Zahlungsverkehr: FAQ zu den neuen Regeln für elektronische Zahlungen
Ständig erweiterte Antworten auf die wichtigsten Fragen
Lesedauer: 12 Minuten
Ab 14. September 2019 treten strengere Regeln für die Kundenauthentifizierung im elektronischen Zahlungsverkehr grundsätzlich in Kraft. Diese richten sich an Zahlungsdienstleister, sind aber mittelbar auch für die Nutzer von Zahlungsdienstleistungen relevant.
Weil die Umsetzung der neuen Vorgaben technische Nachrüstungen erfordert, hat sich die Wirtschaftskammer erfolgreich für einen zeitlichen Aufschub eingesetzt. Nach konstruktiven Gesprächen der WKÖ mit der zuständigen Aufsichtsbehörde FMA teilte diese mit, dass die von der Europäischen Bankenaufsicht in Aussicht gestellte aufsichtsrechtliche Nachsicht bei der Umsetzung der starken Kundenauthentifizierung in Österreich tatsächlich zur Anwendung gelangen wird. Die Nachsichtsfrist betrifft ausschließlich Kartenzahlungen über das Internet (somit nicht das Online-Banking oder Kartenzahlungen, die unmittelbar in einem Geschäft an der Kassa vorgenommen werden). Diese Übergangsfrist wird am 31. Dezember 2020 enden. Wir empfehlen aber, sich schon jetzt mit der Thematik zu beschäftigen, auch um eventuelle Haftungsrisiken zu vermeiden.
Die FMA hat im Rahmen ihres aufsichtsrechtlichen Ermessens die Übergangsfrist verlängert: Ab 15.1.2021 gelten die Regeln der sicheren Kundenauthentifizierung für Zahlungen über 250 €, ab 15.2.2021 für Zahlungen über 150 € und ab 15.3.2021 für alle Zahlungen (zu den Ausnahmen siehe unten Punkt 5). Ablehnungen von nicht konformen Zahlungen durch den Zahlungsdienstleister können in der Übergangsfrist als „soft decline“ erfolgen, mit Möglichkeit eines nochmaligen Versuchs mit sicherer Kundenauthentifizierung.
Diese Regeln sollen die missbräuchliche Verwendung von Zahlungsmitteln verhindern und sicherstellen, dass der Zahler auch der legitime Nutzer des Zahlungsinstruments ist. Dies betrifft Zahlungen über das Internet, aber auch etwa elektronische Kartenzahlungen an einer Kassa. Zahlungen per E-Mail oder Telefon sind von den neuen Regeln nicht erfasst.
Die FAQs werden daher laufend aktualisiert.
Um die Sicherheit bei Online- und Kartenzahlungen zu gewährleisten und das Betrugsrisiko zu minimieren, schreibt der Gesetzgeber eine Starke Kundenauthentifizierung vor (SCA = strong customer authentication).
Die Notwendigkeit einer Starken Kundenauthentifizierung wird damit begründet, dass alle elektronisch angebotenen Zahlungsdienste sicher abgewickelt werden und den ständig ändernden Betrugsmethoden standhalten. Dabei sollen Technologien eingesetzt werden, die eine sichere Authentifizierung des Nutzers gewährleisten und das Betrugsrisiko möglichst weitgehend einschränken.
Der Zahlungsdienstleister muss das Risiko (sicherheits-)technisch gering halten und mehrere Sicherheitsabfragen machen, damit Kundendaten vor Betrug und Missbrauch besser geschützt sind. Die Risikominimierung erfolgt durch die Starke Kundenauthentifizierung, die vorsieht, dass sich der Kunde mit mindestens zwei aus folgenden drei Faktoren authentifiziert (Zwei-Faktor-Authentifizierung)
- Faktor „Wissen“ – Etwas, das nur der Benutzer weiß, z.B. geheime Codes und Passwörter. Beispiele hierfür sind: PIN bei Zahlungskarten, Secure Code für Online-Kartenzahlungen, Zugangscode für das Online-Banking.
