20. Aug 2019   Finanz Recht

2-Faktor-Authentifizierung kommt teilweise später

Wien. Die Finanzmarktaufsicht FMA verlängert die Frist zur Umsetzung der starken 2-Faktor-Kundenauthentifizierung. Das betrifft aber nur Kartenzahlungen im E-Commerce-Bereich.

Österreichs Finanzmarktaufsichtsbehörde (FMA) wird im Einklang mit der EU die Frist zur Umsetzung der starken Kundenauthentifizierung („2-Faktor-Authentifizierung“) bei Kartenzahlungen im E-Commerce-Bereich verlängern. Das soll Zahlungsdienstleistern und Handelsunternehmen zusätzliche Zeit für technische Umstellungen geben.

Die FMA mache damit von der Möglichkeit einer „aufsichtsbehördlichen Nachsicht“ Gebrauch, die ihr von der Europäischen Bankenregulierungsbehörde (EBA) eingeräumt wurde. Betroffene Zahlungsdienstleister seien dazu angehalten der FMA einen Umsetzungsplan zu übermitteln und die FMA laufend über den Fortschritt des Implementierungsprozesses zu informieren.

Die neue Frist zur Umsetzung der starken Kundenauthentifizierung im E-Commerce-Bereich sowie Details zum Umsetzungsprozess und zu laufenden Informationspflichten werden auf europäischer Ebene Ende September 2019 beschlossen und europaweit einheitlich gelten.

Weitere Bereiche, in welchen die starke Kundenauthentifizierung zukünftig anzuwenden ist – wie zum Beispiel beim Online-Zugriff auf ein Zahlungskonto, bei elektronischen Überweisungen, oder bei Point of Sale-Zahlungen – sind nicht von der Fristverlängerung betroffen, macht die FMA aufmerksam. In diesen Bereichen muss die starke Kundenauthentifizierung somit ab dem 14. September 2019 europaweit angewendet werden.

Die 2-Faktor-Authentifizierung in der Praxis

Starke Kundenauthentifizierung bedeutet, dass die Identität einer zahlenden Person mindestens anhand zweier Faktoren von insgesamt drei zu überprüfen ist, um Betrugsfälle im Zahlungsverkehr zu minimieren. Diese Faktoren sind:

  • Wissen – etwas, das nur die zahlende Person weiß, wie zum Beispiel ein Passwort
  • Besitz – etwas, das nur die zahlende Person hat, wie zum Beispiel eine Karte, die mittels Kartenlesegerät eingelesen wird, oder ein Handy, auf dem ein TAN-Code empfangen wird
  • Inhärenz – etwas, das nur die zahlende Person ist, wie zum Beispiel ein
    Fingerabdruck oder Gesichtsscan

In der Praxis kann dies – je nachdem, wie eine Bank die neuen Regeln umsetzt – etwa bedeuten, dass Online-Bankkunden sich im September beim ersten Einloggen zusätzlich durch einen TAN ausweisen müssen. Und diesen TAN müssen sie mit einem Gerät empfangen, das vorher explizit für das betreffende Online-Bankingsystem angemeldet wurde.

Die rechtliche Seite

Die starke Kundenauthentifizierung ist in der Richtlinie über Zahlungsdienste (Payment Service Directive II, PSD II) geregelt, welche am 13. Jänner 2016 in Kraft trat und mit 1. Juni 2018, durch das Zahlungsdienstegesetz 2018 (ZaDiG 2018), in nationales Recht umgesetzt wurde.

Ursprünglich hatten Unternehmen bis 14. September 2019 Zeit, auf starke Kundenauthentifizierung umzustellen. Die Möglichkeit, einer Fristverlängerung bei Kartenzahlungen im E-Commerce-Bereich ergibt sich aus der „Opinion on the elements of strong customer authentification under PSD II“, welche von der EBA am 21. Juni 2019 veröffentlicht wurde, so die FMA.

Link: FMA (Starke Kundenidentifizierung)

 

Der Inhalt ist nicht verfügbar.
Bitte erlauben Sie Cookies, indem Sie auf OK im Hinweis-Banner klicken.

    Weitere Meldungen:

  1. Social Impact Banking: Die Varianten bei der Bank Austria
  2. EuGH entscheidet zu vorzeitiger Kreditrückzahlung
  3. Versicherer kämpfen sich aus Ertrags-Flaute
  4. FMA billigt 24 Prospekte, bekommt 168 herein