PSD2: Zahlungen mit Kreditkarten im Internet nur noch mit 2FA

Verbraucher müssen sich beim Bezahlen per Kreditkarte im Internet auch bei kleineren Beträgen an strengere Sicherheitsbestimmungen gewöhnen. Seit dem 15. März gilt grundsätzlich auch für Beträge bis 150 Euro die Pflicht zur Zwei-Faktor-Authentifizierung. Eigentlich gilt die Regelung bereits seit September 2019, doch die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) hat die Frist mehrfach verschoben. Auch in Österreich gilt seit dem 15. März die Pflicht zur Zwei-Faktor-Authentifizierung im Online-Zahlungsverkehr.

Die Regelungen betreffen insbesondere Kreditkarten. Bisher konnten Zahlungen im Internet mit der Kreditkartennummer und der Prüfziffer abgewickelt werden, die jedoch leicht ausgespäht werden können. So konnte sich beispielsweise ein Verkäufer in Japan die Kartendaten beim Bezahlvorgang merken und diese anschließend für Käufe im Internet verwenden. Entsprechend können auch Daten aus Datenlecks oder Phishing einfach verwendet werden. Diese sollen nun über starke Kundenauthentifizierung mit Verfahren wie 3DSecure abgesichert werden.

Umsetzungen unterscheiden sich zwischen Banken

Aber auch bei anderen digitalen Zahlungsarten gelten die Vorgaben. Je nach kartenausgebender Bank ist die Umsetzung etwas anders: Manche Kunden bekommen die einmalig einsetzbare TAN-Nummer zur Freigabe der Online-Bezahlung per SMS auf eine vorab bei der Bank hinterlegte Telefonnummer geschickt. Andere Banken lassen den Kauf über eine spezielle App per Eingabe einer Geheimnummer oder Abfotografieren eines Strichcodes bestätigen. Technisch möglich sind auch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung zur Freigabe einer Zahlung mit zwei Faktoren.

Ob Verbraucher nun tatsächlich jeden Einkauf im Internet mit zusätzlichen Eingaben freigeben müssen, hängt von ihrer Bank ab, von der die Bezahlkarte stammt. Kauft ein Kunde zum Beispiel häufiger beim selben Online-Shop ein, könnte ein Finanzinstitut darauf verzichten, die Zahlung dort jedes Mal mit zwei Faktoren freigeben zu lassen. Auch bei Zahlungen unter 30 Euro könnte auf das zweistufige Verfahren der starken Kundenauthentifizierung verzichtet werden.

Erster Aufschub galt bis Ende 2020

Eigentlich gilt diese Pflicht zur "starken Kundenauthentifizierung" nach neuen EU-Regeln (Payment Service Directive PSD2) bereits seit dem 14. September 2019 für jede Zahlung im Onlinebanking und beim Einkaufen im Internet. Doch weil mancher Anbieter Probleme bei der Umsetzung dieser Zwei-Faktor-Authentifizierung hat, gab es bereits einen Aufschub von der Finanzaufsicht Bafin bis Ende 2020. Damals hatte die Bafin jedoch einen weiteren, stufenweisen Übergang beschlossen, der mit dem 15. März seinen Abschluss gefunden hat.