Seit September 2019 gibt es neue An­for­de­run­gen zur Au­then­ti­fi­zie­rung von On­line­zah­lun­gen in der Eu­ro­päi­schen Union (EU) und weiteren Staaten des Eu­ro­päi­schen Wirt­schafts­raums (EWR). Sie sind Teil der zweiten Zah­lungs­dienst­richt­li­nie, die offiziell auch als PSD2 (Payment Services Directive 2) bekannt ist. Die Umsetzung aller An­for­de­run­gen wird vor­aus­sicht­lich noch bis ins Jahr 2021 hinein dauern.

Ein wichtiger Be­stand­teil der zweiten, wichtigen EU-Richt­li­nie für den Zah­lungs­ver­kehr ist die Strong Customer Au­then­ti­ca­ti­on – oder kurz SCA (oft auch „PSD2 SCA“ genannt). Dieser Artikel be­leuch­tet die An­for­de­run­gen der „starken Kun­den­au­then­ti­fi­zie­rung” genauer, denn dahinter steckt eine ganze Reihe von ge­setz­li­chen An­for­de­run­gen, die allesamt den Zweck haben, das Bezahlen im Internet sicherer zu machen.

Was ist SCA und was bedeutet SCA für zu­künf­ti­ge Zahlungen? Welche Zahlungen sind überhaupt von der Regelung betroffen, welche Ausnahmen gibt es und wie kann der Be­zahl­vor­gang optimiert werden? Diesen Fragen widmen sich die kommenden Absätze.

Was ist SCA (Strong Customer Au­then­ti­ca­ti­on)?

Was ist SCA und was bedeutet SCA für zu­künf­ti­ge Zahlungen? Kurz gesagt: Strong Customer Au­then­ti­ca­ti­on ist Teil einer neuen EU-Richt­li­nie, die On­line­zah­lun­gen sicherer machen soll, indem sie Be­trugs­mög­lich­kei­ten auf ein Minimum reduziert. Ihre ent­schei­den­de Neuerung ist ein zu­sätz­li­cher Au­then­ti­fi­zie­rungs­schritt, der der ei­gent­li­chen Zahlung vor­an­steht.

Gemäß der PSD2-SCA-Richt­li­nie werden On­line­zah­lun­gen nur noch dann au­then­ti­fi­ziert, wenn zwei der folgenden drei Schritte erfüllt sind:

  1. Wissen: Der User gibt ein Passwort oder einen PIN an, das bzw. der nur ihm selbst bekannt ist.
  2. Besitz: Der User benutzt für die Eingabe ein Desktop-Endgerät, ein Smart­phone, eine Smart­watch oder Smartcard, eine Chip-Karte oder einen Hardware-Token, das bzw. die sich in seinem Besitz befindet.
  3. Inhärenz: Der User gibt sich via Fin­ger­ab­druck, Gesichts-Scan, Stimm­erken­nung, Iris-Format o.Ä. zu erkennen.
Hinweis

Eine aus­führ­li­che Liste darüber, welche Elemente konform mit den drei Au­then­ti­fi­zie­rungs­schrit­ten sind, hat die Eu­ro­päi­sche Ban­ken­auf­sichts­be­hör­de (EBA) in einer Stel­lung­nah­me als .docx zu­sam­men­ge­fasst.

Strong Customer Au­then­ti­ca­ti­on be­schreibt also eine so­ge­nann­te Zwei-Faktor-Au­then­ti­fi­zie­rung, die gleich doppelt si­cher­ge­stellt, dass der User wirklich der ist, der er behauptet zu sein.

Das Prinzip ist aus vielen On­line­be­rei­chen schon lange nicht mehr weg­zu­den­ken, bei On­line­trans­ak­tio­nen war diese zu­sätz­li­che Si­cher­heits­ebe­ne bislang aber nicht bindend. Bei diesen war es in der Regel möglich, dass Kunden beim Kauf einfach ihre Zah­lungs­da­ten eingeben und damit den Kauf ab­schlie­ßen. Einige Un­ter­neh­men haben eine weitere Au­then­ti­fi­zie­rung zwar schon seit längerem ein­ge­führt, durch PSD2 SCA wird dieser zu­sätz­li­che Schritt aber erst jetzt für alle Anbieter ver­pflich­tend.

Wann und warum wurde PSD2 SCA ein­ge­führt?

Die zweite EU-Zah­lungs­ver­kehrs­richt­li­nie wurde bereits am 14. September 2019 ein­ge­führt. Es gilt jedoch noch eine Frist bis 2021, zu er alle An­for­de­run­gen voll­stän­dig um­zu­set­zen sind. Die Ge­schich­te der Strong Customer Au­then­ti­ca­ti­on geht aber noch weiter zurück.

