Secure Customer Authentication: Welche Änderungen bringt die neue EU-Richtlinie für E-Shopper?

Zum 14. September 2019 tritt im Rahmen der Zweiten Zahlungsdienstrichtlinie (PSD2) die sogenannte Secure Customer Authentication (SCA) in Kraft. Die EU-Richtlinie verschärft nicht nur die erforderlichen Schritte, mit denen Benutzer sich in Online-Banking-Portale einloggen. Auch für den Onlinezahlungsverkehr gelten künftig strengere Auflagen.

Warum ist das nötig?

Bis 2022 soll der weltweite Onlinehandel mehr als eine Billion Dollar umsetzen. Damit steigt auch die Betrugsgefahr bei Onlinezahlungen. Bereits heute beläuft sich allein der Kreditkartenbetrug nach Schätzungen der Europäischen Zentralbank auf eine Summe von 1,3 Milliarden Euro. Durch die erhöhten Sicherheitsmaßnahmen soll die Sicherheit im Onlinezahlungsverkehr erhöht werden.

Was bedeutet das fürs Onlineshopping?

Bisher reichte es in den meisten Onlineshops, für den Bezahlvorgang die Kreditkartennummer, das Ablaufdatum und die dreistellige Prüfnummer einzugeben. Zukünftig soll eine mehrstufige Abfrage den Bezahlvorgang sicherer machen. Die starke Authentifizierung fordert deshalb, dass mindestens zwei der drei Faktoren Besitz, Wissen und Biometrie erfüllt sein müssen.

Das funktioniert etwa über eine App, in der sich Benutzer mit ihren persönlichen Daten registrieren. Über ein Passwort (Wissen), Fingerabdruck oder Gesichtserkennung über die Frontkamera (Biometrie) können Anwender so eine TAN (Besitz) generieren. Alternativ verschicken einige Kreditinstitute auch eine SMS mit einer mobilen TAN oder setzen auf die sogenannte Chip-TAN. Über einen von der Bank zur Verfügung gestellten TAN-Generator erhält der Benutzer dann eine einmalige TAN-Nummer. Dafür muss lediglich die Bankkarte in das Gerät gesteckt werden. Aktuell noch wenig verbreitet ist das Foto-TAN-Verfahren. Auch hier kommt eine bankeigene App zum Einsatz, mit der der Kunde einen Bar- oder QR-Code einscannt und so eine TAN generiert.

Welche Ausnahmen gibt es?

Käufe unter 30 Euro sind von der Richtlinie ausgenommen, ebenso wiederkehrende Einkäufe wie beispielsweise die Abonnementzahlungen für einen Streamingdienst. Auch Bezahlungen per Lastschrift oder Käufe auf Rechnung sind nicht betroffen. Zudem besteht für Kunden die Möglichkeit, ihre bevorzugten Händler auf eine Whitelist setzen zu lassen. Hält die Bank den Verkäufer für sicher und schaltet den Händler frei, sind Einkäufe in diesen Onlineshops von der Zwei-Faktor-Authentifizierung ausgenommen.