Während der Großteil der Bestimmungen dieser Richtlinie – auch bekannt als PSD 2 (Payment Service Directive 2) – bis zum 13. Januar in das nationale Recht umzusetzen waren (siehe BaFinJournal Januar 2018), hat der europäische Gesetzgeber dem Markt in diesem Punkt eine längere Umsetzungsfrist zugestanden. Die Pflicht zur Starken Kundenauthentifizierung soll erst 18 Monate nach Inkrafttreten der Delegierten Verordnung, die Einzelheiten dazu regelt, für die Zahlungsdienstleister verbindlich sein. Da diese am 14. März in Kraft getreten ist, sind die neuen Regeln über die Starke Kundenauthentifizierung ab dem 14. September 2019 anzuwenden. Viele Bankkunden werden die damit verbundenen Änderungen aber schon früher bemerken, weil die Banken bereits jetzt dabei sind, ihre Systeme anzupassen.

Jeder Computer-Nutzer ist damit vertraut, sich auf einem Rechner oder einer Webseite zu authentifizieren, zum Beispiel indem er ein geheimes Passwort eingibt. Die Pflicht zur Starken Kundenauthentifizierung verlangt jedoch eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Ein Beispiel für ein Element aus der Kategorie Wissen ist das bereits erwähnte Passwort. Ein Beispiel für die Kategorie Besitz ist das Mobiltelefon. Der Besitz des Telefons lässt sich zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die mittels einer SMS an das Telefon geschickt wurde. Elemente der Kategorie Inhärenz sind dem Nutzer persönlich beziehungsweise körperlich zu eigen, zum Beispiel sein Fingerabdruck.

Die PSD 2 regelt, wann eine Starke Kundenauthentifizierung erforderlich ist. Dies ist insbesondere der Fall, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst oder wenn er online auf sein Zahlungskonto zugreift. Die Delegierte Verordnung enthält aber Ausnahmetatbestände, bei deren Vorliegen auch in den genannten Situationen keine Starke Kundenauthentifizierung notwendig ist.

Auslösung elektronischer Zahlungen

Ein Fall für die Auslösung einer elektronischen Zahlung ist beispielsweise die Bezahlung mit Karte und persönlicher Identifikationsnummer (PIN) an der Ladenkasse. Keine Auslösung einer elektronischen Zahlung liegt vor, wenn an der Ladenkasse mit Karte und Unterschrift bezahlt wird, und zwar unabhängig davon, ob dies mit der Girocard oder einer Kreditkarte geschieht.

Wenn es sich bei der ausgelösten elektronischen Zahlung um einen Fernzahlungsvorgang handelt, zum Beispiel die Beauftragung einer Überweisung im Online-Banking oder die Zahlung mit Kreditkarte im Internet, ist die Starke Kundenauthentifizierung mit einer sogenannten dynamischen Verknüpfung in Bezug auf Empfänger und Betrag zu erweitern. Was das heißt, lässt sich am besten an einem Beispiel erläutern. Bei der Übersendung einer TAN mittels SMS muss dem Nutzer mitgeteilt werden, für welchen Betrag und Zahlungsempfänger diese TAN gelten soll; jede Änderung der Zahlungsdaten würde die übermittelte TAN ungültig machen. Die bisher noch manchmal verwendeten iTAN-Listen erfüllen diese Anforderung nicht, denn die dort aufgedruckten TANs sind für beliebige Zahlungen verwendbar. Darüber hinaus sind die Listen leicht kopierbar. Damit besteht die Gefahr, dass Betrüger in den Besitz der TANs kommen und diese dann für Zahlungen zu ihren Gunsten verwenden. Das iTAN-Verfahren ist darum bis zum 14. September 2019 abzuschaffen, zumindest für die Auslösung elektronischer Fernzahlungen. Für die Beauftragung von Wertpapiergeschäften kann es beispielsweise weiter verwendet werden, da diese nicht vom Anwendungsbereich der PSD 2 erfasst sind.