Die EU-Richt­li­nie baut auf drei Schlüs­sel­be­rei­che einer Ge­setz­ge­bung von 2007 auf. Damals – wie heute – ging es der Eu­ro­päi­schen Union um folgende Punkte:

  1. Die Ver­brau­cher­rech­te im Zah­lungs­ver­kehr zu stärken.
  2. Gleiche Wett­be­werbs­be­din­gun­gen durch die Regelung des Zugangs Dritter zu Kon­to­in­for­ma­tio­nen zu schaffen.
  3. Die Si­cher­heit für alle Seiten zu ver­bes­sern.

Umgesetzt wurden diese Aspekte in der ersten Ausgabe der Payment Service Directive (PSD). Seit ihrer Ein­füh­rung ent­wi­ckel­ten sich die tech­no­lo­gi­schen Fort­schrit­te beim Zah­lungs­ver­kehr aber in einem ge­wal­ti­gen Tempo weiter: So wuchs auch die Anzahl von On­line­be­zahl­diens­ten und Third-Party-Providers, kurz TPPs, was Käufern gänzlich neue Mög­lich­kei­ten eröffnete, leicht und schnell zu bezahlen. Und auf der anderen Seite Ver­käu­fern er­mög­lich­te, auf Kon­to­in­for­ma­tio­nen von Kunden zu­zu­grei­fen.

Der Zugang zu Ver­brau­cher­kon­ten lag damit aber quasi offen, was wiederum zu einem erhöhten Si­cher­heits­ri­si­ko führte. Die Reaktion folgte schnell in Form von klaren Gesetzen, die regeln, auf welche Weise TPPs und Zah­lungs­dienst­leis­ter Zugänge zu den Kun­den­kon­ten bekommen können.

Strong Customer Au­then­ti­ca­ti­on ist nun der nächste Schritt, um den Betrug bei On­line­trans­ak­tio­nen zu re­du­zie­ren. Als eine EU-weite Ver­pflich­tung soll die Technik bei jeder durch­ge­führ­ten Fi­nanz­trans­ak­ti­on zum Einsatz kommen. Sobald der Zah­lungs­dienst­leis­ter des Un­ter­neh­mens bzw. die Bank oder der Kar­ten­an­bie­ter des Auf­trag­ge­bers seinen Sitz im Eu­ro­päi­schen Wirt­schafts­raum (EWR) hat, greift das Gesetz. Auch bei Online-Un­ter­neh­men, die ihren Hauptsitz außerhalb Europas haben, können Trans­ak­tio­nen also noch der Strong Customer Au­then­ti­ca­ti­on un­ter­lie­gen, sofern die Zahlung bei­spiels­wei­se über eine Bank aus dem Eu­ro­päi­schen Wirt­schafts­raum erfolgt.

Ein eu­ro­päi­sches Gesetz, das letztlich auch Anbieter betrifft, die außerhalb des EWRs sitzen: Aus diesem Grund sind die neuen An­for­de­run­gen zur Au­then­ti­fi­zie­rung von On­line­zah­lun­gen in ihrer Umsetzung so komplex. Zah­lungs­dienst­leis­ter haben deshalb bereits mehrfach um Aufschub bei der Umsetzung von PSD2 SCA gebeten und auch ein konkreter, ver­bind­li­cher Stichtag ist bis heute noch nicht fest­ge­legt worden.

Was ist die Technik hinter SCA?

3D Secure ist das meist­ge­nutz­te Au­then­ti­fi­zie­rungs­pro­to­koll bei On­line­zah­lun­gen. Es wird von den al­ler­meis­ten eu­ro­päi­schen Debit- und Kre­dit­kar­ten un­ter­stützt und deshalb auch am häu­figs­ten verwendet. Un­mit­tel­bar vor dem Abschluss des Be­zahl­vor­gang wird ein weiterer Schritt vom Kar­ten­in­ha­ber ein­ge­for­dert, bei dem es zu­sätz­li­che In­for­ma­tio­nen zu über­mit­teln gilt. Das kann zum Beispiel die Eingabe einer Handy-TAN oder ein Fin­ger­ab­druck über die Banking-App sein.

Für Strong Customer Au­then­ti­ca­ti­on kommt die neue Version 3D Secure 2 zum Einsatz, was das Au­then­ti­fi­zie­rungs­pro­to­koll ganz offiziell zur Haupt­me­tho­de für die Au­then­ti­fi­zie­rung von On­line­kar­ten­zah­lun­gen macht. Die Ver­bes­se­run­gen der neuen Version dienen vor allem der User Ex­pe­ri­ence. On­line­be­zah­lun­gen sind so trotz der weiteren Au­then­ti­fi­zie­rungs­schrit­te ganz einfach und schnell durch­führ­bar.

