Blog-Beitrag

Nichts geht mehr ohne 3D-Secure: Die neue PSD2-Richtlinie kommt ab September

18. September 2019

Ein sicheres Verfahren für den E-Commerce: Mit dem 3D-Secure-Verfahren („Mastercard® Identity Check™“ bzw. „Visa Secure“) sendet der Online-Händler bei jedem Kauf über eine verschlüsselte Verbindung eine Zahlungsanfrage an die Bank. Der Kunde gibt den Kauf daraufhin per App oder mTAN, inkl. Beantwortung der selbst gewählten Sicherheitsfrage, frei. Ab dem 14. September 2019 wird dieses Verfahren Pflicht für alle Issuer und Acquirer im europäischen Wirtschaftsraum.

Was ändert sich mit der neuen Richtlinie PSD2 (Payment Service Directive 2)?

PSD2 sieht eine starke Kundenauthentifizierung oder auch Zwei-Faktor-Authentifizierung vor. Dieses Sicherheitsverfahren wird nun verpflichtend. Das bedeutet konkret: Kunden müssen sich bei jedem Online-Kauf mit zwei voneinander unabhängigen Elementen ausweisen.

Die Elemente stammen aus den Kategorien

Wissen (z. B. Passwort, Sicherheitsfrage oder Ähnliches),
Besitz (z. B. Smartphone) oder
Inhärenz (z. B. biometrisches Merkmal)

BaFin gibt Unternehmen in Deutschland mehr Zeit zur Umstellung

Aktuell hat die BaFin ein Schreiben zur Erleichterung der starken Kundenauthentifizierung veröffentlicht. Internetzahlungen ohne starke Kundenauthentifizierung (3D-Secure) können ab dem 14. September weiterhin genehmigt werden. Denn während nach Einschätzung der BaFin die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen bereits vorbereitet sind, haben jene Unternehmen noch Nachholbedarf, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Für einen weiterhin reibungslosen Ablauf von Online-Zahlungen per Kreditkarte wird die BaFin deshalb für Kreditzahlungen im Internet vorübergehend nicht auf eine Zwei-Faktor-Authentifizierung bestehen.