Am 14.09.2019 tritt die zweite europäische Zahlungsdienstrichtlinie (PSD2) in Kraft, welche mit neuen Auflagen die Sicherheit von elektronischen Zahlungen im EU-Raum erhöhen soll. Ein Hauptbestandteil ist die Umsetzung einer starken Kunden-Authentifizierung (SCA), um Nutzer bei Online-Zahlungen und Kontozugriffen eindeutig zu identifizieren. Für deren praktische Umsetzung hat die europäische Bankenaufsicht (EBA) die Zwei-Faktor-Authentifizierung als geeignete Maßnahme festgesetzt. Demnach müssen mindestens zwei der drei folgenden Faktoren bei jeder Transaktion und jedem Login überprüft werden:
Bisher wird diese Sicherheitspraxis bereits bei vielen gängigen Online-Bezahlverfahren genutzt, beispielsweise von Banken für Online-Überweisungen durch die kombinierte Abfrage von Passwort und Push-TAN. Andere hingegen, etwa PayPal oder Kreditkartenabieter, verzichten bisher meist auf eine zweistufige Authentifizierung. Doch die neuen Richtlinien betreffen nicht nur die Nutzer und Zahlungsdienstleister sondern auch Kontoinformationsdienste, welche Daten verschiedener Banken bereitstellen und aggregieren, sowie Zahlungsauslösedienste, welche auf Antrag Zahlungen beim kontoführenden Institut des Nutzers ausführen. Zu diesen Dienstleistern zählen zum Beispiel Sofortüberweisung.de, Giropay oder ApplePay.
Die EBA hat einige Ausnahmeregelungen getroffen, bei denen die SCA nicht angewendet werden muss. Dazu zählen unter anderem:
Unabhängig von den festgelegten Ausnahmen behält sich der betreffende Zahlungsdienstleister jedoch immer das Recht vor, auf Basis seines Transaktionsrisikos, eine SCA-Authentifizierung zu verlangen. Somit gelten die Ausnahmen nicht verpflichtend.
Sowohl Banken als auch Onlinehändler sowie Kontoinformations- und Zahlungsauslösedienste müssen sich bis zum Stichtag um die ordnungsgemäße Umsetzung der Richtlinie bemühen. Da die Banken bereits seit langem zweifache Authentifizierungen im Zahlungsverkehr nutzen, ist deren Hauptaufgabe die Entwicklung neuer APIs, um den externen Dienstleistern eine PSD2-konforme Schnittstelle anzubieten. Onlinehändler tragen die Verantwortung, dass jeder ihrer Kunden im Zahlungsprozess die Zwei-Faktor-Authentifizierung nutzt, sofern keine der Ausnahmeregelungen greift. Doch solange die Händler den eigentlichen Zahlungsvorgang über Dienstleister wie Paypal, AmazonPay oder Stripe abwickeln, haben sie wenig zu befürchten, da die Pflicht zur Umsetzung der Richtlinien beim Dienstleister liegt. Wenn jedoch eigene Lösungen für die Bezahlung, etwa mit Kreditkarten, angeboten werden, besteht Handlungsbedarf. Die schwierigste Aufgabe haben jedoch die Kontoinformations- und Zahlungsauslösedienste. Diese müssen zukünftig sowohl auf Seite der Nutzer die Authentifizierung gemäß der SCA umsetzen, als auch auf Seite der Banken die dafür neu geschaffenen APIs anbinden.
Von unseren Produkten ist insbesondere das Bankabgleich Plugin von der neuen Richtlinie betroffen. Das Plugin ermöglicht es Shopbetreibern, automatisch Zahlungseingänge auf dem Konto mit Vorkasse- und Rechnungsbestellungen abzugleichen. Hierzu arbeiten wir mit dem Kontoinformationsdienst figo zusammen, einem von der deutschen Finanzaufsicht (BaFin) regulierten Kontoinformationsdienst. Dessen Nutzung ist für Plugin-Kunden kostenlos, aber Voraussetzung für den Abgleich der Kontoumsätze. Auch figo wird ab dem 14.09.2019 von Nutzern unseres Bankabgleichplugins in regelmäßigen Abständen eine Zwei-Faktor-Authentifizierung verlangen müssen, um die Kontodaten wie bisher abzugleichen. Dabei kann figo auf die 90-Tage Ausnahmeregelung zurückgreifen.
Das von uns entwickelte Stripe Plugin des Zahlungsauslösedienstes Stripe setzt bereits ab Version 5.0.0 die neuen PSD2-Richtlinien um und fordert damit Kunden zur strengeren Authentifizierung auf.
Aktuell liegen viele Banken hinter dem Zeitplan und haben noch keine geeigneten APIs bereitgestellt, so dass es am Stichtag auch für die Dienstleister zu Schwierigkeiten kommen kann, Zahlungen SCA-konform abzuwickeln. Dies hat auch die deutsche Finanzaufsicht (BaFin) erkannt, und kürzlich angekündigt, die Nichteinhaltung der Richtlinien zunächst nicht zu bestrafen. Ein Zeitraum für diese Praxis wurde jedoch nicht konkretisiert. Daher bleibt abzuwarten, wie die Umsetzung in den nächsten Wochen verläuft.