Gemäß § 1 Abs. 24 ZAG ist die „Starke Kundenauthentifizierung“ eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt:
- „Wissen“, also etwas, das nur der Nutzer weiss,
- „Besitz“, also etwas, das nur der Nutzer besitzt oder
- „Inhärenz“, also etwas, das der Nutzer ist.
Gemäß § 55 Abs. 1 Satz 1 ZAG sind Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
Die Delegierte Verordnung (EU) 2018/389 enthält weitere Vorgaben für das Verfahren.