Die fortschreitende Digitalisierung des Zahlungsverkehrs erfordert regulatorische Neuregelungen, die den innovativen mobilen Zahlungsmöglichkeiten Rechnung tragen. Zum größten Teil wurden die Vorgaben zum elektronischen Zahlungsverkehr bereits zu Januar 2018 durch die Umsetzung der Zweiten Zahlungsdiensterichtlinie (Payment Service Directive 2 – „PSD2“) überarbeitet. In Bezug auf die starke Kundenauthentifizierung wurde dem Markt ein längerer Umsetzungszeitraum gewährt. So gelten die von der Europäischen Bankenaufsichtsbehörde (EBA) im Rahmen einer Delegierten Verordnung entwickelten technischen Regulierungsstandards für eine starke Kundenauthentifizierung (Regulatory Technical Standard „RTS“) europaweit erst ab dem 14. September 2019.
Bisher richteten sich die Anforderungen an die (starke) Kundenauthentifizierung bei Internetzahlungen in Deutschland nach dem Rundschreiben 04/2015 (Mindestanforderungen an die Sicherheit von Internetzahlungen – „MaSI“) der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“), welches ebenfalls schon auf einem europäischen Rundschreiben fußte. Nun werden die Vorgaben an die technischen Standards für die starke Kundenauthentifizierung auf europäischer Ebene durch die RTS vereinheitlicht und in § 55 Zahlungsdiensteaufsichtsgesetz („ZAG“), der die generellen Voraussetzungen für die Anwendung der starken Kundenauthentifizierung festlegt, „Leben eingehaucht“.
Vom Anwendungsbereich der RTS erfasst sind Zahlungsinstitute, E-Geld-Institute und CRR-Kreditinstitute iSd § 1 Abs. 3d S. 1 Kreditwesengesetz („Zahlungsdienstleister“). Ziel der RTS ist es, sicherzustellen, dass die elektronisch agierenden Zahlungsdienstleister Technologien einsetzen, die eine sichere Authentifizierung des (berechtigten) Nutzers gewährleisten und das Betrugsrisiko verringern. Daher legt die RTS Anforderungen an das Verfahren zur starken Kundenauthentifizierung fest, das immer dann angewendet werden soll, wenn:
Einführung der Zwei-Faktor-Authentifizierung durch die RTS
Ein allgemein bekanntes Authentifizierungsverfahren ist die Eingabe eines persönlichen Passworts durch den Nutzer. Nach der RTS wird künftig eine starke Kundenauthentifizierung verlangt, die nicht mehr nur aus einem Element, sondern aus mindestens zwei voneinander unabhängigen Elementen besteht und die so ausgestaltet sind, dass sie die Vertraulichkeit der Authentifizierungsdaten schützt („Zwei-Faktor-Authentifizierung“). Die starke Kundenauthentifizierung soll aus zwei Elementen der drei Kategorien Wissen, Besitz und Inhärenz zusammengesetzt werden. Für ein Element aus der Kategorie Wissen kann beispielhaft das Passwort oder die persönlichen Identifikationsnummer („PIN“) und für die Kategorie Besitz das Smartphone oder die Zahlungskarte genannt werden. Ein Element der Kategorie Inhärenz ist mit dem Kunden persönlich oder körperlich verbunden (z.B. Fingerabdruck, Iris oder Verhalten wie ein Tipp- oder Wischmuster).
Verwendet der Zahlungsdienstleister die Zwei-Faktor-Authentifizierung hat er durch entsprechende technische Maßnahmen sicherzustellen, dass die Informationen nicht von Unbefugten aufgedeckt, offengelegt und verwendet werden. So ist im Hinblick auf die Kategorie Wissen z.B. ein hinreichend langes und komplexes Passwort zu verlangen, welches während der Eingabe auch nicht vollständig lesbar sein darf.
Im Rahmen der Zwei-Faktor-Authentifizierung soll dann ein Authentifizierungscode generiert werden, der vom Zahlungsdienstleister bei Beauftragung durch den Kunden nur einmal akzeptiert werden darf.
Zugriff auf das Online-Konto
Notwendig ist die starke Kundenauthentifizierung nach der PSD2 zum einen dann, wenn der Nutzer online auf sein Zahlungskonto zugreifen möchte. In diesem Zusammenhang sieht die RTS allerdings eine Ausnahmeregelung vor, sodass in der Praxis die starke Kundenauthentifizierung für den Zugriff auf Kontoinformationen (Kontostand oder -umsätze) im Online-Banking u.a. nur alle 90 Tage erforderlich sein soll. In der Zwischenzeit kann der Kunde sich auch über eine einfache Authentifizierung – wie durch die Eingabe eines Passworts – in den Online-Banking Bereich einloggen.
