Verbraucher, die seit Mitte September Online-Banking machen oder mit Kreditkarte im Netz zahlen, können ein Lied davon singen – gemeint ist die so genannte Zwei-Faktor-Authentifizierung oder auch Starke Kundenauthentifizierung genannt. Doch was ist das eigentlich, warum gibt es die – und gibt es Ausnahmen davon?
In der EU gelten eigentlich schon seit 14. September strengere Vorschriften, die Verbrauchern ein höheres Maß an Sicherheit bringen soll. Denn seither greift die zweite Stufe der die EU-Zahlungsdiensterichtlinie PSD II. Sie schreibt unter anderem die so genannte Starke Kundenauthentifizierung vor – und zwar nicht nur im Onlinebanking, sondern auch beim elektronischen Bezahlen in Online-Shops mit Kreditkarte, Paypal etc. Doch viele Online-Shops waren nicht rechtzeitig darauf eingestellt – daher besteht die deutsche Finanzaufsicht Bafin vorerst nicht auf die Starke Kundenauthentifizierung. Dennoch haben viele Shops die Anforderungen auch bereits umgesetzt – Verbraucher müssen also bei manchen Shops bereits nach den neuen, verschärften Anforderungen bezahlen, andernorts dagegen nicht. Ein ziemliches Kuddelmuddel also.
Was ist nun die „Starker Kundenauthentifizierung“ – und wozu braucht man die?
Grundsätzlich immer dann, wenn ein Kunde eine elektronische Zahlung auslösen möchte. Dafür müssen Händler demnächst immer mindestens zwei der drei Faktoren Wissen (z. B. PIN oder Passwort), Besitz (z. B. Smartphone, das mit Karte verknüpft ist) und Sein (z. B. biometrische Merkmale wie der Fingerabdruck) verlangen. Beim Online-Shopping reicht daher künftig die Angabe der Kartennummer, des Gültigkeitsdatums und der Prüfziffer von der Kartenrückseite demnächst also nicht mehr aus. Schließlich könnten die Kartendaten ja auch vorher entwendet oder abgefischt worden sein. Daher braucht es nun einen weiteren Faktor – eine dynamisch jedes Mal neu erzeugte TAN, zum Beispiel als SMS aus Smartphone oder via App. Wann die Starke Kundenauthentifizierung (SKA) im Online-Shopping Pflicht wird, ist derzeit noch offen.
Gibt es denn künftig Ausnahmen?
Ja, aber es kommt auf die eigene Bank an. Ganz grundsätzlich muss ja für so genannte Kleinbetragszahlungen keine Starke Kundenauthentifizierung (SKA) erfolgen. Darunter fallen Online-Überweisungen oder -Kartenzahlung bis 30 Euro. Allerdings darf nur fünfmal nacheinander bei Kleinbetragszahlungen auf die SKA verzichtet werden, danach wird sie wieder verlangt. Außerdem darf kumuliert maximal 100 Euro überwiesen oder bezahlt worden sein. Wichtig: Die Banken dürfen selber entscheiden, ob sie von der Ausnahme Gebrauch machen oder etwa nur kleinere Beträge tolerieren.
0 Kommentare