Ab 14. September 2019 gelten neue Regeln im elektronischen Zahlungsverkehr. Für Bankkundinnen und Bankkunden bringen sie mehr Bequemlichkeit und Transparenz bei noch mehr Sicherheit.
Hinter dem sperrigen Begriff „Payment Services Directive 2“, kurz PSD2, verbirgt sich eine europäische Richtlinie, die den Zahlungsverkehr im Internet für Bankkundinnen und Bankkunden zeitgemäßer machen und noch höhere Sicherheitsstandards gewährleisten soll. Begeisterte Online-Shopper zum Beispiel, die ihre Rechnungen gerne per Banküberweisung begleichen, können damit in noch mehr Geschäften als bisher „nahtlos“ bezahlen. Sie müssen nicht mehr die Shopping-Plattform des Händlers verlassen und extra in ihr Online-Banking einsteigen. Ab 14. September 2019 wird Einkaufen und Bezahlen direkt auf der Plattform des Online-Händlers möglich sein. Dank PSD2 wird eine sichere Schnittstelle zum Zahlungsverkehrskonto des Kunden zur Verfügung gestellt.
Der Kunde muss zustimmen
Allerdings dürfen die vom Händler angebotenen Zahlungsauslösedienste – die PSD2-Richtlinie nennt sie „Drittdienstleister“ – nur gegen ausdrückliche Zustimmung des Kunden auf dessen Zahlungsverkehrskonto zugreifen. Das heißt: Ohne explizites Okay erhält der Drittdienstleister keinen Zugang zum Konto des Kunden. Die Kunden haben also die volle Kontrolle. Außerdem muss der Drittdienstleister bei seiner zuständigen Aufsichtsbehörde, in Österreich ist das die Finanzmarktaufsicht (FMA), zugelassen sein. „So soll ausgeschlossen werden, dass sich Unbefugte Zugang zum Zahlungsverkehrskonto verschaffen“, sagt Gerald Resch, Generalsekretär des Bankenverbandes.
Starke Kundenauthentifizierung für noch mehr Sicherheit
Ausgeschlossen ist weiters, dass Drittdienstleister auf andere als Zahlungsverkehrskonten zugreifen – etwa auf Sparkonen oder Wertpapierkonten – oder dass Sicherheitsmerkmale wie PIN, Verfügernummer oder TAN weitergegeben werden. Ein zusätzliches Sicherheitsfeature ist die sogenannte starke Kundenauthentifizierung oder Zwei-Faktor-Authentifizierung. Sie tritt ebenfalls am 14. September 2019 in den EU-Ländern in Kraft und gilt, wenn Bankkundinnen und Bankkunden online auf ihr Zahlungskonto zugreifen und/oder einen elektronischen Zahlungsvorgang auslösen.
Die Zwei-Faktor-Authentifizierung erfordert neben der bisher gewohnten Eingabe von Verfügernummer und PIN auch die Eingabe einer TAN. Diese zusätzliche TAN muss beim Erst-Login in ein Zahlungskonto und beim Folge-Login nach 90 Tagen eingegeben werden. „Das ist nur ein minimaler Mehraufwand für die Kunden, der das Online-Banking aber noch wesentlich sicherer macht als bisher“, so Bankenverbands-Generalsekretär Resch.
PIN statt Unterschrift bei Kreditkarte
Beim Zahlen mit Kreditkarte kommt es ebenfalls zu Änderungen, die mehr Sicherheit für die Bankkundinnen und Bankkunden bringen. Statt der bisherigen Unterschrift wird die Eingabe einer PIN zum Standard, und im Internet müssen alle Online-Händler verpflichtend als zusätzliche Autorisierung das 3D-Secure-Verfahren anbieten. Bei diesem erhält der Kunde per SMS oder über eine App einen Code, der auf der Website des Händlers eingegeben wird.
Übergangsfrist für Handel und Tourismus
Ausnahmen bei der Einführung der Zwei-Faktor-Authentifizierung in Österreich gibt es vorübergehend im Bereich Handel und Tourismus. Resch: „Vor allem kleineren Händlern und Tourismusbetrieben wurde in Österreich eine längere Übergangsfrist zum Einrichten der technischen Erfordernisse für die starke Kundenauthentifizierung eingeräumt.“ Wie lange diese Frist läuft, wird derzeit noch diskutiert. Wir halten Sie jedenfalls auf dem Laufenden. Nähere Informationen gibt es auch bei Ihrer Bank.