Auslösung elektronischer Nahzahlungen sowie elektronischer Fernzahlungen
Zum anderen ist die starke Kundenauthentifizierung nach der PSD2 erforderlich, wenn der Kunde einen elektronischen Zahlungsvorgang auslöst. Dabei wird unterschieden zwischen elektronischen Nahzahlungen und elektronischen Fernzahlungen.
Elektronische Nahzahlungen finden z. B. in einer Verkaufsstelle (sog. Point-of-Sale („POS“)) statt. Ausgelöst wird der Zahlungsvorgang dadurch, dass z. B. ein mobiles Endgerät (mit entsprechender (NFC-)Technik) in unmittelbaren Kontakt mit einem am POS befindlichen Lesegerät kommt (z.B. Zahlung mit Zahlungskarte und PIN an der Kasse). Keine elektronische Nahzahlung liegt vor, wenn an der Kasse mit Zahlungskarte und Unterschrift gezahlt wird, da die Zahlung dann per elektronischem Lastschriftverfahren („ELV“) eingezogen wird. Diese Zahlungsvariante ist allerdings auf dem absteigenden Ast, da immer weniger Zahlungen im Einzelhandel per ELV gezahlt werden. Der Rückzug des ELV ist vor allem bedingt durch die Entscheidung einiger Supermarktketten und Discounter nicht mehr länger das ELV, sondern nur noch elektronische Zahlungen mit PIN oder kontaktlose Zahlungen anzubieten.
Um eine elektronische Fernzahlung handelt es sich hingegen, wenn die Zahlung nicht von einem POS, sondern von einem beliebigen Ort über das Internet vorgenommen wird. Da elektronische Fernzahlungsvorgänge einem höheren Betrugsrisiko unterliegen, ist es bei einem Fernzahlungsvorgang nach der RTS erforderlich, dass die starke Kundenauthentifizierung um eine sog. dynamische Verknüpfung in Bezug auf den bestimmten Betrag und den bestimmten Zahlungsempfänger erweitert wird. Konkret heißt das, dass dem Nutzer bei der Übermittlung einer einmal verwendbaren Transaktionsnummer („TAN“) mitgeteilt werden muss, für welchen Betrag und Zahlungsempfänger die TAN gelten soll.
Abschaffung der iTAN-Listen
Bisher teilweise noch verwendete ausgedruckte Listen mit indizierten TANs („iTAN“) erfüllen die Anforderungen an die dynamische Verknüpfung nicht. Die iTANs können für jede Zahlung verwendet werden und werden gerade nicht speziell für eine bestimmte Zahlung generiert. Für die Auslösung von elektronischen Zahlungen können iTAN-Listen daher ab dem 14. September nicht mehr genutzt werden – und werden derzeit von Banken durch andere „TAN-Verfahren“ (z. B. smsTAN ,mobileTAN-, ChipTAN oder photoTAN bzw. QR-TAN-Verfahren) ersetzt.
Starke Kundenauthentifizierung auch bei Zahlungen mit der Kreditkarte
Auswirkungen hat die RTS auch auf das Authentifizierungsverfahren bei der Zahlung mit der Kreditkarte im Internet. Aktuell reicht es häufig aus, die auf der Kreditkarte vermerkten Daten (Kartennummer, Ablaufdatum, Prüfziffer) bei der Zahlung auf der Website anzugeben. Diese Daten qualifizieren jedoch nicht als Elemente der starken Kundenauthentifizierung. Weder ist das Element Besitz erfüllt, da der Besitz der Karte für die Zahlung nicht zwingend erforderlich ist, vielmehr können die Kreditkartendaten auch notiert werden. Die Prüfziffer qualifiziert auch nicht als Authentifizierungselement der Kategorie Wissen. Folglich dürfte in Zukunft auch für die Zahlung mit Kreditkarte ein starkes Kundenauthentifizierungsverfahren eingeführt werden.
Anwendung der starken Kundenauthentifizierung auch bei online Lastschriften?
Hintergrund der Debatte um die Anwendung der starken Kundenauthentifizierung bei SEPA-Lastschriften im Internet ist die Stellungnahme der EBA vom 22. Februar 2019. Diese Stellungnahme der EBA lässt sich so interpretieren, dass SEPA-Lastschriften – als Handlungen, die das Risiko des Betrugs im Zahlungsverkehr bergen – künftig unter den Anwendungsbereich der RTS fallen sollen. Am 17. April 2019 bezog nun die BaFin Stellung und erklärte, dass bei Lastschriften im Internet nur dann eine starke Kundenauthentifizierung erforderlich sei, wenn die Erteilung des Lastschriftmandats durch den Zahler unter direkter Einbindung des Zahlungsdienstleisters des Zahlers erfolge (z.B. bei sog. e-Mandat iSd SEPA-Regelwerks). In der Praxis ist dies jedoch – wie die BaFin ebenfalls feststellt – selten, da die Erteilung des Lastschriftmandats regelmäßig nur gegenüber dem Zahlungsempfänger (z. B. Onlineshop) ohne direkte Einbindung des Zahlungsdienstleisters (z. B. Hausbank) des Zahlers erfolgt. Künftig wird wohl in der Regel auch nach dem Anwendungsbeginn der RTS das SEPA-Lastschriftverfahren damit ohne starke Kundenauthentifizierung möglich sein.
