Einige Eckpunkte: Starke Kundenauthentifikation basiert auf mindestens zwei voneinander unabhängigen Elementen aus den Bereichen „Wissen“, „Besitz“ und „Persönliche Merkmale“.
Die Anforderungen der EBA an diese Elemente sind allgemein gehalten. So müssen Zahlungsdienstleister zum Beispiel Maßnahmen umsetzen, die das Risiko senken, dass Elemente aus dem Bereich „Wissen“ von unbefugten Dritten aufgedeckt oder an unbefugte Dritte übermittelt werden können. Bei der Nutzung von Elementen aus dem Bereich „Wissen“ durch den Kunden müssen Sicherheitsmaßnahmen eine Weitergabe an unbefugte Dritte verhindern.
Bei Elementen aus dem Bereich „Besitz“ müssen Zahlungsdienstleister solche Sicherheitsmaßnahmen ergreifen, die das Risiko senken, dass unbefugte Dritte solche Elemente nutzen. Außerdem müssen die Sicherheitsmaßnahmen dafür sorgen, dass das Kopieren von Elementen aus dem Bereich „Besitz“ nicht möglich ist. Bei Elementen aus dem Bereich „Persönliche Merkmale“ wird unter anderem gefordert, dass es bei der Erfassung der persönlichen Merkmale durch Hard- und Software nur eine „sehr geringe Wahrscheinlichkeit“ gibt, dass unbefugte Dritte als rechtmäßige Zahler anerkannt werden.
Ausnahmen, in denen keine starke Kundenauthentifizierung notwendig ist, betreffen unter anderem Kontoinformationen, Kontaktlos-Zahlungen am Point of Sale (Transaktionen unter 50 Euro und bis zu einer Gesamtsumme von 150 Euro bzw. 5 Transaktionen), Transport- und Parkgebühren (an SB-Terminals), Zahlungen an vertrauenswürdige Zahlungsempfänger (White List), Zahlungen auf eigene Konten und Zahlungen mit geringem Wert (unter 30 Euro). Bei Zahlungen bis 500 Euro ist auch eine Transaktions-Risiko-Analyse anstelle der starken Kundenauthentifizierung möglich.
Die nächsten Schritte: Die Regulierungsstandards werden an die EU-Kommission übermittelt und anschließend im Europa-Parlament sowie im EU-Rat behandelt, bevor sie im offiziellen Journal der Europäischen Union veröffentlicht werden und damit in Kraft treten. Ab der Veröffentlichung gilt eine 18-monatige Frist, bis die RTS verbindlich anzuwenden sind. Nach Einschätzung der EBA wird dies frühestens ab November 2018 der Fall sein.
Dieser Artikel wurde von Frank Braatz (Programmbeirat ProfitCard und OMNISECURE) in der SOURCE 03/2017 veröffentlicht.