Neue Regeln für Kreditkarten
Damit Kriminelle das Zahlungsmittel schwieriger missbrauchen können, reicht bald beim Online-einkauf die Angabe von Nummer und Prüfziffer nicht mehr aus.
Viele Verbraucher zahlen ihre Einkäufe im Internet per Kreditkarte. Spätestens vom 15. März 2021 an gelten dafür strengere Sicherheitsanforderungen. Für Online-zahlungen per Kreditkarte reicht die Eingabe der Kartendaten dann nicht mehr. Pflicht wird die „Zwei-faktor-authentifizierung“. Hier die wichtigsten Fragen und Antworten zu der Neuerung.
Was bedeutet „Zwei-faktor-authentifizierung“? Kunden müssen auf zwei voneinander unabhängigen Wegen nachweisen, dass sie der rechtmäßige Inhaber der Bezahlkarte sind. Wer per Karte bezahlen will, muss künftig zusätzlich verpflichtend zum Beispiel ein Passwort oder eine Transaktionsnummer (TAN) für den jeweiligen Auftrag eingeben. Bei Kreditkarten sind die Vorgaben besonders streng, denn Nummer und Prüfziffer dieser Karten können relativ leicht ausgespäht werden, etwa beim Einsatz im Restaurant. Darum reicht der Besitz der Kreditkarte nicht aus.
Wie funktioniert das in der Praxis?
Banken- und Kreditkartenunternehmen haben ein sogenanntes 3-D-secure-verfahren entwickelt. Je nach kartenausgebender Bank ist die Umsetzung etwas anders: Manche Kunden bekommen die einmalig einsetzbare Tan-nummer
zur Freigabe der Online-bezahlung per SMS auf eine vorab bei der Bank hinterlegte Telefonnummer geschickt. Andere Banken lassen den Kauf über eine spezielle App per Eingabe einer Geheimnummer oder Abfotografieren eines Strichcodes bestätigen. Technisch möglich sind auch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung zur Freigabe einer Zahlung mit zwei Faktoren. Ist die zusätzliche Freigabe im Inter
net bei jedem Einkauf nötig? Das hängt nach Angaben des Bundesverbandes deutscher Banken (BDB) von der Entscheidung der Bank ab, von der ein Kunde seine Bezahlkarte hat. Kauft ein Kunde zum Beispiel häufiger beim selben Online-shop ein, könnte ein Finanzinstitut darauf verzichten, die Zahlung dort jedes Mal mit zwei Faktoren freizugeben. Auch bei Zahlungen unter 30 Euro könnte auf das zweistufige Verfahren der starken Kundenauthentifizierung verzichtet werden.
Warum wird das Verfahren überhaupt geändert? Hintergrund ist die europäische Zahlungsdiensterichtlinie („Payment Service Directive“/psd2). Mit ihr will die Eu-kommission den Zahlungsverkehr in der Europäischen Union für Verbraucher sicherer machen
Banken und Sparkassen haben ihre Vorbereitungen früh abgeschlossen. Deutsche Kreditwirtschaft zur Einführung des neuen Verfahrens
und zugleich den Wettbewerb fördern. Die Richtlinie schreibt unter anderem vor, dass die für das Online-banking notwendigen Transaktionsnummern künftig dynamisch generiert werden müssen. Die gedruckten Papierlisten mit durchnummerierten Tan-nummern erlaubt das Eu-recht seit dem 14. September 2019 nicht mehr.
Sind Banken vorbereitet? „Banken und Sparkassen in Deutschland haben ihre Vorbereitungen zur Umsetzung dieser gesetzlichen Vorgaben frühzeitig angestoßen und abgeschlossen“, erklärte die Deutsche Kreditwirtschaft. „Das für die starke Kundenauthentifizierung genutzte 3-D-secure-verfahren bei Kartenzahlungen im Internet ist bereits seit Jahren bekannt und im Einsatz.“Und wie sieht es im Onlinehandel
aus? Nach Einschätzung des Handelsverbandes HDE geht der Onlinehandel das Thema an. Die Händler seien jedoch abhängig von ihren jeweiligen Dienstleistern, sagt Hde-experte Ulrich Binnebößel. Viele Händler zögerten die Umstellung hinaus, um Kunden möglichst lange die gewohnte Art der Kreditkartenzahlung zu ermöglichen. Denn erfahrungsgemäß brechen viele Kunden während des Bezahlvorgangs den Kauf ab, wenn sie zu viele Daten eingeben müssen.