Seit Mitte März 2021 ist auch bei Kartenzahlungen im eCommerce-Bereich eine starke Kundenauthentifizierung – konkret eine sogenannte „2-Faktor-Authentifizierung“ – für mehr Sicherheit gesetzlich erforderlich. Die von der Finanzmarktaufsicht FMA für diesen Bereich zur besseren Vorbereitung gewährte Verlängerung der Frist zur Einführung ist abgelaufen.

Beim Online-Zugriff auf ein Zahlungskonto, bei elektronischen Überweisungen oder bei Point of Sale-Zahlungen ist diese bereits seit 14. September 2019 europaweit anzuwenden. Nunmehr ist auch bei Zahlungen im eCommerce-Bereich – mittels Kredit- oder Debitkarte – eine starke Kundenauthentifizierung verpflichtend durchzuführen – falls keine gesetzliche Ausnahme anwendbar ist. Ziel dieser Maßnahme: die Sicherheit bei Zahlungen im Internet zu steigern.

2-Faktor-Authentifizierung für mehr Sicherheit

Die starke 2-Faktor-Authentifizierung soll ab sofort dazu beitragen, Betrugsfälle im [Online-]Zahlungsverkehr möglichst zu verhindern. Sie bedeutet, dass die Identität einer zahlenden Person mindestens anhand zweier Faktoren [von insgesamt drei möglichen] zu überprüfen ist. Diese sind:

Wissen – etwas, das nur die zahlende Person weiß, wie zum Beispiel ein Passwort
Besitz – etwas, das nur die zahlende Person hat, wie zum Beispiel eine Karte, die mittels Kartenlesegerät eingelesen wird, oder ein Handy, auf dem ein TAN-Code empfangen wird
Inhärenz – etwas, das nur die zahlende Person ist, wie zum Beispiel ein Fingerabdruck oder Gesichtsscan

Die Hand eines Mannes, der eine Kreditkarte zu seinem Laptop hält.
(c) Pixabay.com — *Ab sofort bringt bei Zahlungen im Internet eine erforderliche 2-Faktor-Authentifizierung mehr Sicherheit.*

Für welche Bereiche gilt die starke 2-Faktor-Authentifizierung?

Die starke Kundenauthentifizierung gilt für verschiedene Bereiche im Zahlungsverkehr, zum Beispiel für den online-Zugriff auf ein Zahlungskonto, für elektronische Überweisungen, für Kartenzahlungen im eCommerce-Bereich [also im Online-Handel] und auch für Zahlungen am Point of Sale, also im Geschäft.

Grundsätzlich traten die neuen Regelungen zur starken Kundenauthentifizierung bereits am 14. September 2019 in Kraft, mit einer Ausnahme: Die Europäische Bankenregulierungsbehörde [EBA] gab den nationalen Aufsichtsbehörden die Möglichkeit, die Frist für die Umsetzung im eCommerce-Bereich bis zum 31. Dezember 2020 zu verlängern. Dadurch sollte den betroffenen Dienstleistern, unter anderem Zahlungsdienstleistern sowie Handelsunternehmen, mehr Zeit für die technische Umstellungen gegeben werden.

Zur Unterstützung eines reibungslos funktionierenden Zahlungsverkehrs nahm die FMA diese aufsichtliche Nachsicht in Anspruch. Seit dem 01. Jänner 2021 sind die Regelungen zur starken Kundenauthentifizierung auch im eCommerce-Bereich in Kraft; die Zeit bis zum 15. März 2021 wurde als erweiterte Testphase angesehen. Spätestens ab diesem Zeitpunkt hat nunmehr für alle Bereiche eine starke 2-Faktor-Authentifizierung für mehr Sicherheit zu erfolgen.

Was ändert sich für Konsumentinnen und Konsumenten?

Kontoberechtigte müssen sich ab sofort beim Zugriff auf ihr Konto, bei der Auslösung von Zahlungen oder bei anderen Handlungen über einen Fernzugang, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch bergen, anhand von zwei Faktoren identifizieren. Das heißt beispielsweise:

Auf ein online Konto kann zum Beispiel mit Passwort und Fingerprint zugegriffen werden, somit sind die Faktoren Wissen [Passwort] und Inhärenz [Fingerprint] erfüllt.
Eine Kartenzahlung im eCommerce-Bereich [Online-Handel] kann zum Beispiel mit Passwort und einem Code, der am Handy empfangen wird, durchgeführt werden. Somit sind die Faktoren Wissen [Passwort] und Besitz [Handy] erfüllt.
Eine Kartenzahlung im Geschäft kann zum Beispiel mit Karte und PIN durchgeführt werden, somit sind die Faktoren Besitz [Karte] und Wissen [PIN] erfüllt. Eine Ausnahme sind hier etwa kontaktlose Zahlungen an der Verkaufsstelle bei Kleinbetragszahlungen bis zu maximal 30 Euro.

Was ändert sich für Gewerbetreibende?

Gewerbetreibende müssen entsprechende Anpassungen bei der Zahlungsabwicklung vornehmen. Konkret bedeutet dies, dass die Durchführung einer starken 2-Faktor-Authentifizierung durch die verwendete Hard- und Software gewährleistet sein muss.

Grafik: das Gesicht einer Frau, in dem die Punkte und Linien eines Gesichtsscanns gezeichnet sind, Stichwort 2-Faktor-Authentifizierung.
(c) Pixabay.com — *Neben dem Fingerabdruck gelten auch Gesichtsscanns als eine Möglichkeit, die 2-Faktor-Authentifizierung durchzuführen.*

Was ändert sich bei Bestellungen im EU-Ausland?

Bei Zahlungen für Bestellungen von Händlern, die Zahlungsdienstleister außerhalb des Europäischen Wirtschaftsraumes [EWR] verwenden, handelt es sich um sogenannte „one-leg out“-Transaktionen. Der Zahlungsdienstleister unterliegt in diesem Fall nicht der Zahlungsdienstrichtlinie [PSD2], weshalb eine starke Kundenauthentifizierung bei kartenbasierten Zahlungen am Point of Sale [POS] oder im eCommerce-Bereich nicht verpflichtend sind.

Im Falle von Überweisungen in Länder, die nicht dem EWR angehören, ist eine starke 2-Faktor-Authentifizierung jedoch zwingend erforderlich, da diese Transaktion direkt beim Zahlungsdienstleister des Zahlers initiiert wird.

Auch wenn das nun eventuell alles ein wenig „kryptisch“ klingen mag, hat es einen großen Vorteil: mehr Sicherheit bei Zahlungen im Internet.

Hintergrund | gesetzlicher Rahmen

Die starke Kundenauthentifizierung ist in der Richtlinie über Zahlungsdienste [Payment Service Directive II, PSD II] geregelt, die am 13. Jänner 2016 in Kraft trat und mit 1. Juni 2018 durch das Zahlungsdienstegesetz 2018 [ZaDiG 2018] in nationales Recht – mit Übergangsfristen – umgesetzt wurde. Ursprünglich hatten Unternehmen bis 14. September 2019 Zeit, auf starke Kundenauthentifizierung und somit mehr Sicherheit bei Zahlungen umzustellen.

(Bilder: Pixabay.com)

Beitrag teilen