Andere Bereiche erfüllen in Österreich aber bereits jetzt schon die Anforderungen der starken Kundenauthentifizierung. Wenn Sie zum Beispiel in einer Verkaufsstelle mit Karte zahlen, wird eine starke Kundenauthentifizierung (2-Faktor-Authentifizierung) bereits angewendet, indem sie mit Ihrer Karte (Faktor Besitz) und einem PIN Code (Faktor Wissen) bezahlen.

Was ändert sich für Konsumenten?

Sobald Zahlungsdienstleister alle Systeme auf die starke Kundenauthentifizierung umgestellt haben, müssen sich zahlende Personen anhand von zwei Faktoren identifizieren. Das heißt beispielsweise:

  • Auf ein online Konto kann zum Beispiel mit Passwort und Fingerprint zugegriffen werden, somit sind die Faktoren Wissen (Passwort) und Inhärenz (Fingerprint) erfüllt.
  • Eine Kartenzahlung im E-Commerce-Bereich (Online-Handel) kann zum Beispiel mit Passwort und einem Code der am Handy empfangen wird, durchgeführt werden, somit sind die Faktoren Wissen (Passwort) und Besitz (Handy) erfüllt.
  • Eine Kartenzahlung im Geschäft kann zum Beispiel mit Karte und PIN durchgeführt werden, somit sind die Faktoren Besitz (Karte) und Wissen (PIN) erfüllt. Eine Ausnahme sind hier etwa kontaktlose Zahlungen an der Verkaufsstelle bei Kleinbetragszahlungen bis zu 30 Euro.

Was ändert sich für Gewerbetreibende?

Gewerbetreibende müssen entsprechende Anpassungen bei der Zahlungsabwicklung vornehmen. Sollten etwa veraltete Geräte oder Software im Einsatz sein, so könnte es sein, dass in Zukunft Zahlungen abgelehnt werden.

Was ändert sich bei Bestellungen im EU-Ausland?

Da es sich bei den neuen Regelungen um europäische Standards handelt, wird auch eine einheitliche Umsetzung erfolgen. Es wird derzeit für den gesamten EWR-Markt ein gemeinsamer Umsetzungsplan für eine endgültige Implementierung der starken Kundenauthentifizierung ausgearbeitet. Durch eine einheitliche und gleichzeitige Umsetzung wird sichergestellt, dass es zu reibungslosen Abläufen im Zahlungsverkehr kommt.