Ausnahmen von der starken Kundenauthentifizierung
Die RTS sehen für Zahlungsdienstleister auch Ausnahmen von der starken Kundenauthentifizierung vor. Von der Pflicht zur starken Kundenauthentifizierung sind folgende elektronische Zahlungsauslösungen ausgenommen:
Kontaktlose Nahzahlungen (z. B. mittels Smartphone oder NFC-fähiger Zahlungskarte am POS) bis EUR 50 je Zahlung, sofern nicht mehr als fünf frühere kontaktlose Zahlungen erfolgt sind oder diese EUR 150 überschreiten.
Eine Analyse des konkreten Risikos einer Zahlung, kann ebenfalls dazu führen, dass keine Zwei-Faktor-Authentifizierung erforderlich ist. Ist das konkrete Risiko gering, kann auf eine starke Kundenauthentifizierung verzichtet werden. Wird hingegen ein erhöhtes Betrugsrisiko festgestellt, ist die starke Kundenauthentifizierung weiterhin erforderlich. Indizien für ein erhöhtes Risiko können Abweichungen vom üblichen Verhalten des Zahlers oder Ähnlichkeiten zu bekannten Betrugsmustern sein.
Zahler können eine Liste der vertrauenswürdigen Empfänger erstellen. Erstellt oder ändert der Zahler bei seinem Zahlungsdienstleister eine solche Liste, muss der Zahlungsdienstleister eine starke Kundenauthentifizierung durchführen. Bei anschließenden Zahlungen an einen vertrauenswürdigen Empfänger kann dann grds. von der starken Kundenauthentifizierung abgesehen werden.
Zahlungsdienstleister müssen nur bei der Erstellung, Änderung oder der erstmaligen Auslösung einer Serie wiederkehrender Zahlungsvorgänge (z. B. „Daueraufträge“) mit demselben Betrag und demselben Zahlungsempfänger eine starke Kundenauthentifizierung durchführen.
Elektronische Fernzahlungen bis zu EUR 30. Zusammengenommen dürfen die Fernzahlungsvorgänge seit der letzten starken Kundenauthentifizierung nicht über EUR 100 hinausgehen. Möglich ist die Auslösung von fünf Fernzahlungen hintereinander.
Unternehmen können elektronische Zahlungen über bestimmte Zahlungsprozesse oder -protokolle auslösen, wenn die BaFin der Auffassung ist, dass diese ein vergleichbares Sicherheitsniveau wie das in der PSD2 / RTS vorgesehene gewährleisten.
Fazit
Die bereits begonnene Einführung der Zwei-Faktor-Authentifizierung dürfte die Zahlungsdienstleister vor nicht unerhebliche technische Schwierigkeiten bei der Umsetzung der RTS führen. Zudem könnte die starke Kundenauthentifizierung die dynamische Entwicklung von Zahlungsmöglichkeiten zumindest teilweise hemmen. Zu begrüßen sind daher die Ausnahmeregelungen der RTS, auch wenn die Schwellenwerte niedrig angesetzt wurden. So ermöglichen die Ausnahmen, weiterhin schnell und unkompliziert elektronische Zahlungsvorgänge auszulösen – und damit der voranschreitenden Digitalisierung und letztlich der Bezahlrealität Rechnung zu tragen. Positiv zu bewerten ist auch die Klarstellung der BaFin, dass SEPA-Lastschriftverfahren ohne direkte Einbindung des Zahlungsdienstleisters weiterhin keine starke Kundenauthentifizierung erfordern. So bleibt dem Online-Handel eine beliebte Zahlungsvariante erhalten.
Obwohl der Anwendungsbeginn der RTS noch bevorsteht, haben viele Zahlungsdienstleister bereits begonnen, ihre Systeme umzustellen. Dennoch besteht vielfach noch Anpassungsbedarf an die RTS, vor allem in Bezug auf die Kundenauthentifizierung bei Online-Zahlungen mit der Kreditkarte. Unabhängig von der Umstellung auf die RTS ist zu erwarten, dass das ELV im Einzelhandel nach und nach verschwinden wird und in der Folge elektronische Nahzahlungen mit Unterschrift zukünftig wohl nicht mehr vorkommen werden.
Für Zahlungsdienstleister ist die zeitnahe Anpassung an die Vorgaben der RTS dringend geboten, da künftig das Unterlassen einer erforderlichen starken Kundenauthentifizierung nicht nur aufsichtsrechtliche Folgen, sondern auch zivilrechtliche Haftungsansprüche begründen kann.