Starke Kundenauthentifizierung

Um die Sicherheit im Zahlungsverkehr zu verbessern wurde im Rahmen der Überarbeitung der Richtlinie über Zahlungsdienste im Binnenmarkt (Payment Services Directive, PSD2) die Verpflichtung zur sog. "starken Kundenauthentifizierung" aufgenommen, wenn ein Zahler online auf sein Konto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch birgt. Die starke Kundenauthentifizierung orientiert sich an den Empfehlungen des "European Forum on the Security of Retail Payments" für die Sicherheit von Internet-Zahlungen und schreibt die Authentifizierung über die Verwendung von zwei Faktoren aus den unterschiedlichen Merkmalen Wissen (z.B. Passwort, Code, PIN), Besitz (z.B. Token, Smartphone) und Inhärenz (z.B. Fingerabdruck, Stimmerkennung) vor. Nähere Vorgaben zur starken Kundenauthentifizierung und eine sichere Kommunikation der Beteiligten werden von der European Banking Authority (EBA) in Form von technischen Regulierungsstandards "regulatory technical standards" (RTS) erarbeitet und von der Europäischen Kommission in Kraft gesetzt. Diese RTS, die auch mögliche Ausnahmen von der Anwendung der starken Kundenauthentifizierung enthalten, sind 18 Monate nach ihrem Inkrafttreten verpflichtend von den Zahlungsdienstleistern zu beachten.