Mit der zweiten Zahlungsdienstrichtlinie (PSD2), die am 13. Januar 2018 in Kraft getreten ist, wurden ebenfalls Regelungen vorgesehen, die die sichere / starke Authentifizierung im elektronischen Zahlungsverkehr (SCA) betreffen, allerdings zeitversetzt in Kraft treten.
Was besagen die Regelungen?
Ab Mitte September 2019 erfordern elektronische Zahlungen, bei denen der Zahlende die Zahlung auslöst, eine sichere/starke Authentifizierung. Dabei wird überprüft, ob derjenige, der das Zahlmittel (z.B. Kreditkarte) einsetzt auch tatsächlich der Inhaber des Zahlungsmittels ist.
Dieser Prozess besteht heute bereits bei 3D Secure Zahlungen oder Verified by Visa Zahlungen mit einer Kreditkarte.
Bei dieser Betrachtung ist der Zeitpunkt der Zahlungsverpflichtung maßgebend - sprich: der Zeitpunkt, zu dem der Kunde der Zahlung zustimmt. Dieser kann durchaus abweichen vom Zeitpunkt der tatsächlichen Ausführung der Zahlung.
Als elektronische Zahlungen gelten solche Zahlungen, die beispielsweise ein Kunde auf ihrer Website auslöst. Darunter fallen auch Zahlungen über eine App oder über POS Terminals.
Was ist eine sichere/starke Authentifizierung (SCA) überhaupt?
Die Authentifizierung eines Kunden beim Einsatz eines Zahlmittels ist dann stark, wenn personalisierte Sicherheitsmerkmale des Zahlungsdienstenutzers zum Einsatz kommen. Dabei handelt es sich nach aktuellem Stand der Technik zum Beispiel um
- Dinge, die ein Nutzer besitzt (z.B. die Kreditkarte und den aufgedruckten CVC Code selbst, ein Mobiltelefon, einen Token (physisches Gerät, welches Einmalcodes erzeugt) )
- Dinge, die ein Nutzer weiß (z.B. PIN, Passwort, Kartennummer)
- Persönliche Merkmale des Nutzers selbst (z.B. Fingerabdruck, Iris (Auge), Sprach-/Stimmerkennung)
Mit fortschreitender technischer Entwicklung erweitert/verändert sich diese Auflistung der Beispiele. Die EU fordert sogar ausdrücklich, stets innovative technische Lösungen zu nutzen.
Die Authentifizierung muss gegenüber demjenigen stattfinden, der die Zahlung schlussendlich auch auslösen wird. Im Falle von der Vermittlung von Reisen im Direkt-/Veranstalterinkasso wäre dies beispielsweise der Reiseveranstalter.