Die zweite EU-Zahlungsverkehrsrichtlinie wurde bereits am 14. September 2019 eingeführt. Es gilt jedoch noch eine Frist bis 2021, zu er alle Anforderungen vollständig umzusetzen sind. Die Geschichte der Strong Customer Authentication geht aber noch weiter zurück.
Die EU-Richtlinie baut auf drei Schlüsselbereiche einer Gesetzgebung von 2007 auf. Damals – wie heute – ging es der Europäischen Union um folgende Punkte:
- Die Verbraucherrechte im Zahlungsverkehr zu stärken.
- Gleiche Wettbewerbsbedingungen durch die Regelung des Zugangs Dritter zu Kontoinformationen zu schaffen.
- Die Sicherheit für alle Seiten zu verbessern.
Umgesetzt wurden diese Aspekte in der ersten Ausgabe der Payment Service Directive (PSD). Seit ihrer Einführung entwickelten sich die technologischen Fortschritte beim Zahlungsverkehr aber in einem gewaltigen Tempo weiter: So wuchs auch die Anzahl von Onlinebezahldiensten und Third-Party-Providers, kurz TPPs, was Käufern gänzlich neue Möglichkeiten eröffnete, leicht und schnell zu bezahlen. Und auf der anderen Seite Verkäufern ermöglichte, auf Kontoinformationen von Kunden zuzugreifen.
Der Zugang zu Verbraucherkonten lag damit aber quasi offen, was wiederum zu einem erhöhten Sicherheitsrisiko führte. Die Reaktion folgte schnell in Form von klaren Gesetzen, die regeln, auf welche Weise TPPs und Zahlungsdienstleister Zugänge zu den Kundenkonten bekommen können.
Strong Customer Authentication ist nun der nächste Schritt, um den Betrug bei Onlinetransaktionen zu reduzieren. Als eine EU-weite Verpflichtung soll die Technik bei jeder durchgeführten Finanztransaktion zum Einsatz kommen. Sobald der Zahlungsdienstleister des Unternehmens bzw. die Bank oder der Kartenanbieter des Auftraggebers seinen Sitz imEuropäischen Wirtschaftsraum (EWR) hat, greift das Gesetz. Auch bei Online-Unternehmen, die ihren Hauptsitz außerhalb Europas haben, können Transaktionen also noch der Strong Customer Authentication unterliegen, sofern die Zahlung beispielsweise über eine Bank aus dem Europäischen Wirtschaftsraum erfolgt.
Ein europäisches Gesetz, das letztlich auch Anbieter betrifft, die außerhalb des EWRs sitzen: Aus diesem Grund sind die neuen Anforderungen zur Authentifizierung von Onlinezahlungen in ihrer Umsetzung so komplex. Zahlungsdienstleister haben deshalb bereits mehrfach um Aufschub bei der Umsetzung von PSD2 SCA gebeten und auch ein konkreter, verbindlicher Stichtag ist bis heute noch nicht festgelegt worden.