Zwei-Faktor-Authentifizierung für Zahlungen im Internet

Was für das Online-Banking bereits seit 2019 gilt und was für Kreditkartenzahlungen von der BaFin zunächst verschoben wurde (wir berichteten bereits hier), muss ab Januar 2021 auch für Kreditkarten- und sonstige Zahlungen im Online-Handel beachtet werden: Die sog. Zwei-Faktor-Authentifizierung (auch bezeichnet als „Strong Customer Authentication” (SCA)).

Für Verbraucher ist der Einkauf im Internet seit Beginn des Jahres 2021 komplizierter geworden. Sie müssen sich nun bei Zahlungen mit der Kreditkarte ein zweites Mal identifizieren. Durch diese sogenannte Zwei-Faktor-Authentifizierung soll das Shoppen im Internet sicherer werden, um Betrügereien im Onlinehandel zu erschweren. Zugleich soll damit die Öffnung der Zahlungskonten für Dritte ermöglicht werden, etwa für Fintechs. 

Diese Art der Identifikation gilt als besonders sicher. Denn eventuelle Angreifer müssten nicht nur die Zugangsdaten ihres Opfers stehlen oder hacken, sie müssten auch etwas Physisches wie das Handy oder die Kreditkarte in ihren Besitz bringen. Außerdem sind die TAN transaktionsgebunden - im Gegensatz zu den früheren meist auf Papier existierenden TAN-Listen der Banken. 

Wie wurde die neue Regelung umgesetzt?

Bei Kreditkarten:
Die Neuregelung für Kreditkartenzahlungen von Verbrauchern erfolgt in unterschiedlichen Stufen, wohl um die Verbraucher langsam an die Neuerung zu gewöhnen und die angestrebte Absicherung langsam zu steigern. So erfordern Zahlungen mit einer Kreditkarte im Online-Handel seit dem 15. Januar 2021 ab 250 EUR einen doppelten Identitätsnachweis. Ab 15. Februar 2021 gilt diese Regelung dann bereits ab 150 EUR und ab 15. März 2021 sogar für Zahlungen ab 30 EUR.

Die Zwei-Faktor-Authentifizierung erfordert dabei gem. der Zahlungsdiensterichtlinie (PSD2) neben der Angabe der Kreditkartennummer und Prüfziffer zwei weitere Elemente der Identifizierung. Durchgesetzt hat sich ähnlich wie beim Online-Banking die Identifizierung mittels Handy ggf. in Verbindung mit einer besonderen App. Auf diese Weise findet zusätzlich eine Identifizierung über ein Wissenselement (Zugangsdaten) oder Inhärenzelement (z.B. Fingerabdruck) sowie einem Besitzelement (Handy) statt.

Bei sonstigen  Zahlungsmöglichkeiten:
Die neuen Anforderungen gelten nicht nur für Kreditkartenzahlungen, sondern auch für Zahlungsarten wie bspw. Paypal. Hier erfolgt die Zwei-Faktor-Authentifizierung mittels der Anmeldung bei dem Paypal-Konto mittels Passwort (Wissenselement) sowie eines Sicherheitscodes per SMS auf das Handy (Besitzelement).

Ausblick

Durch diese Neuerungen wird zwar die Sicherheit deutlich erhöht, Zahlungen werden aber nicht nur für die Kunden, sondern auch für Online-Händler und Zahlungsdienstleister komplizierter. Es bleibt deshalb abzuwarten, auf welche Akzeptanz die neuen Anforderungen stoßen.

Praxistipp

Weiterhin sind von den neuen Regelungen in erster Linie Zahlungsdienstleister betroffen. Andere E-Commerce-Akteure, wie beispielsweise Online-Shops, sollten jedoch unbedingt bei ihren Zahlungsdienstleistern in Erfahrung bringen, ob die Vorgaben eingehalten werden, um rechtskonforme Zahlungsmöglichkeiten anbieten zu können.