Mit PSD2 wurden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. Die "starke Kundenauthentifizierung" bzw. "2-Faktor-Authentifizierung" bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:
- Wissenselemente: etwas, das nur Sie wissen (z. B. PIN)
- Besitzelemente: etwas, das nur Sie besitzen (z. B. girocard mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird) oder
- ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.
Die "2-Faktor-Authentifizierung" wird in der Regel angewendet bei:
- Login zum OnlineBanking
- einer Zahlung (gilt nicht für Lastschriften)
- einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung
- Zahlungen mit Ihrer Kreditkarte beim Online-Einkauf
Sicherheit durch die starke Kundenauthentifizierung
Wenn Sie eine Zahlung über das OnlineBanking ausführen, nutzen Sie die mit uns vereinbarten Authentifizierungselemente, wie zum Beispiel PIN und TAN. So können wir feststellen, dass tatsächlich Sie diese Vorgänge berechtigterweise veranlasst haben. Die PSD2 erkennt diese Authentifizierungsverfahren an und regelt diese nunmehr gesetzlich. In der Regel wird bei jeder Transaktion eine starke Kundenauthentifizierung erfolgen. Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein müssen eingesetzt werden, beispielsweise eine PIN als Wissenselement oder ein Mobiltelefon als Besitzelement, an das eine TAN übermittelt wird. Wie schon bisher bei einer Zahlung über das Online-Banking werden Sie beim Zugriff auf Kontoinformationen in der Regel zwei Authentifizierungselemente einsetzen: PIN und TAN. Bei Kreditkartenzahlungen im Internet werden mit der PSD2 die sicheren Bezahlverfahren "Mastercard® Identity Check" oder "Visa Secure" verpflichtend.
Ausnahmen von der starken Kundenauthentifizierung
Gemäß PSD2 besteht die Möglichkeit, in bestimmten Fällen den Einsatz nur eines Authentifizierungselements anzufordern. Die zweifache Absicherung durch eine starke Kundenauthentifizierung ist nicht nötig, wenn:
- Sie Zahlungen an sich selbst im selben Bankinstitut vornehmen
- zum Beispiel mit Kwitt Kleinstbeträge bis 30 Euro elektronisch bezahlt werden
- Zahlungen an unbeaufsichtigten Terminals vorgenommen werden
- es um kontaktlose Kleinbetragszahlungen geht.