Die neuen Regeln gelten eigentlich schon länger – aber die Finanzaufsicht gewährte einen Aufschub. Nun müssen sich alle Kreditkartenkunden beim Online-Shopping umstellen.
Kunden / Verbraucher müssen sich beim Bezahlen via Kreditkarte im Internet nun auch bei kleineren Beträgen an strengere Sicherheitsbestimmungen gewöhnen. Vom 15.3.2021 an gilt grundsätzlich auch für kleine Beträge bis 150 Euro die Pflicht zur sogenannten Zwei-Faktor-Authentifizierung.
Was heißt das für mich als Kunden?
Kunden müssen in der Regel auf zwei voneinander unabhängigen Wegen nachweisen, dass sie der rechtmäßige Inhaber der Bezahlkarte sind. Je nach herausgebender Bank ist die Umsetzung etwas anders: Der zweite Faktor kann z. B. als Code per SMS auf eine vorab bei der Bank hinterlegte Telefonnummer geschickt werden. Oder aber er wird über eine spezielle App auf dem Smartphone dargestellt. Technisch möglich sind aber auch biometrische Verfahren wie Fingerabdruckscanner oder Gesichtserkennung zur Freigabe einer Zahlung.
Eigentlich gilt diese Pflicht zur „starken Kundenauthentifizierung“ (EU „Payment Service Directive“ bzw. „PSD2“) bereits seit dem 14. September 2019 für jede Zahlung im Online-Banking und beim Einkaufen im Internet (siehe heise-Artikel).
Vergleich zur klassischen Zahlung
Die Vorgaben zur Zahlung mit Kreditkarten sind besonders streng, denn Nummer und Prüfziffer der Karten können relativ leicht ausgespäht oder abfotografiert werden – etwa beim Einsatz im Restaurant. Darum reicht nun der alleinige Besitz der Kreditkarte nicht mehr aus. Verbraucher benötigen für Kreditkartenzahlungen beim Online-Shopping nun zwei weitere Sicherheitsfaktoren, zum Beispiel Fingerabdruck (zum Entsperren der App) und eine Transaktionsnummer (TAN). So soll dem Missbrauch von Kreditkarten noch besser vorgebeugt werden.
Verzögerung mit Ansage
Weil viele Händler Probleme bei der Umsetzung hatten, gab es von der Finanzaufsichtsbehörde Bafin zunächst Aufschub bis Ende 2020. Kurz vor Weihnachten teilten man mit, dass auch der 1. Januar 2021 als avisierter Starttermin nicht gehalten werden konnte.
Stattdessen galt ein Stufenmodell: Seit dem 15. Januar 2021 müssen Zahlungen ab 250 Euro mit zwei unabhängigen Faktoren freigegeben werden, seit dem 15. Februar greift die sogenannte „Zwei-Faktor-Authentifizierung“ ab einer Transaktionssumme vom150 Euro. Vom 15. März an sind die Sicherheitsbestimmungen nun vollumfänglich wirksam.
Ob aber Verbraucher nun jeden Einkauf im Internet mit zusätzlichen Eingaben freigeben müssen, hängt von ihrer Bank ab. Kauft man zum Beispiel häufiger beim selben Online-Shop ein, könnte ein Finanzinstitut darauf verzichten, die Zahlung jedes Mal mit zwei Faktoren freigeben zu lassen. Bei Zahlungen unter 30 Euro könnte ebenfalls auf das zweistufige Verfahren verzichtet werden.
Haftungsrisiken für die Banken könnten sinken
Einhergehend mit den neuen Bestimmungen könnten sich diese auch positiv auf die Ausgaben der Kreditinstitute in Bezug auf die Haftung für missbräuchliche Nutzung von Kreditkarten auswirken. Denn im Missbrauchsfall haftet der Karteninhaber meist nur beschränkt (oft bis max. 50 Euro) oder sogar überhaupt nicht. Für den restlichen Schaden müssen die Banken aufkommen (siehe dazu auch diesen Artikel von Finanztip). Auch wenn die initialen Kosten für die Umsetzung der Richtlinie hoch sind ist es schlussendlich sicher von Vorteil für alle Beteiligten, wenn Betrug in Zukunft nicht mehr so einfach möglich ist.
Fazit: An den Einsatz der neuen Verfahren wird man sich in den nächsten Wochen und Monaten sicher gewöhnen (müssen).
Zwei-Faktor-Authentifizierung ist eine der besten Methoden, um selbst im Falle eines Kennwortverlusts oder Hacks die Kontrolle über wichtige Konten und Zugänge zu behalten.