Navigation
Seiteninhalt

Onlineshops: Längere Umsetzungsfrist für starke Authentifizierung

Die FMA verlängert die Frist zur Umsetzung der „2-Faktor-Authentifizierung“ bei Kartenzahlungen im E-Commerce-Bereich, um Zahlungsdienstleistern und Händlern zusätzliche Zeit für technische Umstellungen zu geben.
Von Redaktion
19. August 2019

Die Österreichs Finanzmarktaufsichtsbehörde (FMA) macht damit von der Möglichkeit einer „aufsichtsbehördlichen Nachsicht“ Gebrauch, welche ihr von der Europäischen Bankenregulierungsbehörde (EBA) eingeräumt wurde. Betroffene Zahlungsdienstleister sind dazu angehalten, der FMA einen Umsetzungsplan zu übermitteln und die FMA laufend über den Fortschritt des Implementierungsprozesses zu informieren. Die neue Frist zur Umsetzung der starken Kundenauthentifizierung im E-Commerce-Bereich sowie Details zum Umsetzungsprozess und zu laufenden Informationspflichten werden auf europäischer Ebene Ende September 2019 beschlossen und europaweit einheitlich gelten.

Weitere Bereiche, in denen die starke Kundenauthentifizierung zukünftig anzuwenden ist – wie zum Beispiel beim Online-Zugriff auf ein Zahlungskonto, bei elektronischen Überweisungen, oder bei Point of Sale-Zahlungen – sind nicht von der Fristverlängerung betroffen. In diesen Bereichen muss die starke Kundenauthentifizierung somit ab dem 14. September 2019 europaweit angewendet werden.

Starke Kundenauthentifizierung bedeutet, dass die Identität einer zahlenden Person mindestens anhand zweier Faktoren von insgesamt drei zu überprüfen ist, um Betrugsfälle im Zahlungsverkehr zu minimieren. Diese Faktoren sind:

  • Wissen – etwas, das nur die zahlende Person weiß, wie zum Beispiel ein Passwort

  • Besitz – etwas, das nur die zahlende Person hat, wie zum Beispiel eine Karte, die mittels Kartenlesegerät eingelesen wird, oder ein Handy, auf dem ein TAN-Code empfangen wird

  • Inhärenz – etwas, das nur die zahlende Person ist, wie zum Beispiel ein Fingerabdruck oder Gesichtsscan

Die starke Kundenauthentifizierung ist in der Richtlinie über Zahlungsdienste (Payment Service Directive II, PSD II) geregelt, die am 13. Jänner 2016 in Kraft trat und mit 1. Juni 2018 durch das Zahlungsdienstegesetz 2018 (ZaDiG 2018) in nationales Recht umgesetzt wurde. Ursprünglich hatten Unternehmen bis 14. September 2019 Zeit, auf starke Kundenauthentifizierung umzustellen. Die Möglichkeit, einer Fristverlängerung bei Kartenzahlungen im E-Commerce-Bereich ergibt sich aus der „Opinion on the elements of strong customer authentification under PSD II“, die von der EBA am 21. Juni 2019 veröffentlicht wurde.

(Quelle: FMA)

Autoren

Redaktion

Die LexisNexis Österreich & Compliance Praxis Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance Welt. Unser Ziel ist es Ihre tägliche Arbeit bestmöglich zu u...