Bei der starken Kundenauthentifizierung (Strong Customer Authentication, „SCA“) handelt es sich um eine besondere Form der Authentifizierung, die in §§ 1 Abs. 24. 55 ZAG geregelt ist, der auf Art. 97 PSD2 basiert. Die Authentifizierung dient zur Überprüfung, ob eine Person auch diejenige ist, die sie vorgibt zu sein.
Für elektronische Zahlungsvorgänge wird eine SCA immer dann verlangt, wenn der Zahler
- online auf sein Zahlungskonto zugreift,
- einen elektronischen Zahlungsvorgang auslöst oder
- über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch beinhaltet.
Demnach gilt die SCA-Pflicht z.B. bei Kreditkartenzahlungen im Internet oder beim Zugriff auf ein Online-Konto. Die Verpflichtung gilt hingegen nicht bei Zahlungen per Lastschrift, auch wenn das Lastschriftmandat online erteilt wird. (Etwas anderes gilt nur bei den e-Mandaten, bei denen die Bank des Zahlers in die Mandatserteilung involviert ist.) Bei der Lastschrift wird die Zahlung nämlich vom Zahlungsempfänger aufgrund der Zustimmung des Zahlers gegenüber dem Zahlungsempfänger, dessen Zahlungsdienstleister oder seinem eigenen Zahlungsdienstleister ausgelöst. Es handelt sich also nicht um einen vom Zahler ausgelösten Zahlungsvorgang.
Die SCA setzt voraus, dass mindestens zwei der nachfolgenden Elemente herangezogen werden:
- „Wissen“, also etwas, das nur der Nutzer weiß,
- „Besitz“, also etwas, das nur der Nutzer besitzt oder
- „Inhärenz“, also etwas, das der Nutzer ist.
Die verwendeten Elemente müssen aus unterschiedlichen Kategorien stammen. Etwas, das nur der Nutzer weiß, kann z.B. ein Passwort oder eine PIN sein. In die Kategorie Besitz fallen u.a. Token und Mobiltelefone. Der Besitz des Telefons lässt sich zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die mittels einer SMS an das Telefon geschickt wurde. Die Elemente der Kategorie Inhärenz sind dem Nutzer persönlich bzw. körperlich zu eigen, wie z.B. Fingerabdrücke oder eine Gesichtserkennung.
Eine Kartenzahlung im Geschäft kann also z.B. mit der Karte (Besitzelement) und PIN (Wissenselement) ausgelöst werden.
Doch wie kommt es, dass man bei der Kartenzahlung im Supermarkt nicht immer eine PIN eingeben muss? Das liegt daran, dass die SCA nicht in allen Fällen notwendig ist: Die Artikel 10 bis 20 der Delegierte Verordnung (EU) 2018/389 zur Zweiten Zahlungsdiensterichtlinie (PSD2) regelt Ausnahmetatbestände von der SCA-Pflicht z.B. bei
- kontaktlosen Zahlungen,
- unbeaufsichtigten Terminals für Verkehrsnutzungsentgelte und Parkgebühren,
- vom Zahler als vertrauenswürdig eingeschätzte Empfänger und
- Kleinbetragszahlungen.
Bei einer kontaktlosen Kartenzahlung im Supermarkt muss also keine PIN verwendet werden.
Wenn es sich bei der ausgelösten elektronischen Zahlung um einen Fernzahlungsvorgang handelt, also zum Beispiel bei einer Überweisung im Online-Banking, muss die SCA nach § 55 Abs. 2 ZAG zusätzlich mit einer „dynamischen Verknüpfung“ ergänzt werden, über die der Zahlungsvorgang mit einem konkreten Betrag und dem spezifischen Empfänger verknüpft wird. Bei der Übersendung einer TAN mittels SMS muss dem Zahler z.B. mitgeteilt werden, für welchen Betrag und Zahlungsempfänger diese TAN gelten soll. Die TAN gilt dann nur für diese eine Zahlung; jede Änderung der Zahlungsdaten würde die übermittelte TAN ungültig machen.
Ausgenommen von dem Erfordernis, SCA anzuwenden, sind Zahlungen für sogenannten MOTO Bestellungen, das sind Bestellungen per Mail Order (Brief, Fax) und Telefon.
ZUR STARTSEITE DES FINTECH-ONLINEKURSES
Cover picture: Copyright © Adobe/ sutthinon602