PSD2: die Veränderungen bei Kartenzahlungen und für Online-Banking-Nutzer

PSD2, die EU-Richtlinie Payment Services Directive 2 kommt in die akute Umsetzungsphase. Ab 14. September 2019 treten auch die Vorgaben der PSD2 über die „starke Kundenauthentifizierung“ im elektronischen Zahlungsverkehr endgültig in Kraft und haben spürbare Auswirkungen auf Online-Banking-Nutzer. Für Kartenzahlungen wird es Neuerungen geben, um die Authentifizierung entsprechend umzusetzen. Darauf weist die Starfinanz hin.

Die Zahlungsdienstrichtlinie PSD2 regelt, welche Drittanbieter auf Bankkonten zugreifen können, und wie diese sich in Zukunft für Payment- und Online-Banking-Dienste authentifizieren müssen. Die EU-Richtlinie PSD2 bringt viele Vorteile, sie soll den Zahlungsverkehr in der EU bequemer und sicherer machen und zugleich den Wettbewerb fördern. So verpflichtet die Richtlinie Banken, anderen Dienstleistern durch die Einrichtung von Schnittstellen Zugriff auf die Kontodaten ihrer Kunden zu ermöglichen. Wenn der Kunde dies möchte und aktiv einwilligt, können durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zertifizierte Drittanbieter auf Grundlage von PSD2 Kontoinformationen abfragen oder Zahlungen auslösen.

Seit März müssen Banken und Zahlungsdienste Drittanbietern eine Testumgebung (Sandbox) und die dazugehörige technische Dokumentation der Schnittstelle zur Verfügung stellen. Ab 14. September 2019 ist dann der Produktivbetrieb zu realisieren. Dann treten auch die Vorgaben der PSD2 über die „starke Kundenauthentifizierung“ im elektronischen Zahlungsverkehr endgültig in Kraft und haben spürbare Auswirkungen auf Online-Banking-Nutzer. Zusätzlich zum Benutzernamen und Passwort müssen Kunden dann in vielen Fällen auch eine TAN-Nummer eingeben – so wie heute schon bei Online-Überweisungen. TAN-Listen (iTAN) und andere statische Verfahren sind künftig nicht mehr erlaubt, da die Codes für jede Transaktion neu erzeugt werden müssen. Viele Bankkunden haben jedoch keine Lust auf diese Zusatzprüfungen – wir berichteten.

Starke Kundenauthentifizierung: Wissen, Besitz, Inhärenz

Ab 14. September 2019 gelten die neuen Vorgaben zur „starken Kundenauthentifizierung“. Beim Zugriff auf Informationen zum Konto mittels Online-Banking muss sich der Kunde ab diesem Zeitpunkt grundsätzlich mit zwei Faktoren authentifizieren. Auch Kartenzahlungen, die im Internet durchgeführt werden, müssen künftig ebenfalls mit zwei Faktoren freigegeben werden. Diese Faktoren müssen zwingend aus den drei Kategorien Wissen, Besitz und Inhärenz stammen. Für Wissen steht bspw. ein Passwort, für Besitz das Smartphone oder ein TAN-Generator etc., die die Transaktionsnummer (TAN) zuliefern. Für Inhärenz stehen Elemente, die dem Nutzer persönlich oder körperlich eigen sind, wie bspw. sein Fingerabdruck.

Neuerungen bei Kartenzahlungen

Bei kontaktlosen Zahlungen gibt es verschiedene Anwendungsszenarien. Liegt der Betrag bei 50 Euro oder weniger, ist keine starke Kundenauthentifizierung notwendig. Allerdings kann die verwendete Karte lediglich für maximal fünf aufeinanderfolgende kontaktlose Zahlungen bis zur Summe 150 Euro verwendet werden. Anschließend muss zwingend die starke Kundenauthentifizierung erfolgen, zum Beispiel durch zusätzliche Eingabe einer PIN. Wenn die Karte digital in einem Smartphone hinterlegt ist, eignet sich als zweiter Faktor beispielsweise auch der Fingerabdruck zur Authentifizierung.

Auch das Bezahlen mit Kreditkarte im Internet verändert sich aufgrund der Anforderungen der PSD2. Bisher reicht es meistens, die auf der Kreditkarte befindlichen Daten beim Bezahlvorgang anzugeben, insbesondere die Kartennummer, das Ablaufdatum und die Prüfziffer. Diese Elemente erfüllen jedoch nicht die Anforderungen an eine starke Kundenauthentifizierung. Voraussichtlich bedarf es künftig der zusätzlichen Eingabe einer PIN.

Zugriff auf Online-Banking-Konten

Auch für den Zugriff auf das Online-Banking-Konto ist künftig eine starke Kundenauthentifizierung erforderlich. Um zum Beispiel online den Kontostand abzurufen, muss der Kunde künftig zusätzlich zu seinem Benutzernamen und Passwort einen weiteren Beweis seiner Identität eingeben. Dies kann beispielsweise eine TAN sein, wie es bisher bereits für Transaktionen üblich ist. Inwiefern diese TAN jedes Mal oder nur alle 90 Tage abgefragt wird, kann allerdings jedes Kreditinstitut individuell festlegen.pp