Am 14. September 2019 tritt § 55 des Zahlungsdiensteaufsichtsgesetzes in Kraft. Die Vorschrift verpflichtet die kartenausgebenden Institute („Endkunden-Bank“, auch genannt Issuer), eine Starke Kundenauthentifizierung (Strong Customer Authentication, ab jetzt SCA) zu verlangen, wenn ein Zahler eine elektronische Zahlung auslöst. Eine SCA ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen aus den Kategorien Wissen, Besitz oder Inhärenz. Ein Verzicht auf die Starke Kundenauthentifizierung ist auch bei entsprechender Haftungsübernahme des Zahlungsempfängers nicht möglich.
Die EBA-RTS werden das Bezahlen mit Kreditkarten im Internet stark verändern, da die meisten der in der Vergangenheit dafür eingesetzten Authentifizierungsverfahren die Anforderungen an eine SCA nicht erfüllen. Die aktuelle Situation, wohlbemerkt zwei Monate vor Inkrafttreten der Vorschrift, zeigt jedoch, dass viele Unternehmen, die Kreditkartenzahlungen im Internet nutzen, noch nicht ausreichend auf die neuen Anforderungen vorbereitet sind. Das könnte dazu führen, dass Transaktionen vom Issuer abgelehnt werden, weil Sie die Ausnahmen oder out-of-scope Transaktionen nicht erkennen können. Oder sie eben nicht über das 3DS-Verfahren (3-D Secure: Sicherheitsverfahren für Online-Kreditkarten-Zahlungen) verarbeitet werden und daher abgelehnt werden müssten.
Am 21. Juni 2019 hat die Europäische Bankenaufsichtsbehörde (EBA) die „Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2“ (Link s.u.) veröffentlicht und darin den nationalen Aufsichtsbehörden (NCA, in Deutschland die BaFin) eine "aufsichtliche Flexibilität" zuerkannt. Die NCAs können nun Maßnahmen ergreifen, um einen reibungslosen Übergang auf die neuen Anforderungen zu ermöglichen. Hierbei sei angemerkt, dass die EBA betont, dass damit keine Verschiebung des Anwendungsdatums der neuen Pflichten verbunden ist. Vielmehr solle ein expliziter Migrationsplan der betroffenen Zahlungsdienstleister erstellt werden, der klar definierte Zwischenziele zur Erreichung eines rechtskonformen Zustands enthält.
Im Markt wuchs seit Veröffentlichung dieser EBA-Opinion die Sorge, dass diese zu einer starken Fragmentierung des EU-Binnenmarktes führen könne, wenn Aufsichtsbehörden unterschiedliche Vorgehensweisen in den einzelnen Mitgliedsstaaten beschließen.
Das hier veröffentlichte Positionspapier sendeten wir am 23. Juli 2019 an die Europäische Bankenaufsicht (EBA), die Generaldirektion für Finanzstabilität, Finanzdienstleistungen und Kapitalmarktunion (DG FISMA) sowie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Darin begrüßen wir den pragmatischen Ansatz der EBA, einen Migrationsplan in enger Absprache mit der Industrie zu beschließen. Bitkom empfiehlt dazu einen 18-monatigen SCA-Migrationsplan a) auf europäischer (nicht in einzelnen Mitgliedsstaaten) und b) auf Gesamt-Marktebene (nicht auf Issuer- oder Acquirer-Ebene). Auch weisen wir auf die besonderen Herausforderungen in der Handels- und Reisebranche hin. Dazu schlagen wir halbjährliche Bewertungszeitpunkte für die 18-monatige Umsetzungsphase vor.
Das Positionspapier steht hier zum Download zur Verfügung.