Auch das Bezahlen mit Kreditkarte im Internet wird sich verändern. Bisher reicht es oft aus, die auf der Kreditkarte befindlichen Daten – insbesondere die Kartennummer, das Ablaufdatum und die Prüfziffer auf der Rückseite – auf der Händlerwebseite einzugeben. Diese Daten können jedoch keine Elemente der Starken Kundenauthentifizierung darstellen. Weder für den Faktor Besitz, denn man kann sich diese Daten leicht aufschreiben und dann unabhängig von der Karte verwenden, noch für den Faktor Wissen, denn anders als ein Passwort, das man geheim halten kann, könnten andere diese Daten unschwer ausspähen, wenn sie – auch nur kurzfristig – in den Besitz der Karte gelangen. In Zukunft werden auch hier Lösungen wie im Online-Banking notwendig sein, zum Beispiel die Eingabe eines Passworts und einer TAN.

Ausnahmen bei der Zahlungsauslösung

Die Delegierte Verordnung beschreibt Fälle, in denen die Zahlungsdienstleister auf eine Starke Kundenauthentifizierung verzichten können. Ein Beispiel für eine solche Ausnahme bei Zahlungsvorgängen sind kontaktlose Kartenzahlungen, die auch in Deutschland immer üblicher werden. Eine solche Zahlung kann nach der Verordnung ohne Starke Kundenauthentifizierung erfolgen, wenn ihr Betrag maximal 50 Euro beträgt. Damit zum Beispiel eine verlorengegangene Karte nicht unbegrenzt genutzt werden kann, gilt eine weitere Einschränkung: Die Karte darf nur für maximal fünf aufeinander folgende Zahlungen ohne Starke Kundenauthentifizierung genutzt werden. Alternativ darf der Zahlungsdienstleister auch darauf abstellen, ob die ohne Starke Kundenauthentifizierung getätigten Zahlungen in der Summe 150 Euro nicht überschreiten. Ist keine der beiden Alternativen erfüllt, muss der Karteninhaber eine Starke Kundenauthentifizierung durchführen. Dies erfolgt in der Regel durch die zusätzliche Eingabe der PIN. Danach ist die Ausnahme wieder freigeschaltet.

Auch bei Kartenzahlungen im Internet muss die Starke Kundenauthentifizierung nicht immer erfolgen. Die Zahlungsdienstleister können hier die sogenannte Transaktionsrisikoanalyse durchführen. Dabei wird jede eingehende Zahlung automatisch daraufhin untersucht, ob das Betrugsrisiko gering ist. Ist das für die konkrete Zahlung zu bejahen, kann auf eine Starke Kundenauthentifizierung verzichtet werden. Erwecken die dem Zahlungsdienstleister vorliegenden Zahlungsinformationen jedoch den Eindruck eines erhöhten Betrugsrisikos, muss er eine Starke Kundenauthentifizierung durchführen. Indizien für ein erhöhtes Betrugsrisiko können zum Beispiel eine Abweichung von den üblichen Verhaltensmustern des Kunden sein oder eine Ähnlichkeit zu bekannten Betrugsmustern.

Auf die technischen Details der verwendeten statistischen Verfahren kommt es erst einmal nicht an; wichtig ist vor allem, dass das Ergebnis stimmt. Das bedeutet, dass der individuelle Zahlungsdienstleister in dieser Kategorie von Zahlungen eine bestimmte Betrugsquote nicht überschreiten darf. Die genaue Höchstquote ist in der Delegierten Verordnung festgelegt und hängt von der Höhe der Zahlungen ab, für die der betroffene Zahlungsdienstleister die Ausnahme nutzen will. Sollen beispielsweise Internet-Kartenzahlungen bis 500 Euro potenziell freigestellt werden, darf die Betrugsquote dieses Zahlungsdienstleisters bei solchen Zahlungen 0,01 Prozent nicht übersteigen. Die Transaktionsrisikoanalyse kann übrigens auch dazu genutzt werden, einzelne Online-Überweisungen von der Starken Kundenauthentifizierung auszunehmen; allerdings gelten dafür noch strengere Betrugsquoten.

Zugriff auf das Online-Konto

Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will.

Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen.

Ausblick

Während die Grundsätze der neuen Sicherheitsregeln recht eingängig sind, haben viele Marktteilnehmer noch Fragen zu den Details der Umsetzung. Die BaFin ist bereits in Gesprächen mit den Verbänden der betroffen Unternehmen, um hier für Klarheit zu sorgen. Die Europäische Bankenaufsichtsbehörde EBA beabsichtigt zudem, Antworten zu wichtigen Auslegungsfragen der Delegierten Verordnung auf ihrer Internetseite zu veröffentlichen.