EU-Zahlungsdiensterichtlinie PSD2

Am 14.09.2019 traten die neuen technischen Regulierungsstandards der Zahlungsdiensterichtlinie PSD2 (Payment Service Directive 2) in Kraft. Diese wurden von der Europäischen Bankenaufsicht definiert und alle europäischen Onlinehändler sind verpflichtet, für eine verbesserte Kundenauthentifizierung beim Online-Einkauf zu sorgen.

Im Detail bedeutet dies für alle europäischen Onlinehändler: Alle Kreditkarten-Zahlungstransaktionen müssen „stark“ sein und zweifach überprüfen, ob der Käufer tatsächlich der Karteninhaber ist. Dieses Verfahren wird 2-Faktor-Authentifizierung (Bestätigung in zwei Schritten) genannt.

Die Anforderungen an die starke Kundenauthentifizierung (kurz: Strong-Customer-Authentificaion, SCA) sollen die Sicherheit der elektronischen Zahlungen erhöhen und so vor Betrug beim Online-Einkauf schützen. Aufgrund der Zahlungsdiensterichtlinie (PSD2) setzen Banken für die 2-Faktor-Authentifizierung ab September 2019 das 3-D Secure-Verfahren bei Kreditkartenzahlungen ein.

Was ist 3-D Secure?

Das 3-D Secure-Verfahren soll Kreditkartenzahlungen ab dem 14. September 2019 beim Online-Einkauf durch umfangreiche Sicherheitsmaßnahmen besser vor Betrug schützen. Dafür verwendet 3-D Secure eindeutige Identifikationsmerkmale, um sicherzugehen, dass die Zahlung auch wirklich durch den rechtmäßigen Karteninhaber bestätigt wird.

Zusätzlich zur Kartennummer und dem Sicherheitscode, muss zukünftig ein weiteres Merkmal, zum Beispiel ein Passwort, ein Fingerabdruck oder Face-ID (Gesichtserkennung), abgefragt werden. Dafür werden Verbraucher direkt zu Ihrem Kreditkarteninstitut weitergeleitet und geben die Zahlung durch die Eingabe des zusätzlichen Sicherheitsmerkmals frei, ähnlich der Bestätigung in zwei Schritten (2-Faktor-Authentifizierung) für den Login-Vorgang.

Für Verbraucher bietet 3-D Secure ein angenehmeres und sichereres Kauferlebnis. So einfach läuft die Kreditkartenzahlung für Online-Einkäufe ab:

• Der Kunde gibt seine Kreditkarteninformationen (Kartennummer + Sicherheitscode) beim Händler auf der Website ein.
• Der Händler leitet den Kunden auf die Seite des Kreditkarteninstituts weiter und der Kunden gibt das dort das zusätzliche Sicherheitsmerkmal ein. Zum Beispiel: Passwort, PIN, TAN oder biometrische Daten (Fingerabdruck, Gesichtserkennung).
• Die Zahlung wird freigegeben und die Bestellung abgeschlossen.

Was bedeutet starke Kundenauthentifizierung?

Bei einer starken Authentifizierung wird die Identität durch zwei Faktoren nachgewiesen. Diese Faktoren sind in Kategorien eingeteilt. Grundsätzlich gilt: Eine starke Authentifizierung muss immer mit 2 Faktoren aus unterschiedlichen Kategorien vorgenommen werden.

Die derzeit üblichen Kategorien sind:

• Wissen: Dazu zählen Passwörter oder eine PIN
• Besitz: Beispielsweise eine Kreditkarte oder ein Smartphone
• Inhärenz (Eigenschaften oder Verhalten): Dazu gehören Fingerabdrücke, Gesichtserkennung oder Bewegungen bzw. Bewegungsmuster

Beispiel: Das früher oft verwendete Verfahren die Kreditkartennummer mit dem Sicherheitscode auf der Rückseite der Karte abzusichern, entspricht nicht der Vorgabe der starken Authentifizierung. Denn sowohl Kreditkartennummer als auch Prüfziffer zählen zur Kategorie Besitz. Die Folge ist: Zusätzlich zur Kreditkartennummer muss nun zusätzlich ein Passwort, eine PIN oder TAN bzw. ein Fingerabdruck verwendet werden, da diese Faktoren in der Kategorie Wissen bzw. Inhärenz stehen.

Die Zwei-Faktor-Authentifizierung ist kein neues Verfahren an sich. Neu ist, dass der Einsatz im Zuge der Neuregelung erstmals bei allen elektronischen Zahlungen verpflichtend ist.

Gibt es Ausnahmen?

Ja, in der Zahlungsdiensterichtlinie sind einige Ausnahmen festgelegt, bei denen beispielsweise für kleinere Beträge geringere Anforderungen an die Sicherheit gestellt werden. Ob eine Ausnahme zulässig ist oder nicht entscheidet das Kreditkarteninstitut.