Hinweis: Bisher war es zum Beispiel zulässig und üblich, bei Kreditkartenzahlungen im Internet oder am Telefon die Kundenauthentifizierung lediglich anhand der Kartennummer, des Verfallsdatums und der Prüfzahl vorzunehmen. Diese Daten sind auf der Karte aufgedruckt und damit zwangsläufig nicht geheim. Die Europäische Bankaufsichtsbehörde ist der Ansicht, dass die Kartennummer, das Verfallsdatum und die Prüfzahl unter keinen Faktor der Starken Kundenauthentifizierung fallen. In Zukunft werden Lösungen wie im Online-Banking notwendig sein, z.B. die Eingabe eines Passworts und einer TAN.
- Faktor „Besitz“ – Etwas, das nur der Benutzer besitzt, z.B. ein Mobiltelefon, auf dem dem Nutzer der für die Freigabe einer Internetzahlung notwendige TAN mitgeteilt wird oder Instrumente wie Zahlungskarten, TAN-Generatoren oder Token.
- Faktor „Inhärenz“ – Etwas, das der Benutzer ist, z.B. die Verwendung von biometrischen Daten wie Fingerabdruck, Gesichts-, Iris- oder Stimmerkennung. Praktisch bedeutsam ist derzeit die Gesichtserkennung oder der Fingerabdruck, der beim Mobilbanking per App für die Identifikation des Kunden verwendet wird.
Der Gesetzgeber fordert, dass die zwei (von den möglichen drei) erforderlichen Authentifizierungsfaktoren verschiedenen Kategorien angehören und die ausgewählten Faktoren voneinander unabhängig sein müssen. Es muss daher sichergestellt werden, dass zwei getrennte Schutzmechanismen eingreifen damit eine Zahlung als sicher eingestuft wird.
Beispiel: Die Bezahlung an stationären Kreditkartenterminals mit Bankomatkarte ist bereits heute gesetzeskonform, da mit Kartenchip und PIN zwei Faktoren abgefragt werden (Kartenchip = Besitz, PIN-Code = Wissen). Es bestehen daher zwei getrennte Schutzmechanismen, die betrügerische Zahlungstransaktionen begrenzen. Kartenzahlungen mit Unterschrift entsprechen künftig (nach einer Übergangsfrist, in der die betroffenen Karten ausgetauscht werden) nicht den Anforderungen der Zwei-Faktor-Authentifizierung.
Technisch gesehen muss der Authentifizierungsvorgang einen nur einmalig verwendbaren Authentifizierungscode generieren und gewährleisten, dass keine Rückschlüsse auf die Elemente Wissen, Besitz und Inhärenz hergestellt werden.
Der Zahlungsdienstleister muss dann eine starke Kundenauthentifizierung verlangen, wenn der Zahler
- online auf sein Zahlungskonto zugreift (Beispiel: Die Beauftragung einer Überweisung im Online-Banking. Dabei ist die starke Kundenauthentifizierung wie auch in den anderen genannten Fällen mit einer sogenannten dynamischen Verknüpfung in Bezug auf Empfänger und Betrag zu erweitern. Daher muss etwa bei Übersendung einer TAN mittels SMS oder einer Push-Nachricht über eine App dem Nutzer mitgeteilt werden, für welchen Betrag und Zahlungsempfänger die starke Kundenauthentifizierung gilt.)
- einen elektronischen Zahlungsvorgang auslöst
Beispiel: Bezahlung mit Karte und PIN an der Ladenkasse - über einen Fernzugang eine Handlung vornimmt, die ein Betrugs- oder Missbrauchsrisiko in sich birgt.
