Zwei-Faktor-Authentifizierung im elektronischen Zahlungsverkehr - was bedeutet das?

veröffentlicht am 18.12.2019

Aufschub für die neuen Regelungen

Ursprünglich war vorgesehen, dass heimische Banken bei Online-Zahlungen ab dem 14. September die sogenannte 2-Faktor-Authentifizierung verpflichtend einführen müssen (verpflichtende Vorgaben aus der Zahlungsdiensterichtlinie). Weil die Umsetzung der neuen Vorgaben technische Nachrüstungen erfordert, wurde die Umsetzungsfrist von der Finanzmarktaufsicht verlängert.

Auch wenn die genauen Termine dafür noch nicht feststehen, was bedeutet die 2-Faktor-Authentifizierung für den elektronischen Zahlungsverkehr?

Identifizierung der KundInnen erfolgt über zumindest 2 Faktoren

Nach dem Prinzip „Doppelt hält besser" sieht die 2-Faktor-Authentifizierung vor, dass hinkünftig KundInnen bei Zahlungen über das Internet oder elektronischen Kartenzahlungen an einer Kassa in zumindest zwei Schritten, „Faktoren" identifizieren müssen. Diese sogenannte Zwei-Faktor-Authentisierung (2FA) gibt es in zahlreichen Varianten, einige ergänzen das zuvor eingegebene Passwort um einen zusätzlichen Faktor, andere ersetzen das vorherige Log-In mit Passwort komplett durch eine direkte Kombination zweier Faktoren. Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B. Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (also etwas, was nur die/der Zahler/in aufweisen, wie etwa ein Fingerabdruck, das Gesicht bei Gesichtserkennung oder bestimmte andere biometrische Daten) verwendet wird.

Anwendungsbereich und Ausnahmen

Auch wenn der genaue Zeitpunkt noch nicht fix ist, der Online-Zahlungsverkehr der Banken und Kreditinstitute wird in Zukunft mit der Zwei-Faktor-Authentifizierung abgewickelt werden müssen. Angesichts der Vorgaben durch die Richtlinie und der entsprechenden nationalen Regelung wird eine Zahlung durch die Eingabe von TANs beim Online-Banking ebensowenig reichen, wie die bloße Angabe der Kreditkartendaten, wie Name, Nummer, Ablaufdatum, Prüfziffer.

In bestimmten Fällen sind Ausnahmen von der strengen Kundenauthentifizierung vorgesehen.

(Quelle WKÖ: Detaillierte Informationen zu 2-Faktor-Authentifizierung):

• Zahlungskontoinformationen (wenn innerhalb der letzten 90 Tage eine Authentifizierung stattgefunden hat)
• Kontaktloses Zahlen bis zu 50 Euro (bzw. kumuliert nicht über 150 € oder nicht mehr als fünf Zahlungen)
• Kleinbetragszahlungen bis 30 € (bzw kumuliert nicht mehr als 100 € oder nicht mehr als fünf Zahlungen)
• Zahlungen an Terminals für Parkgebühren und Fahrkartenkäufe für den Verkehr
• ZahlerInnen können eine Liste der vertrauenswürdigen Empfänger erstellen, die er dem Zahlungsdienstleister mitteilt („white listing").
• Bei wiederkehrenden Zahlungsvorgängen ist nur bei Erstellung, Änderung und erstmaligen Auslösen eine strenge Authentifizierung erforderlich.
• Überweisungen zwischen Konten derselben natürlichen oder juristischen Person
• Von Unternehmen genutzte sichere Zahlungsprozesse und -protokolle, wenn die zuständige Behörde (in Österreich die FMA) diese Prozesse und Protokolle als ausreichend sicher ansieht.
• Zahlungen mit einem äußerst geringen Risiko des missbräuchlichen Gebrauchs von Zahlungsmitteln (Liegt z.B. die Obergrenze der kartengebundenen Zahlungen bei 500 €, darf die Betrugsquote bei diesen Zahlungen maximal 0,01 % ausmachen).

Nicht betroffen sind grundsätzlich Zahlungen mit „virtuellen Währungen" wie Bitcoin. Der Erwerb von Einheiten einer Kryptowährung, so dieser online erfolgt, wird aber ebenfalls eine 2-Faktor-Authentifizierung notwendig machen.

Weitere Änderungen

Auch aufgrund der Zahlungsdienste-RL dürfen ab 14. September 2019 sogenannte Zahlungsauslösedienste und Kontoinformationsdienste (etwa über Apps, die von FinTech-Unternehmen angeboten werden) in Österreich angeboten werden.

Bei einem Zahlungsauslösedienst (z.B.: Sofort GmbH, die die SOFORT Überweisung anbietet) löst der Zahlungsdienstleister (in der Regel eine Bank) eine Zahlung von einem Zahlungskonto aus, das von einem anderen Zahlungsdienstleister geführt wird.

Ein Kontoinformationsdienst ermöglicht eine Übersicht über alle oder mehrere Zahlungskonten, die der Nutzer der Zahlungsdienstleistungen bei mehreren Zahlungsdienstleistungen hält. Für diese Dienste gelten ebenfalls strenge Sicherheits- und Authentifizierungsbestimmungen.