20 Sep Neue verstärkte Kundenauthentifizierung: ein radikaler Wandel im elektronischen Zahlungsverkehr in Europa
Der unaufhaltsame technologische Fortschritt bringt ebenso eine Steigerung der Sicherheitsrisiken im elektronischen Zahlungsverkehr mit sich. Die neuen sogenannten Strong-Customer-Authentication-Vorschriften sollen die notwendigen Maßnahmen festlegen, damit ein verstärkter Schutz des E-Commerce-Nutzers gewährleistet werden kann.
Am 14.09.2019 traten die neuen Strong-Customer-Authentication-Vorschriften (kurz SCA) als einer der Folgen der umfassenderen Änderung der neuen Richtlinie über Zahlungsdienste in Kraft („RICHTLINIE (EU) 2015/2366 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EG sowie der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG“).
Mit diese neuen Vorschriften wird zugleich ein dreifaches Ziel verfolgt: (i) die Sicherheit von elektronisch getätigten Zahlungen zu verbessern, indem sie vor bestimmten Betrugsquellen geschützt werden sollen, (ii) die Einführung innovativer Zahlungssysteme zu fördern und (iii) als internationale Referenz über die Grenzen der EU hinaus zu dienen.
Jede durchgeführte elektronische Zahlung unterliegt den neuen Vorschriften. Darüber hinaus muss diese nicht zwingend online sein (z.B. Kauf mittels kontaktloser Kredit- oder Debitkarten im klassischen Handel).
Wie funktioniert die neue verstärkte Kundenauthentifizierung?
Die neuen Vorschriften verlangen ab sofort eine doppelte Authentifizierung unter Verwendung von mindestens zwei der drei sogenannten Authentifizierungselemente:
1.- Etwas, das der Kunde kennt (eine PIN oder ein Passwort),
2.- Etwas, das der Kunde hat (z.B. ein Smartphone);
3.- Etwas, das den Kunden identifiziert (biometrische Gesichtsmerkmale oder ein Fingerabdruck).
Mit anderen Worten, eine klassische Kredit- oder Debitkarte mit Verfallsdatum und Sicherheitsnummer wird in Zukunft nicht mehr ausreichend sein, um gewisse Zahlungen zu tätigen. In einigen Fällen wird jedoch keine verstärkte Authentifizierung angewendet, z.B. kontaktlose Zahlung bei Kassenterminals, jedoch nur bis zu fünfmal, unter bestimmten Umständen in unbeaufsichtigten Zahlungsterminals im Transportbereich (Mautstellen) und Parkhäusern, Überweisungen zwischen zwei Bankkonten derselben Person, etc.
Ziel der neuen Vorschriften
Ziel dieser neuen verstärkten Authentifizierungsvorschriften ist derzeitige Betrugsfälle zu verringern, die Kosten für die Erkennung betrügerischer Transaktionen zu senken und das Vertrauen der europäischen Bürger in den Zahlungsverkehr zu stärken, insbesondere im Online-Handel. Transaktionen, die die vorgeschriebenen Voraussetzungen nicht erfüllen, werden von der Bank automatisch abgelehnt.
Langfristig soll die verstärkte Authentifizierung ein Schlüsselelement für die Sicherheit des E-Commerce sein. Darüber hinaus soll diese einen Anreiz darstellen, neue Vertragsformen einzuführen und den digitalen Zahlungsverkehr im Allgemeinen sicherer zu machen.
