Pickware Blog
Rechtliches
| 02.09.2019

PSD2 & SCA – Das sollten Sie wissen!

Am 14.09.2019 tritt die zweite europäische Zahlungsdienstrichtlinie (PSD2) in Kraft, welche mit neuen Auflagen die Sicherheit von elektronischen Zahlungen im EU-Raum erhöhen soll. Ein Hauptbestandteil ist die Umsetzung einer starken Kunden-Authentifizierung (SCA), um Nutzer bei Online-Zahlungen und Kontozugriffen eindeutig zu identifizieren. Für deren praktische Umsetzung hat die europäische Bankenaufsicht (EBA) die Zwei-Faktor-Authentifizierung als geeignete Maßnahme festgesetzt. Demnach müssen mindestens zwei der drei folgenden Faktoren bei jeder Transaktion und jedem Login überprüft werden:

  • Besitz des Nutzers: Girocard, Kreditkarte, Smartphone etc.
  • Wissen des Nutzers: Passwort, Pin, persönliche Fragen etc.
  • Biometrisches Merkmal des Nutzers: Fingerabdruck-Scan, Iris-Scan etc.

Wen betrifft die neue Regelung?

Bisher wird diese Sicherheitspraxis bereits bei vielen gängigen Online-Bezahlverfahren genutzt, beispielsweise von Banken für Online-Überweisungen durch die kombinierte Abfrage von Passwort und Push-TAN. Andere hingegen, etwa PayPal oder Kreditkartenabieter, verzichten bisher meist auf eine zweistufige Authentifizierung. Doch die neuen Richtlinien betreffen nicht nur die Nutzer und Zahlungsdienstleister sondern auch Kontoinformationsdienste, welche Daten verschiedener Banken bereitstellen und aggregieren, sowie Zahlungsauslösedienste, welche auf Antrag Zahlungen beim kontoführenden Institut des Nutzers ausführen. Zu diesen Dienstleistern zählen zum Beispiel Sofortüberweisung.de, Giropay oder ApplePay.

Welche Ausnahmen gibt es?

Die EBA hat einige Ausnahmeregelungen getroffen, bei denen die SCA nicht angewendet werden muss. Dazu zählen unter anderem:

  • Nach einer erstmaligen Zwei-Faktor-Authentifizierung gemäß SCA können Nutzer anschließend 90 Tage ihre Zahlungstransaktionen einsehen, sofern dabei keine sensiblen Zahlungsdaten offengelegt werden.
  • Für die Zahlung von Kleinstbeträgen ist ebenfalls keine SCA notwendig, solange der Betrag 30€ nicht überschreitet. Zudem muss die Summe aller Transaktionen seit der letzten Authentifizierung kleiner als 100€ sein. Nach spätestens fünf Zahlungen ist eine erneute Zwei-Faktor-Authentifizierung notwendig.
  • Kontaktloses Zahlen am POS bleibt auch zukünftig von der SCA ausgenommen, solange die Transaktion 50€ nicht übersteigt, seit der letzten Zwei-Faktor-Authentifizierung der Gesamtbetrag von 150€ nicht überschritten wurde sowie maximal fünf Transaktionen stattgefunden haben.
  • Nutzer und Banken können Zahlungsempfänger als vertrauenswürdig einstufen, so dass für zukünftige Transaktionen an diese keine Authentifizierung gemäß SCA notwendig ist.

Unabhängig von den festgelegten Ausnahmen behält sich der betreffende Zahlungsdienstleister jedoch immer das Recht vor, auf Basis seines Transaktionsrisikos, eine SCA-Authentifizierung zu verlangen. Somit gelten die Ausnahmen nicht verpflichtend.

So erfolgt die Umsetzung

Sowohl Banken als auch Onlinehändler sowie Kontoinformations- und Zahlungsauslösedienste müssen sich bis zum Stichtag um die ordnungsgemäße Umsetzung der Richtlinie bemühen. Da die Banken bereits seit langem zweifache Authentifizierungen im Zahlungsverkehr nutzen, ist deren Hauptaufgabe die Entwicklung neuer APIs, um den externen Dienstleistern eine PSD2-konforme Schnittstelle anzubieten. Onlinehändler tragen die Verantwortung, dass jeder ihrer Kunden im Zahlungsprozess die Zwei-Faktor-Authentifizierung nutzt, sofern keine der Ausnahmeregelungen greift. Doch solange die Händler den eigentlichen Zahlungsvorgang über Dienstleister wie Paypal, AmazonPay oder Stripe abwickeln, haben sie wenig zu befürchten, da die Pflicht zur Umsetzung der Richtlinien beim Dienstleister liegt. Wenn jedoch eigene Lösungen für die Bezahlung, etwa mit Kreditkarten, angeboten werden, besteht Handlungsbedarf. Die schwierigste Aufgabe haben jedoch die Kontoinformations- und Zahlungsauslösedienste. Diese müssen zukünftig sowohl auf Seite der Nutzer die Authentifizierung gemäß der SCA umsetzen, als auch auf Seite der Banken die dafür neu geschaffenen APIs anbinden.

Auswirkungen auf unsere Pickware Produkte

Von unseren Produkten ist insbesondere das Bankabgleich Plugin von der neuen Richtlinie betroffen. Das Plugin ermöglicht es Shopbetreibern, automatisch Zahlungseingänge auf dem Konto mit Vorkasse- und Rechnungsbestellungen abzugleichen. Hierzu arbeiten wir mit dem Kontoinformationsdienst figo zusammen, einem von der deutschen Finanzaufsicht (BaFin) regulierten Kontoinformationsdienst. Dessen Nutzung ist für Plugin-Kunden kostenlos, aber Voraussetzung für den Abgleich der Kontoumsätze. Auch figo wird ab dem 14.09.2019 von Nutzern unseres Bankabgleichplugins in regelmäßigen Abständen eine Zwei-Faktor-Authentifizierung verlangen müssen, um die Kontodaten wie bisher abzugleichen. Dabei kann figo auf die 90-Tage Ausnahmeregelung zurückgreifen.

Das von uns entwickelte Stripe Plugin des Zahlungsauslösedienstes Stripe setzt bereits ab Version 5.0.0 die neuen PSD2-Richtlinien um und fordert damit Kunden zur strengeren Authentifizierung auf.

Fazit

Aktuell liegen viele Banken hinter dem Zeitplan und haben noch keine geeigneten APIs bereitgestellt, so dass es am Stichtag auch für die Dienstleister zu Schwierigkeiten kommen kann, Zahlungen SCA-konform abzuwickeln. Dies hat auch die deutsche Finanzaufsicht (BaFin) erkannt, und kürzlich angekündigt, die Nichteinhaltung der Richtlinien zunächst nicht zu bestrafen. Ein Zeitraum für diese Praxis wurde jedoch nicht konkretisiert. Daher bleibt abzuwarten, wie die Umsetzung in den nächsten Wochen verläuft.

Newsletter
Bleibe immer auf dem Laufenden
Jetzt anmelden
Teilen