Zwei-Faktor-Authentifizierung

Bislang musste sich der Käufer bei vielen Online-Bezahlvorgängen nur durch eine einfache Sicherheitsabfrage ausweisen. Kreditkartennummer, Ablaufdatum und Card Validation Code (CVC) reichten aus, um in einem Online-Shop einzukaufen. Bei Vorliegen von Risikofaktoren mussten Zahler eine weitere Sicherheitsabfrage zur Authentifizierung durchlaufen. Die neue Richtlinie legt jedoch fest, dass Zahler bei Transaktionen im elektronischen Geschäftsverkehr im Regelfall durch zwei Sicherheitsmerkmale, die sogenannte Zwei-Faktor-Authentifizierung, verifiziert werden müssen. Dabei existieren drei verschiedene Kategorien von Sicherheitsmerkmalen: 

Wissen: Etwas, das man weiß, wie zum Beispiel PIN oder Passwort

Besitz: Etwas, das man hat, wie zum Beispiel Kreditkarte, Smartphone etc.

Inhärenz: Etwas, das man ist, wie zum Beispiel Fingerabdruck, Gesichtserkennung, Stimme

Die neue Regelung gibt vor, dass zur Authentifizierung des Zahlers zwei Identifikationsmerkmale aus den drei Sicherheitskategorien miteinander kombiniert werden müssen. So kann eine Zahlung beispielsweise durch die Kombination von PIN-Eingabe (Wissen) und biometrischem Merkmal wie dem Fingerabdruck (Inhärenz) autorisiert werden. Ziel der des Gesetzgebers ist es, so die Sicherheit im Zahlungsverkehr zu erhöhen.

Um den Aufwand für die Transaktion von Kleinbeträgen weiter gering zu halten, gibt es eine Ausnahmeregelung. Online-Einkäufe unter 30 Euro sind – bis zur Grenze von kumulativ 100 Euro oder fünf aufeinanderfolgenden Zahlungen ‒ sind nicht von der Regelung betroffen. Für diese Beträge darf auf die starke Authentifizierung verzichtet werden.  

Zusätzlich wird es eine White-List-Lösung geben. Das heißt: Zahler können bei ihrer Bank eine Liste mit denjenigen Zahlungsempfängern erstellen, die sie für vertrauenswürdig halten. Wird dann beim Online-Shopping eine Transaktion an einen der gelisteten Empfänger beauftragt, darf auf die starke Authentifizierung verzichtet werden.

Die BaFin hat für Kreditkartenzahlungen im Internet zur Einführung vorübergehend nicht auf eine Starke Kundenauthentifizierung bestanden. Diese Schonfrist ist nun abgelaufen.

Seit dem 15. Januar 2021 müssen Zahlungen mit einem Wert über 250 Euro mit zwei voneinander unabhängigen Faktoren freigegeben werden, seit dem 15. Februar für Zahlungen mit einem Wert über 150 Euro. Seit dem 15. März gelten die strengeren Sicherheitsbestimmungen für das Online-Bezahlen per Kreditkarte ohne Übergang.