Die PSD2 (Payment Services Directive, zu deutsch Zahlungsdiensterichtlinie) macht in ihrer überarbeiteten Version die sogenannte Zwei-Faktor-Authentifizierung bei Online-Einkäufen ab dem 14. September 2019 zur Pflicht (wir berichteten). Wir geben die Antworten auf die häufigsten Fragen, die uns in diesem Zusammenhang erreicht haben.
Zwei-Faktor-Authentifizierung bedeutet, dass es künftig nicht mehr reichen wird, einfach nur die Daten der Kreditkarte in eine Maske einzugeben, um den Kauf abzuschließen. Bei der neuen verpflichteten Authentifizierung muss der Kunde dann jeweils zwei Elemente aus den Kategorien Wissen (Passwort, Pin), Besitz (Karte, Smartphone) oder Inhärenz (Fingerabdruck, Stimme) kombinieren. Neben der Eingabe der Kreditkartendaten kann also beispielsweise ein vorher eingestelltes Passwort oder der Fingerabdruck abgefragt werden. Es geht darum, mindestens einen Faktor zu verwenden, den in den allermeisten Fällen nur der Eigentümer der Karte parat hat. Damit soll Online-Betrügereien entgegengewirkt werden.
Betroffen sind beispielsweise der Dienst PayPal und die Zahlung per Kreditkarte. Beim Lastschriftverfahren und dem Kauf auf Rechnung ändert sich nichts.
Bei Geschäften, die eher kleine Summen betreffen, müssen nicht zwangsläufig zwei Faktoren abgefragt werden. Außerdem können Kunden bei ihren Banken Whitelists erstellen. Dabei handelt es sich um eine Liste von Empfängern, die sie für vertrauenswürdig halten. Kauft ein Kunde regelmäßig in einem bestimmten Shop ein, so kann es sinnvoll sein, das dahinter stehende Unternehmen auf die Whitelist zu nehmen, um so nicht jedesmal die Zwei-Faktor-Authentifizierung durchlaufen zu müssen.
Die PSD2 betrifft vor allem die Zahlungsdienstleister. Diese sind gefragt, ihre Authentifizierung anzupassen. Für die Online-Händler selbst ergibt sich daraus keine Pflicht. Lediglich ein Update der Zahlungssoftware kann notwendig sein; doch selbst das ist noch nicht sicher.