Nimm zwei
Was sich ab September beim elektronischen Bezahlen ändert
Mit der neuen EU-Zahlungsdiensterichtlinie wird die Zwei-Faktor-Authentifizierung für einige Zahlarten zur Pflicht. Wir beleuchten, was sich für Verbraucher und Händler ändert.
Beim Bezahlen im Internet und an der Ladenkasse werden viele Verbraucher ab dem 14. September Veränderungen bemerken. Dann nämlich müssen Händler, Banken und Zahlungsdienstleister im Bereich der EU sowie in Norwegen, Island und Liechtenstein die Zweite Europäische Zahlungsdiensterichtlinie (Payment Services Directive II, kurz: PSD2) umgesetzt haben. Das bedeutet für Verbraucher, dass ihnen eine Zwei-Faktor-Authentifizierung beim elektronischen Bezahlen wesentlich häufiger begegnen wird als zuvor. Wenn etwa zusätzlich zum Passwort ein Passcode auf das Mobiltelefon geschickt und im PC-Browser abgefragt wird, ist das kein optional zuschaltbares Sicherheitsfeature mehr. Es ist Pflicht.
Immerhin ist die Zwei-Faktor-Authentifizierung nicht für alle Zahlarten obligatorisch, insbesondere nicht für die so beliebten Lastschriften und Rechnungskäufe. Auch bei den Zahlarten, die von der PSD2 betroffen sind, gibt es Ausnahmen.
PSD2 – was soll das?
Erklärtes Ziel der PSD2 ist es, den elektronischen Zahlungsverkehr innerhalb der EU durchschaubarer, bequemer und vor allem sicherer zu machen. Im Grundsatz gilt sie sowohl für Online-Geschäfte als auch für den stationären Handel. Die Richtlinie sieht zudem spürbare Änderungen für elektronische Bankgeschäfte vor [1] – das beleuchten wir in einer der nächsten c’t-Ausgaben genauer.
Für elektronische Bezahlverfahren fordern die PSD2 und ihre technischen Regulierungsstandards (RTS) zukünftig Sicherheitsmaßnahmen, die über die automatische Betrugsprüfung von Banken und Kartenfirmen hinausgehen: Die Schöpfer der Richtlinie möchten auch neue Authentifikationsmethoden wie biometrische Verfahren etablieren. Das Regelwerk spricht an dieser Stelle von „starker Kundenauthentifizierung“ (Strong Customer Authentication, SCA). Die SCA ist im Grundsatz eine Zwei-Faktor-Authentifizierung. Die beiden Faktoren müssen aus zwei unterschiedlichen von drei definierten Bereichen stammen: Wissen, Besitz und Inhärenz (siehe Infografik unten). Nach derzeitiger Lesart durch die Europäische Bankenaufsicht (EBA) dürfen die beiden Faktoren nicht demselben Bereich angehören.
Die SCA erfasst jedoch nicht alle Verfahren, sondern nur solche, bei denen ein Nutzer elektronisch einen Zahlungsvorgang auf seinem Zahlungskonto auslöst. In der aktuellen Lesart der PSD2 fallen darunter alle Zahlungen mit Kredit- und Debitkarten, einschließlich der Girocard (zu den Kartentypen siehe „Kartentricks“ auf S. 124). Auch ein PayPal-Konto – formal ein E-Geld-Konto – stellt ein Zahlungskonto im Sinne der Richtlinie dar. Die SCA-Pflicht gilt außerdem für Zahlverfahren wie Apple Pay und Google Pay, da der Zahlungsprozess auch hier ein Zahlungskonto involviert.