Starke Kundenauthentifizierung und sichere Kommunikation im Rahmen der PSD2
Die Geschichte der RTS für starke Kundenauthentifiierung (SCA) und sichere Kommunikation ist lang und voller Wendungen. Grundsätzlich sind die SCA-Regeln am 14. September 2019 in Kraft getreten. Allerdings kam es zuletzt zu einer wichtigen Verschiebung.
Hier finden Sie einen Überblick über die wichtigsten Milestones zur starken Kundenauthentifizierung und sicheren Kommunikation in gestürzter Reihenfolge, also zuerst die letzten News:
- Am 16. Oktober 2019 hat die Europäische Bankaufsichtsbehörde (EBA) die Frist für die Umsetzung der Regeln zur starken Kundenauthentifizierung im E-Commerce-Bereich bis 31. Dezember 2020 verlängert, um betroffenen Dienstleistern, insbesondere Zahlungsdienstleistern und Handelsunternehmen, mehr Zeit für technische Umstellungen zu geben. Dies erfolgte mit EBA's "Opinion on the deadline for the migration to SCA for e-commerce card-based payment transactions".
-
Am 21. Juni 2019 veröffentlichte die EBA eine "Opinion on the elements of strong customer authentication (SCA) under the PSD2". Diese Opinion beantwortet laufende Anfragen von Marktteilnehmern zu aus Sicht der EBA zulässigen bzw. unzulässigen Authentifizierungsmethoden.
- Am 11. Dezember 2018 veröffentlichte die EBA eine "Opinion on the use of eIDAS certificates under the RTS on Strong Customer Authentication and Common and Secure Communication (SCA & CSC)". Darin trifft die EBA Klarstellungen zu spezifischen Aspekten, nämlich welche qualifizierten Zertifikate im Zuge des "Open Bankings" zu verwenden sind (QSealCs und QWACs).
-
Am 4. Dezember 2018 veröffentlichte die EBA Leitlinien zu den Bedingungen für die Inanspruchnahme einer Ausnahme vom Notfallmechanismus gemäß Artikel 33 Absatz 6 der Delegierten Verordnung (EU) 2018/389 (RTS SCA). In diesen Leitlinien legt die EBA fest, unter welchen Voraussetzungen kontoführende Zahlungsdienstleister, die sich für eine dedizierte Schnittstelle entschieden haben, von der Verpflichtung zur Einrichtung eines Notfallmechanismus ausgenommen werden können.
- Am 13. Juni 2018 veröffentlichte die EBA eine "Opinion on the implementation of the RTS on strong customer authentication (SCA) and common and secure communication (CSC)". In der Opinion trifft die EBA einige Festlegungen zu Themen, die von Marktteilnehmern und zuständigen Aufsichtsbehörden zur Umsetzung von SCA und CSC an die EBA herangetragen wurden, etwa .
-
Am 13. März 2018 wurden die RTS schließlich als Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation im Amtsblatt veröffentlicht.
-
Am 27. November 2017 hat die EU-Kommission schließlich die finalen technischen Regulierungsstandards zur starken Kundenauthentifizierung und sicheren Kommunikation (RTS) angenommen.
-
Dazu gab EBA am 29. Juni 2017 eine Opinion ab, mit der sie zu den Änderungswünschen der EU-Kommission Stellung nahm.
-
Mit Schreiben vom 24. Mai 2017 teilte die EU-Kommission mit, dass sie beabsichtigt, diese RTS in abgeänderter Form zu verabschieden.
-
Am 23. Februar 2017 veröffentlichte EBA schließlich nach langer Diskussion ihren finalen RTS-Entwurf betreffend starke Kundenauthentifizierung und sichere Kommunikation.
-
Am 12. August 2016 veröffentlichte EBA ein Konsultationspapier für technische Regulierungsstandards (RTS) betreffend starke Kundenauthentifizierung und sichere Kommunikation im Rahmen der PSD2.
Hier fassen wir die wichigsten Punkte der RTS zusammen:
Starke Kundenauthentifizierung
Die PSD2 sieht strenge Sicherheitsvorkehrungen für die Auslösung und Durchführung elektronischer Zahlungen vor. Diese gelten für alle Zahlungsdienstleister (PSPs). PSPs müssen demnach eine starke Kundenauthentifizierung verlangen, wenn ein Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Starke Kundenauthentifizierung ist ein Authentifizierungsverfahren unter Heranziehung von mindestens zwei Elementen der Kategorien
- Wissen (etwas, das nur der Nutzer weiß, z.B. ein Passwort oder eine PIN),
- Besitz (etwas, das nur der Nutzer besitzt, z.B. eine Karte oder ein Gerät, das einen Authentifizierungscode generiert) oder
- Inhärenz (etwas, das der Nutzer ist, z.B. ein Fingerabruck oder eine Stimmenerkennung).
Der Authentifizierungsvorgang muss einen nur einmalig verwendbaren Authentifizierungscodes generieren. Der Code muss zumindest gewährleisten, dass
- keine auf einem der Elemente Wissen, Besitz und Inhärenz befindliche Information aus dem Authentifizierungscode abgeleitet werden kann,
- es nicht möglich ist, basierend auf der Kenntnis eines Autentifizierungscodes einen neuen Authentifizierungscode zu generieren, und
- der Authentifizierungscode nicht gefälscht werden kann.
Das Vefahren soll zudem Mechanismen beinhalten, um den Zeitraum zu beschränken, in dem der Zahler sein Zahlungskonto online erreichen kann. Auch die Zahl der Fehlversuche innerhalb eines zu definierenden Zeitraum soll beschränkt werden. Die Kommunikationsverfahren sollen auch gegen fremde Datenzugriffe und Manipulation geschützt werden. Außerdem sollen betrügerische Zahlungstransaktionen vor Durchführung vermieden, erkannt und geblockt werden.
