PSD2 – die neue EU-Richtlinie im Überblick

Letztes Jahr um diese Zeit hielt uns die DSGVO auf Trab – heuer ist es eine andere EU-Richtlinie, die uns beschäftigt: PSD2. Die Revised Payment Service Directive (EU 2015/20366) – kurz PSD2 – bringt strengere Vorgaben zur Authentifizierung von Usern in Form einer Zwei-Faktor-Authentifizierung (kurz: 2FA) mit sich. Alle Unternehmen mit einem E-Commerce Check-out-System müssen diese Vorgaben erfüllen. Die Frist für die Implementierung ist der 14. September 2019. Hauptanliegen dieser EU-Richtlinie ist es, die Sicherheit bei digitalen Zahlungsvorgängen für User im Europäischen Wirtschaftsraum (EWR) zu erhöhen.

PSD2 wurde vom Europäischen Parlament und dem Europäischen Rat im Jahr 2015 beschlossen und verlangte von allen EU-Mitgliedern die Umsetzung dieser Richtlinie in nationales Recht bis zum 13. Jänner 2018.

Wozu strengere Maßnahmen?

Der Grundgedanke hinter PSD2 ist, mit Hilfe von umfassenderen Schutzmaßnahmen bei der Durchführung einer elektronischen Zahlung, User vor Betrug, Phishing und anderen nicht autorisierten Zahlungsvorgängen zu schützen. Das wird mit einem stärkeren Fokus auf den Authentifizierungsprozess der Kunden erreicht. Eine Möglichkeit, die neuen Regulierungsvorhaben zu erfüllen, ist die Implementierung von 2FA.

Prozess der Zwei-Faktor Authentifizierung
Prozess der Zwei-Faktor Authentifizierung

Was bringt 2FA mit sich und wer ist davon betroffen?

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Voraussetzung für PSD2 und soll bis spätestens 14. September 2019 von all jenen Unternehmen, die ein E-Commerce Check-out-System benutzen, integriert werden. 2FA soll für den User eine zusätzliche Schutzmaßnahme bieten. Darüber hinaus wird die Identität des Users bei digitalen Zahlungen geprüft und verifiziert. 2FA verlangt zudem eine Kombination von mindestens 2 Sicherheitskomponenten aus 3 unterschiedlichen Kategorien:

Etwas, das Sie wissenEtwas, das Sie besitzenEtwas, das Sie sind
Passwort
Mobiltelefon
Fingerabdruck
Passphrase
Smartcard
Gesichtsmerkmale
Pin
Token
Stimmmuster
SequenzKennzeichen
Merkmale der Iris

Tragbares GerätDNA Signatur

Quelle: EUR-Lex (2019)

Ein Online-Händler könnte, zum Beispiel, ein Element aus der Kategorie Etwas, das Sie wissen mit einem Element aus der Kategorie Etwas, das Sie besitzen kombinieren. Somit wäre eine mögliche EU-konforme Sicherheitsabfrage eine Kombination aus Passwort und Fingerabdruck vor dem Abschluss der Bezahlung. Dieses System muss von allen Parteien, die ein E-Commerce Check-out-System benutzen, bis spätestens 14. September 2019 implementiert werden (z. B. Zalando hat bereits 2FA erfolgreich implementiert).

Was bis 14. September 2019 erledigt werden sollte

PSD2 zielt darauf ab, Konsumenten durch verbesserte Schutzmaßnahmen bei digitalen Zahlungsvorgängen zu schützen. Bietet man einen E-Commerce Check-out an, müssen den Richtlinien entsprechende Sicherheitsmaßnahmen in Form einer 2FA bis 14. September integriert werden. Anmerkung zum Schluss: Die E-Commerce-Industrie hat Bedenken bezüglich der möglichen Ablehnung seitens der Endkunden zu den erweiterten Sicherheitsmaßnahmen geäußert. Es ist aber auch möglich, dass die zusätzliche Sicherheit von den Kunden gut aufgenommen wird.

Diese Links bieten Ihnen zusätzliche Informationen sowie Einblicke, wie verschiedene E-Commerce-Unternehmen mit der Einführung von PSD2 verfahren:

Mastercard:
https://www.mastercard.at/de-at/privatkunden/services-wissenswertes-innovationen/innovationen/idcheck.html

Visa:
https://www.visa.co.uk/dam/VCOM/regional/ve/unitedkingdom/PDF/visa-preparing-for-psd2-sca-publication-version-1-1-05-12-18-002-final.pdf

European Banking Authority:
https://eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2

Bundesministerium für Finanzen:
https://www.bmf.gv.at/finanzmarkt/finanz-kapitalmaerkte-eu/PSD_II.html