Die Umsetzung der PSD2-Richtlinie verschiebt sich auch im Bereich der starken Kundenauthentifizierung (SCA) nach hinten. Erst letzte Woche hatte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) angekündigt, dass die Frist für die Einrichtung von Datenschnittstellen zwischen Kreditinstituten und Drittanbietern nicht eingehalten werden kann (wir berichteten). Diese Schnittstellen sollen dazu dienen, dass Kunden Drittanbietern Zugriff auf das eigene Bankkonto gewähren können. Am 21. August verkündete die Aufsichtsbehörde jetzt, dass sie nicht beanstanden wird, wenn Kreditkartenzahlungen im Internet vorerst ohne starke Kundenauthentifizierung ausgeführt werden. Damit können Online-Kreditkartenzahlungen faktisch wie bisher angeboten werden.
Die grundlegenden Ziele der PSD2-Richtlinie sind einerseits eine Marktöffnung bei Online-Zahlungen für Drittanbieter und innovative Start-Ups durch Kontoschnittstellen und andererseits mehr Sicherheit bei Zahlungen im Internet durch die starke Kundenauthentifizierung. Eigentlich läuft die Frist zur Umsetzung der neuen Regelungen am 14. September ab. Wie viel Zeit den Zahlungsdienstleistern und Online-Händlern jetzt gewährt wird, steht noch nicht fest. Eine europaweite Fristverlängerung um 18 Monate, wie sie Branchenverbände fordern, scheint derzeit aber wahrscheinlich.
Nur bei Kreditkartenzahlungen wird eine Fristverlängerung gewährt
Die Ausnahme von der Umsetzungsfrist gilt allerdings ausschließlich für Kreditkartenzahlungen im Internet. Nicht von der Verlängerung betroffen sind andere Formen elektronischer Zahlungsauslösungen. Wer sich also am 15. September in sein Online-Banking einloggen will oder über einen Zahlungsauslösedienst bezahlt, wird den Vorgang zusätzlich zum normalen Passwort durch eine pushTAN per App oder dem Fingerabdruck verifizieren müssen. Auch Online-Überweisungen werden dann einen zweiten Sicherheitsfaktor benötigen. Optionale Ausnahmen für die starke Kundenauthentifizierung können etwa bei Kleinbeträgen oder kontaktlosen Zahlungen zugelassen werden.
Online-Händler sollten in Kontakt mit Zahlungsdienstleistern treten – sonst drohen Kosten
Rechtliche Verpflichtungen bestehen für Online-Händler unter den neuen Regelungen nicht. Allerdings ermahnen Banken und andere Zahlungsdienstleister, dass Online-Händler die technische Umsetzung der starken Kundenauthentifizierung ebenfalls unterstützen müssten. Ein Sprecher der BaFin teilte OnlinehändlerNews mit: „Online-Händler sind zum jetzigen Zeitpunkt technisch noch nicht auf die Anforderungen der PSD 2 vorbereitet – immerhin müssen die Anforderungen an eine Starke Kundenauthentifizierung auch beim Händler implementiert werden.” Eine der technischen Änderungen, die Zahlungsanbieter für Online-Shops empfehlen ist das Sicherheitsprotokoll 3-D-Secure 2.0. Dieses ermöglicht es für Kunden, während der Zahlung mit der Kreditkarte im Internet beim jeweiligen Kreditinstitut eine starke Kundenauthentifizierung durchzuführen.
Online-Händler sollten sich jetzt mit den Zahlungsdienstleistern in Verbindung setzen, deren Dienste sie in ihren Online-Shops benutzen. Diese haben bereits teilweise eigene Anleitungen und Informationen dazu, was Online-Händler beachten müssen. Denn sollte die starke Kundenauthentifizierung an technischen Problemen des Online-Shops scheitern, drohen Kosten für Händler. Auch diese Möglichkeit sollte mit den Zahlungsdienstleistern im Voraus besprochen werden. Zwar ist die Kommunikation der Banken und Zahlungsanbieter bisher bei weitem nicht perfekt und klar verständlich. Doch die Fristverlängerung bei Kreditkartenzahlungen sollte für Online-Händler der Startschuss dazu werden, sich selbst und die Kunden über die anstehenden Regeln zu informieren.
Kommentar schreiben
Antworten
Danke für Ihren aufmerksamen Kommentar. Sie haben Recht, das Beispiel der SMS-TAN (auch mTAN genannt) ist etwas unglücklich gewählt. Die mTAN ist generell konform mit den PSD2-Regelungen zur starken Kundenauthentif izierung und einige Banken werden dieses Verfahren auch weiterhin nutzen. Allerdings gibt es eine Reihen von Banken – zum Beispiel einige Sparkassen –, die das Verfahren künftig nicht nutzen werden, da dessen Sicherheit u.a. vom Bundesamt für Sicherheit in der Informationstec hnik als nicht ausreichend bewertet wird.
Damit die Stelle im Text nicht weiter für Unsicherheiten führt, haben wir die TAN per SMS durch das pushTAN-Verfahr en ersetzt, welches bislang als sowohl PSD2-konforme und sichere Lösung gilt.
Beste Grüße,
die Redaktion
Ihre Antwort schreiben
Antworten
das kann so nicht stimmen - die Berliner Sparkasse schafft jedenfalls SMS - TAN ab - dafür entweder Smartphone oder TAN-Generator kaufen (die etwas billigere Alternative ?)
also wenn ich dann zum Einloggen wieder eine SMS-Tan bekomme - was soll dann die ganze Aktion ?
(na gut die Sparkasse verdient sicher ganz gut an den Geräten bzw. gibt´s einen Cash-Pool von der Smartphone Industrie ?)
Ihre Antwort schreiben
Antworten
Ihre Antwort schreiben