Doppelt ist sicherer. Das dachten sich wohl die Verantwortlichen der Europäischen Union, als sie entschieden haben, die SCA (Strong Customer Authentication) im Rahmen der EU-Richtlinie PSD2 (Payment Services Directive) einzuführen.
Bild von TheDigitalWay auf Pixabay.
Was diese verwirrenden Abkürzungen bedeuten? Das ist eigentlich recht schnell erklärt: Wer online shoppt, muss sich künftig auf zwei unterschiedlichen Wegen authentifizieren, um zu bezahlen.
Zur Wahl stehen dabei Methoden aus drei unterschiedlichen Bereichen:
- über ein unveränderliches Merkmal, zum Beispiel den Fingerabdruck, Iris-Scan oder die Stimme
- über geheimes Wissen, zum Beispiel ein Passwort oder eine PIN
- über etwas, das man besitzt, zum Beispiel eine Bankkarte + TAN-Generator
Wenn ich mein Ticket online per Kreditkarte bezahlen will, reicht es künftig also nicht mehr, einfach nur die Kartennummer und eine Prüfzahl abzutippen. Um Betrug vorzubeugen, muss ich außerdem meinen Fingerabdruck abgleichen, eine TAN eingeben, meine Iris scannen und so weiter – je nachdem, für welche zwei Methoden ich mich bei meinem Kreditkarteninstitut entschieden habe.
Für manche Fälle gibt es Ausnahmen, aber das würde hier zu weit führen.
Wie die neue Richtlinie Chaos stiftet
EU-Richtlinien wie die PSD2 müssen von den einzelnen Mitgliedsstaaten erst in nationales Recht übersetzt werden, bevor sie gelten. In Deutschland wurde die Umsetzung bereits vom Bundestag verabschiedet. Ab dem 14. September soll die doppelte Authentifizierung bei der Zahlung von Online-Einkäufen gelten – eigentlich.
Denn Banken und Online-Händler haben es teilweise noch nicht geschafft, die erforderlichen Sicherheitsmaßnahmen technisch anzubieten. Deshalb hat die BaFin, die die Umsetzung in Deutschland überwacht, eine Schonfrist beschlossen.
Das ist möglich, weil die Europäische Bankenaufsicht (EBA) es den nationalen Aufsichtsbehörden erlaubt hat. Konkret bedeutet das: Zahlungen sind nach dem 14. September weiterhin möglich – auch wenn die Kunden sich nicht mit zwei unterschiedlichen Methoden authentifiziert haben.
Langfristig werden die Zahlungen in solchen Fällen jedoch nicht mehr freigegeben. Wann das sein wird, wollen die Verantwortlichen der BaFin festlegen, nachdem sie mit Händlern, Banken, der EBA und anderen nationalen Aufsichtsbehörden gesprochen haben.
Was Connfair damit zu tun hat
Während einige Unternehmen noch kämpfen, hat Connfair die neue Richtlinie bereits implementiert. Veranstalter, die ihre Tickets mit Connfair verkaufen, brauchen sich also keine Gedanken machen. Weder darüber, ob die Zahlung ihrer Kunden freigegeben wird, noch darüber, wie sie die Richtlinien technisch am besten umsetzen.