PSD2 betrifft zwar überwiegend Banken und Finanzinstitute, doch die Folgen werden auch in anderen Bereichen zu spüren sein, allen voran im E-Commerce-Sektor.
Die überarbeitete Zahlungsdienstrichtlinie zielt darauf ab, eine geschützte Umgebung für Transaktionen zu schaffen. Die schärferen Sicherheitsvorkehrungen sollen dabei nicht nur im mobilen Zahlungsverkehr für mehr Sicherheit sorgen, sondern auch den Markt für Fintechs (als Fintechs werden Unternehmen bezeichnet, die Finanzinnovationen digitaler oder technischer Art anbieten) öffnen. Ziel ist es, den Wettbewerbsdruck im europäischen Markt zu erhöhen.
Die technischen Anforderungen zur Umsetzung der PSD2 sind in den sogenannten Regulatory Technical Standards (RTS) festgelegt. Was bei deren Implementierung zu beachten ist, zeigt der folgende Überblick.
Ausnahmen von der starken Kundenauthentifizierung
PSD2 verpflichtet Kreditinstitute, ihre Datenschnittstellen (APIs) für externe Finanzdienstleister zu öffnen. Die meisten Zahlungstranskationen müssen deshalb mit einer Zwei-Faktor-Authentifizierung (2FA) abgesichert sein. Ganz nach dem Motto doppelt hält besser müssen Kunden ihre Identität dann gleich auf zwei verschiedenen Wegen nachweisen: Neben der Eingabe eines Passworts ist auch ein biometrischer Abgleich wie ein Fingerabdruck oder ein Gesichtsscann notwendig.
Es gibt jedoch auch Ausnahmen, die es Banken und Finanzinstituten erlaubt, auf die starke Kundenauthentifizierung zu verzichten. Das ist beispielsweise dann der Fall, wenn lediglich Kleinbeträge unter 30 Euro überwiesen werden oder der Begünstigte Teil einer sogenannten White List ist. Banken liegt in diesem Fall eine Liste von Zahlungsempfängern vor, die vom Kunden vorher als vertrauenswürdig eingestuft wurden...[mehr]