Dop­pelt ist siche­rer. Das dach­ten sich wohl die Ver­ant­wort­li­chen der Euro­päi­schen Union, als sie ent­schie­den haben, die SCA (Strong Cus­to­mer Authen­ti­ca­tion) im Rah­men der EU-Richt­li­nie PSD2 (Pay­ment Ser­vices Direc­tive) ein­zu­füh­ren.

Bild von The­Di­gi­tal­Way auf Pixabay.

Was diese ver­wir­ren­den Abkür­zun­gen bedeu­ten? Das ist eigent­lich recht schnell erklärt: Wer online shoppt, muss sich künf­tig auf zwei unter­schied­li­chen Wegen authen­ti­fi­zie­ren, um zu bezah­len.

Zur Wahl ste­hen dabei Metho­den aus drei unter­schied­li­chen Berei­chen:

  • über ein unver­än­der­li­ches Merk­mal, zum Bei­spiel den Fin­ger­ab­druck, Iris-Scan oder die Stimme
  • über gehei­mes Wis­sen, zum Bei­spiel ein Pass­wort oder eine PIN
  • über etwas, das man besitzt, zum Bei­spiel eine Bank­karte + TAN-Gene­ra­tor

Wenn ich mein Ticket online per Kre­dit­karte bezah­len will, reicht es künf­tig also nicht mehr, ein­fach nur die Kar­ten­num­mer und eine Prüf­zahl abzu­tip­pen. Um Betrug vor­zu­beu­gen, muss ich außer­dem mei­nen Fin­ger­ab­druck abglei­chen, eine TAN ein­ge­ben, meine Iris scan­nen und so wei­ter – je nach­dem, für wel­che zwei Metho­den ich mich bei mei­nem Kre­dit­kar­ten­in­sti­tut ent­schie­den habe.

Für man­che Fälle gibt es Aus­nah­men, aber das würde hier zu weit füh­ren.

Wie die neue Richt­li­nie Chaos stif­tet

EU-Richt­li­nien wie die PSD2 müs­sen von den ein­zel­nen Mit­glieds­staa­ten erst in natio­na­les Recht über­setzt wer­den, bevor sie gel­ten. In Deutsch­land wurde die Umset­zung bereits vom Bun­des­tag ver­ab­schie­det. Ab dem 14. Sep­tem­ber soll die dop­pelte Authen­ti­fi­zie­rung bei der Zah­lung von Online-Ein­käu­fen gel­ten – eigent­lich.

Denn Ban­ken und Online-Händ­ler haben es teil­weise noch nicht geschafft, die erfor­der­li­chen Sicher­heits­maß­nah­men tech­nisch anzu­bie­ten. Des­halb hat die BaFin, die die Umset­zung in Deutsch­land über­wacht, eine Schon­frist beschlos­sen.

Das ist mög­lich, weil die Euro­päi­sche Ban­ken­auf­sicht (EBA) es den natio­na­len Auf­sichts­be­hör­den erlaubt hat. Kon­kret bedeu­tet das: Zah­lun­gen sind nach dem 14. Sep­tem­ber wei­ter­hin mög­lich – auch wenn die Kun­den sich nicht mit zwei unter­schied­li­chen Metho­den authen­ti­fi­ziert haben.

Lang­fris­tig wer­den die Zah­lun­gen in sol­chen Fäl­len jedoch nicht mehr frei­ge­ge­ben. Wann das sein wird, wol­len die Ver­ant­wort­li­chen der BaFin fest­le­gen, nach­dem sie mit Händ­lern, Ban­ken, der EBA und ande­ren natio­na­len Auf­sichts­be­hör­den gespro­chen haben.

Was Conn­fair damit zu tun hat

Wäh­rend einige Unter­neh­men noch kämp­fen, hat Conn­fair die neue Richt­li­nie bereits imple­men­tiert. Ver­an­stal­ter, die ihre Tickets mit Conn­fair ver­kau­fen, brau­chen sich also keine Gedan­ken machen. Weder dar­über, ob die Zah­lung ihrer Kun­den frei­ge­ge­ben wird, noch dar­über, wie sie die Richt­li­nien tech­nisch am bes­ten umset­zen.