Wer bereits mit Apple Pay oder Google Pay bezahlt, nutzt bereits eine Mög­lich­keit zur On­line­be­zah­lung mit in­te­grier­tem Au­then­ti­fi­zie­rungs­schritt. Beide Anbieter haben bereits bio­me­tri­sche und pass­wort­ge­schütz­te Schritte im­ple­men­tiert, trotzdem ist der Be­zahl­vor­gang für Kunden nahtlos durch­führ­bar – ein Mus­ter­bei­spiel für die Technik hinter PSD2 SCA.

Für welche Trans­ak­tio­nen ist Strong Customer Au­then­ti­ca­ti­on notwendig?

PSD2 SCA hat immer dann Gül­tig­keit, wenn ein Kunde im Eu­ro­päi­schen Wirt­schafts­raum Geld überweist oder auf sein Konto zugreifen will. Strong Customer Au­then­ti­ca­ti­on ist daher immer dann ver­pflich­tend, wenn:

  • ein Kunde online auf sein Konto zugreift.
  • ein Kunde einen elek­tro­ni­schen Zah­lungs­vor­gang be­auf­tragt.
  • ein Kunde bei einer Online-Trans­ak­ti­on einem Risiko von Zah­lungs­be­trug aus­ge­setzt ist.

Wie bei jedem Gesetz gibt es auch bei der PSD2-SCA-Regelung po­ten­zi­el­le Ausnahmen wie zum Beispiel eine Abo-Zahlung. Hier soll die starke Au­then­ti­fi­zie­rung lediglich bei der Ein­wil­li­gung eines Abon­ne­ments erfolgen, während der Laufzeit jedoch nicht mehr. Weitere mögliche Ausnahmen sind Zahlungen mit einem geringen Risiko, bei der eine starke Kun­den­au­then­ti­fi­zie­rung nicht notwendig ist oder sogar störend sein kann.

Wie bei jedem Gesetz gibt es auch bei der PSD2-SCA-Regelung po­ten­zi­el­le Ausnahmen wie zum Beispiel eine Abo-Zahlung. Hier soll die starke Au­then­ti­fi­zie­rung lediglich bei der Ein­wil­li­gung eines Abon­ne­ments erfolgen, während der Laufzeit jedoch nicht mehr. Weitere mögliche Ausnahmen sind Zahlungen mit einem geringen Risiko, bei der eine starke Kun­den­au­then­ti­fi­zie­rung nicht notwendig ist oder sogar störend sein kann.

Hinweis

Nicht jede Bank kann ohne weiteres zu­sätz­li­che Au­then­ti­fi­zie­rungs­schrit­te in ihre Abläufe in­te­grie­ren. Wenn sie Si­cher­heit und Ri­si­ko­mi­ni­mie­rung anders und nach­weis­bar ge­währ­leis­ten können, sind auch hier Ausnahmen denkbar.

Es exis­tie­ren außerdem Schwel­len­wer­te bei geringen Über­wei­sungs­be­trä­gen: So gelten Trans­ak­tio­nen mit einem Wert bis zu 30 Euro als Zahlungen von „geringem Wert”, die grund­sätz­lich von PSD2 SCA befreit sein können. Um hier nicht eine Häufung kleinerer Be­trü­ge­rei­en zu er­mög­li­chen, gibt es al­ler­dings schon heute klare Re­ge­lun­gen für Beträge mit geringem Wert:

  1. Banken müssen auch bei Aus­nah­me­re­ge­lun­gen für eine Karte eine Strong Customer Au­then­ti­ca­ti­on durch­füh­ren, wenn diese im Vorfeld bereits fünf Mal ohne eine neue Au­then­ti­fi­zie­rung genutzt wurde.
  2. Über­steigt die Summe der Ausnahme-Trans­ak­tio­nen über 100 Euro, greift bei der nächsten Trans­ak­ti­on die PSD2 SCA un­ab­hän­gig von der Höhe der Trans­ak­ti­on.

Gerade für kleinere Online-Un­ter­neh­men werden die Aus­nah­me­re­ge­lun­gen sehr nützlich sein. Es muss aber bedacht werden, dass am Ende die Bank des Kunden darüber ent­schei­det, ob diese Ausnahmen genehmigt werden oder nicht. Damit man keine Kunden verliert, ist es ratsam, mehrere Mög­lich­kei­ten der Zahlung an­zu­bie­ten, die bereits heute PSD2-SCA-konform sind.

Zum Hauptmenü