Payment_PSD2_SCA

PSD2 bringt uns fließendes Vertrauen bei Authentisierungen

Mit der PSD2 wird Authentisierung nicht mehr gleich Authentisierung sein. In Zukunft kommt es auf die Abfolge der Authentisierungen an, die ich bereits hinter mir habe. Je nachdem reicht dann eine einfache Identifikation, oder es ist eine starke Authentisierung gefordert, also eine Erkennung anhand von zwei separaten Faktoren.

Klingt kompliziert? Das zu vermeiden, wird die Kunst bei der Nutzung der neuen Rollen sein, die mit PSD2 eingeführt werden.

Alles in Allem hat die EBA hier einen guten Job gemacht. Angesichts der Vorgabe aus Brüssel hatte ich ja bereits befürchtet, dass zukünftig jeder Kontozugriff und jede Zahlung eine starke Authentisierung braucht. Selbst Kleinstzahlungen. Immerhin definierte die Richtlinie, dass auch reine Informationszugriffe stark authentisiert sein müssen. Wie sollte man da die üblichen Bagatellgrenzen für kleinere Zahlungen rechtfertigen?

Aber die EBA hat es geschafft. Sie beruft sich darauf, dass es Ziel der Richtlinie sei, die Entwicklung innovativer benutzerfreundlicher Bezahlverfahren zu fördern. Das rechtfertige die Einführung von Ausnahmen. Ich finde das ja wirklich ausgesprochen gut und richtig, frage mich allerdings, ob die EBA genauso entspannt sein wird, wenn die beaufsichtigten Banken die gleiche Interpretationsfreiheit auf Regeln der EBA anwenden.

Selbst für die reinen Informationszugriffe gibt es jetzt eine Bagatellregelung. Beim ersten Mal und nach einer Pause von mehr als einem Monat muss man sich stark authentisieren, ansonsten reicht die einfache Identifikation. Das hilft allen, die regelmäßig ihre Kontodaten über denselben Weg abrufen.

Bei Zahlungen kann man auf die starke Authentisierung verzichten, wenn sie unter den üblichen Grenzen liegen (10€ bei Online-Zahlungen, 50€ an der Kasse). Aber neben diesen Limits für die einzelne Zahlung gibt es noch Limits für den kumulierten Betrag aller Zahlungen: Ab 100€ online oder 150€ an der Kasse greift dann doch wieder die starke Authentisierung.

Es kommt nicht immer starke Authentisierung zum Einsatz, dass schafft etwas Spielraum. Trotzdem entstehen für die Nutzer neue und erst einmal ungewohnte Situationen. Man weiß jetzt nämlich vorher nicht mehr, wie man sich authentisieren muss. Man muss sich daran gewöhnen, ab und zu nach einem zusätzlichen Identifikationsmerkmal neben dem Üblichen gefragt zu werden. Je nachdem, ob man gerade einen Schwellwert bei den kumulierten Zahlungen überschreitet.

Gerade bei den reinen Informationszugriffen „fließt“ das Vertrauen in die Korrektheit einer Anmeldung sozusagen von einem Login zum anderen. Solange die Kette der Zugriffe nicht abreißt, ist alles in Ordnung. Erst bei einer längeren Pause reißt der Fluss ab, das Vertrauen in den Zugriff muss erst wieder durch die starke Authentisierung hergestellt werden.

Weiterlesen

Top