Mit der PSD2 werden die Zahlungsdienstleister insbesondere verpflichtet, eine starke Kundenauthentifizierung zu entwickeln. Die jetzt verabschiedeten Vorschriften sehen eine Kombination aus mindestens zwei unabhängigen Elementen vor: kombiniert werden kann beispielsweise ein physischer Gegenstand (Karte oder Mobiltelefon) mit einem Passwort oder einem biometrischen Merkmal (z.B. Fingerabdruck). Die einfache Bereitstellung eines Passworts oder Angaben auf einer Kreditkarte werden in den meisten Fällen nicht mehr ausreichen, um eine Zahlung zu tätigen. In bestimmten Fällen wird ein Code, der nur für eine bestimmte Transaktion gültig ist, zusammen mit den beiden anderen unabhängigen Elementen erforderlich sein.
In den Vorschriften wird jedoch auch anerkannt, dass ein akzeptables Zahlungssicherheitsniveau in einigen Fällen auf andere Weise erreicht werden kann. So können Zahlungsdienstleister hiervon befreit werden, wenn sie bestimmte Wege zur Bewertung der Risiken entwickelt haben und betrügerische Transaktionen erkennen können. Ausnahmen bestehen auch für kontaktlose Zahlungen und Transaktionen für kleine Beträge sowie für bestimmte Arten von Zahlungen, beispielsweise für Beförderungsleistungen im Stadtverkehr oder Parkgebühren.
In den RTS sind auch die Anforderungen an gemeinsame, sichere Standards für die Kommunikation zwischen Banken und FinTech-Unternehmen festgelegt. Verbraucher, die neue Dienste nutzen wollen, können von ihren Banken nicht daran gehindert werden. Jede Bank, die einen Online-Zugang zu Konten anbietet, muss auch mit FinTech-Unternehmen oder anderen Banken zusammenarbeiten, die diese neuen Dienste anbieten. Dazu müssen die Banken sichere Kommunikationskanäle einrichten, über die Daten übermittelt und Zahlungen veranlasst werden können.
Nach Annahme der technischen Regulierungsstandards durch die EU-Kommission haben das Europäische Parlament und der Rat drei Monate Zeit, um diese zu prüfen. Die neuen Vorschriften werden vorbehaltlich des Prüfungszeitraums im Amtsblatt der EU veröffentlicht. Banken und andere Zahlungsdienstleister haben dann 18 Monate Zeit, um die Sicherheitsmaßnahmen und Kommunikationsinstrumente einzuführen.
Dieser Artikel wurde von Frank Braatz (Mitglied des Programmbeirats der ProfitCard) in der SOURCE 12/2017 veröffentlicht.