Am 23. Februar veröffentlichte die European Banking Authority (EBA) ihren finalen Entwurf der Technischen Regulierungsstandards (Regulatory Technical Standards, RTS) zu starker Kundenauthentifizierung und sicherer Kommunikation, die die betreffenden Bestimmungen aus der überarbeiteten Zahlungsdiensterichtlinie (Payment Services Directive, PSD2) konkretisieren (vgl. Newsletter-Beitrag von September 2016).

Gemäß der PSD2 erfordern künftig gewisse Zahlungen und Kontozugriffe starke Kundenauthentifizierung (Strong Customer Authentication, SCA), also die Authentifizierung des Kunden unter Heranziehung von mindestens zwei Faktoren aus den Kategorien Wissen (z.B. PIN), Besitz (z.B. Karte) und Inhärenz (z.B. Fingerabdruck).

Auch wenn SCA zukünftig im EU-weiten Massenzahlungsverkehr Standard sein wird, sieht der RTS-Entwurf der EBA eine Reihe von Ausnahmen vor. So soll es künftig z.B. möglich sein, kontaktlose Zahlungen an der Ladenkasse bis zu 50 Euro auch ohne Eingabe einer PIN auszulösen oder Fernzahlungen z.B. über Internet oder Mobiltelefon bis zu einem Betrag von 30 Euro nur mit einem einzigen Faktor zu bestätigen. Aus Sicherheitsgründen muss aber nach einigen Zahlungen in Folge ohne SCA immer wieder eine starke Authentifizierung verlangt werden. Auch für Zahlungen an so genannten unbedienten Terminals im Transportwesen (z.B. Fahrkartenautomaten, Mautstellen) und für Parkgebühren wird keine Eingabe der Geheimzahl mehr gefordert. Für Transaktionen, die nach Durchführung einer Transaktionsrisikoanalyse als mit nur einem geringen Risiko verbunden eingestuft werden können, sollen Ausnahmen ebenfalls möglich sein. Darüber hinaus sieht der EBA-Entwurf Ausnahmen von der SCA vor, wenn Kunden Gelder zwischen eigenen Konten beim gleichen Institut übertragen, sowie für Zahlungen an bekannte und als vertrauenswürdig eingestufte Dritte und für wiederkehrende Zahlungen (z.B. Dauerauftrag).

Im Bereich der sicheren Kommunikation ist u.a. vorgesehen, dass für Konten, die fürs Online-Banking genutzt werden können, die kontoführenden Zahlungsdienstleister dazu verpflichtet werden, Kontoinformations- und Zahlungsauslösediensten auf Kundenwunsch Zugang zu Kontoinformationen zu gewähren. Voraussetzung hierfür ist allerdings, dass sich die Drittanbieter gegenüber dem kontoführenden Institut identifizieren. Zudem dürfen sie nicht auf alle Daten des Kundenkontos zugreifen, sondern nur auf diejenigen, die sie zur Erbringung ihres Services benötigen. Technisch soll es im Ermessen des kontoführenden Kreditinstituts liegen, ob es den Zugang des Drittanbieters über eine gesonderte Schnittstelle kanalisiert, oder ob es hierfür die bereits bestehende Kundenschnittstelle nutzt.

Mit der jetzt erfolgten Veröffentlichung des finalen Entwurfs der RTS durch die EBA steht ihr letztendlicher Inhalt jedoch noch nicht abschließend fest. Denn die EU-Kommission muss den Entwurf zunächst annehmen. Änderungen sind dabei grundsätzlich möglich. Nach erfolgter Annahme steht dann noch die Prüfung durch das Europäische Parlament und den Rat an. Die Anwendung der RTS wird zudem erst 18 Monate nach ihrem Inkrafttreten verpflichtend, sodass den betroffenen Zahlungsdienstleistern Zeit zur Anpassung bleibt.