Die "Strong Customer Authentication" und ihre Ausnahmen.

Was ist die starke Kundenauthentifizierung?

Die Strong Customer Authentication "SCA" ist eine gesetzliche Anforderung, die sicherstellen soll, dass es sich bei dem Nutzer, der gerade seine Zustimmung für eine Übertragung von Geldern oder den Zugriff auf seine Kontoinformationen erteilt, auch wirklich um den berechtigten Benutzer handelt.

Kurz gesagt: Die SCA will eine sichere Authentifizierung des Benutzers gewährleisten und damit das Betrugsrisiko im Internet reduzieren.

Dabei ist die SCA gar nicht neu. Die typische Kartenzahlung wird zum Beispiel schon seit langer Zeit so abgesichert. Bei der Online-Zahlung mit der Kreditkarte wird dank 3D-Secure eine starke Authentifizierung ermöglicht.

Die PSD2 sieht nun jedoch vor, dass sich auch Nutzer, die online auf ihr Zahlungskonto zugreifen wollen bzw. online eine Zahlung auslösen wollen (zB via Sofort Überweisung, EPS, giropay oder iDEAL), ebenfalls mit der Zwei-Faktor-Authentifizierung "2FA", die für eine Strong Customer Authentication benötigt wird, ausweisen.

Was ist die Zwei-Faktor-Authentifizierung?

Die Pflicht zur starken Kundenauthentifizierung verlangt eine Authentifizierung, die nicht nur aus einem, sondern aus mindestens zwei von drei Elementen besteht.
Deshalb auch der Name: Zwei-Faktor-Authentifizierung.

Diese Elemente müssen aus zwei der folgenden Kategorien stammen: Wissen, Besitz und Inhärenz.

Kategorie Wissen:

Passwort
Passphrase
PIN
Zahlenabfolge
Geheimfrage


Kategorie Besitz:

Mobiltelefon
Wearable Gerät
Smartcard
Token
Badge


Kategorie Inhärenz/"Sein":

Fingerabdruck
Gesichtszüge
Stimmenerkennung
Iriserkennung
DNA Signatur

Was im ersten Moment nach einer zusätzlichen Hürde für die Verbraucher im Checkout aussieht, kann durchaus auch als Erleichterung verstanden werden. Denn anstatt des traditionellen „Wissens“ in Form eines (meist) vergessenen Passwortes, können sich Kunden durch „Besitz“ (Smartphone) und etwas „Persönliches“ wie einen Fingerabdruck/Touch-ID authentifizieren.

Änderungen wird es somit primär beim Bezahlen mit der Kreditkarte oder Online basierten Bezahlverfahren geben.

Keine Regel ohne Ausnahmen

Natürlich gibt es auch von der starken Kundenauthentifizierung Ausnahmen. Und das sind gar nicht so wenige:

Bei Online-Zahlungen kann von den Issuer-Banken (Kartenherausgeber) eine sogenannte Transaktionsbasierte Risikoanalyse durchgeführt werden. Eingehende Zahlungen werden dann automatisch daraufhin untersucht, ob das Betrugsrisiko gering ist. Wird das Risiko als gering eingeschätzt, kann die Bank auf eine SCA verzichten.

Vom Zahlenden als vertrauenswürdig eingestufte Empfänger. Dafür kann der Nutzer beispielsweise im Online-Banking-Portal eine Whitelist anlegen. Die Liste, die auch vom Dienstleister vorgeschlagen werden kann, muss jedoch einmalig per SCA aktiv legitimiert werden.

Wiederkehrende Zahlungsvorgänge, also Daueraufträge oder Abonnements, mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Demnach muss nur die erste Transaktion mit einer SCA freigeben werden. Auch hier gibt es wiederum Ausnahmen für Bestandskunden - sog. "grandfathering".

Online getätigte Kleinbetragszahlungen von unter 30 Euro sind ebenfalls ausgenommen. Allerdings nur, wenn alle Transaktionen seit der letzten Anwendung der SCA kumuliert 100 Euro nicht überschreiten und nicht mehr als fünf Zahlungen ohne Anwendung der SCA getätigt werden.

Generell nicht von der starken Kundenauthentifizierung betroffen ist die Lastschrift. Der Grund: Die Lastschrift wird vom Zahlungsempfänger in Auftrag gegeben. Auch Mail Order and Telephone Order (kurz: MOTO) sind ausgenommen, da sie nicht als elektronische Zahlung gelten.
Auch Zahlungen in Europa von außereuropäischen Käufern sind ausgenommen, ebenso wie Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind (B2B).

Bei Fragen zu den Themen PSD2 oder 3DS 2.x, steht Ihnen das mPAY24-Team unter dieser E-Mail-Adresse zur Verfügung.