Die Sicherheit von starken Kundenauthentifizierungsverfahren soll regelmäßig von internen oder externen unabhängigen und zertifizierten Prüfern getestet, evaluiert und geprüft werden.
Ausnahmen von der starken Kundenauthentifizierung
Ausnahmen von der starken Kundenauthentifizierung bestehen nach dem Konsultationsentwurf in folgenden Fällen:
- Online-Zugriff auf das Konto, ohne dabei sensible Zahlungsdaten anzugeben. Diese Ausnahme gilt nicht beim ersten Zugriff, sowie wenn die letzte starke Kundenauthentifizierung über ein Monat her ist;
- Auslösung kontaktloser elektronischer Zahlungen bis EUR 50, außer der Gesambetrag davor ausgelöster Transaktionen mittels der Kontaktlosfunktion ohne starker Kundenauthentifizierung übersteigt EUR 150;
- Zahlungsausgänge an vertrauenswürdige Personen, die vom Kunden als solche festgelegt wurden;
- Serie von Überweisungen mit demnselben Betrag an denselben Empfänger, außer bei der erstmaligen Einrichtung oder Änderung eines solchen Auftrags;
- Transfers, bei denen Auftraggeber und Empfänger ident sind und das Empfängerkonto beim selben Zahlungsdienstleister gehalten wird;
- Kleinstbetragszahlungen im Wege der elektronischen Ferntransaktion bis EUR 30, sofern der kumulierte Betrag der vorherigen Zahlungen EUR 100 nicht übersteigt;
- bestimmte sichere Unternehmenstransaktionen; und
- bei Anwendung einer sg "Transaction Risk Analysis" in Echtzeit und bis zu betimmten Schwellenwerten, sofern bestimmte Betrugsraten nicht überschritten werden.
Schnittstelle zwischen kontoführenden PSPs und Drittanbietern
Die RTS legen auch die Anforderungen an die Schnittstelle fest, über die kontoführende PSPs künftig Auslöse-, Kontoinformationsdienstleistern und Emittenten kartengebundener Zahlungsinstrumente Zugriffe auf das Kundenkonto ermöglichen müssen. Die RTS enthalten jedoch keine technischen Spezifikationen, sondern beschränken sich auf funktionale und nichtfunktionale Anforderungen an die technischen Systeme von kontoführenden PSPs.
Konkret müssen kontoführende Zahlungsdienstleister, die dem Zahler ein Konto mit Online-Zugang anbieten, mindestens eine Kommunikationsschnittstelle anbieten, die TTPs die folgenden drei Nutzungsmöglichkeiten zur Verfügung stellen. Mit der Schnittstelle müssen TTPs
- sich gegenüber dem kontoführenden Zahlungsdienstleister identifizieren können,
- mit dem kontoführenden Zahlungsdienstleister kommunizieren können, um Zahlungskonteninformationen anzufragen, Zahlungen auszulösen und Bestätigungen zu erhalten, ob der für die Ausführung einer kartenbasierten Zahlung erforderliche Betrag auf dem Zahlungskonto des Zahlers verfügbar ist, und
- sich auf die Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters verlassen können.
Die Kommunikationsschnittstelle muss zudem so gestaltet sein, dass die TTPs auf die Authentifizierungsverfahren der kontoführenden Institute vertrauen können. Konkret müssen
- Zahlungsauslöse- und Kontoinformationsdienstleister damit den kontoführenden Zahlungsdienstleister anweisen können, den Authentifizierungsprozess zu starten,
- Aufbau und Aufrechterhaltung eines Kommunikationsvorgangs zwischen den beteiligten Parteien während des Authentifizierungsprozesses gewährleistet sein und
- sie den Schutz der Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, wenn diese vom Zahlungsauslösedienstleister oder Kontoinformationsdienstleiter übertragen werden.
Die Kommunikationsschnittstellen sollen möglichst ISO 20022 und anderen von europäischen Standardisierungsorganisationen entwickelten Kommunikationsstandards entsprechen.
Weiters müssen kontoführende Institute die technischen Spezifikationen der Kommunikationsschnittstelle dokumentieren und auf ihrer Webseite öffentlich und kostenlos zur Verfügung zu stellen, insbesondere eine Liste von Routinen, Protokollen und Tools, die notwendig sind, um mit der Schnittstelle zu interagieren. Veröffentlichungen von Änderungen an den technischen Spezifikationen sind so früh wie möglich, spätestens jedoch drei Monate vor Implementierung vorzunehmen. Notfälle sind von dieser Frist ausgenommen.
Warum wurde die Frist zur Einführung einer starken Kundenauthentifzierung im Online-Handel von der EBA verschoben?
Bei Kartenzahlungen im E-Commerce wurde die Frist verlängert, weil einige derzeit übliche Bezahllösungen nicht den neuen Regelungen entsprechen und sowohl Zahlungsdienstleister als auch Händler mehr Zeit für die technische Umstellung auf die starke Kundenauthentifizierung benötigen. Es würde ansonsten das Risiko beträchtlicher Kaufabbrüche bestehen, was Handelsunternehmen verständlicherweise jedenfalls vermeiden wollten.
Am POS gelten die Anforderungen der starken Kundenauthentifizierung jedoch bereits seit 14. September 2019. Wenn man etwa in Geschäft mit Karte zahlen will, muss bereits eine starke Kundenauthentifizierung (2-Faktor-Authentifizierung) angewendet werden, etwa indem mit der Karte (Faktor Besitz) und einem PIN Code (Faktor Wissen) bezahlt wird.