In folgenden Fällen gilt das Gesetz über die Starke Kundenauthentifizierung nicht:
- gilt nicht für Transaktionen mit Bezahlkarten aus dem Nicht-EWR Bereich (z.B. ein amerikanischer oder asiatischer Käufer bestellt eine Ware über seine ausländische Kreditkarte)
- gilt nicht für Transaktionen über Telefon bzw. postalische Bestellung, wo ein Mitarbeiter die Eingabe übernimmt (E-Mail-Bestellung/Telefonbestellung im Versandhandel, TV-Home-Shopping per Anruf)
- gilt nicht bei anonymen Bezahlkarten (prepaid cards)
- gilt nicht bei vom Unternehmen initiierten (Folge)transaktionen aufgrund eines bestehenden Zahlungsmandats (Kunde ermächtigt Unternehmen, bei weiteren Käufen Kreditkarte zu belasten)
- gilt nicht für Gutscheinkarten, die ein Unternehmen ausgibt und nur bei diesen online eingelöst werden können (begrenzte Netze).
In folgenden Fällen können Zahlungsdienstleister auf eine Starke Kundenauthentifizierung verzichten.
5.1 Wiederkehrende Transaktionen (Daueraufträge)
Wenn ein Verbraucher eine wiederkehrende Transaktion desselben Betrags und für denselben Empfänger einrichtet, kann ein Zahlungsdienstleister (Payment Service Provider, PSP) bei Folgetransaktionen von der Starken Kundenauthentifizierung absehen, wenn die erste Zahlung entsprechend authentifiziert bzw. historisch übernommen wurde.
5.2 Kleinbetragszahlungen
Elektronische Ferntransaktionen, die die folgenden Bedingungen erfüllen, können ebenfalls von der Starken Kundenauthentifizierung ausgenommen werden:
- Der Betrag darf EUR 30 nicht überschreiten.
- Der kumulierte Betrag beträgt weniger als EUR 100 oder überschreitet nicht 5 aufeinander folgende Transaktionen.
5.3 Vertrauenswürdig eingestufte Zahlungsempfänger oder „Weiße Liste“
Die Starke Kundenauthentifizierung wird nicht benötigt, wenn das Unternehmen (Zahlungsempfänger) in einer Liste vertrauenswürdiger Begünstigter aufgeführt ist. Der Karteninhaber (Kunde) kann verschiedene Unternehmen auf die Liste der vertrauenswürdigen Empfänger setzen lassen, bei denen die Geldinstitute oder Kartenherausgeber (Emittenten) auf die Zwei-Faktor-Authentifizierung verzichten können.
Beispiel: Ein Kunde bestellt regelmäßig bei einem Online-Portal und setzt das Online-Portal auf seine „White-List“. Damit kann die Bank auf die Zwei-Faktor-Authentifizierung verzichten.
5.4 Betrugsraten und Transaktionsrisikoanalyse (TRA)
Für Transaktionen, bei denen ein geringes Betrugsrisiko angenommen wird, müssen Zahlungsdienstleister keine Starke Kundenauthentifizierung anwenden. Dies betrifft Transaktionen bis zu einem Wert von 500 EUR.
5.5 Andere Ausnahmen
Weitere Ausnahmen sind für Transaktionen wie kontaktloses Bezahlen, sichere Überweisungen von Unternehmenszahlungen, Zugriff auf Zahlungskontoinformationen oder für Überweisung auf ein anderes Konto enthalten, das von derselben Person mit demselben Zahlungsdienstleister geführt wird.
Bitte beachten Sie, dass die Ausnahmen 5.1 bis 5.5 nicht verpflichtend angewendet werden müssen. Zahlungsdienstleister (also Kartenherausgeber und Acquirer) können sich auch dazu entscheiden, grundsätzlich mit der Starken Kundenauthentifizierung zu arbeiten. Unternehmen können daher diese Befreiung nicht direkt anwenden, sondern müssen sich darauf verlassen, dass ihr Karten-Acquirer oder Zahlungsdienstleister die Befreiung anwendet.
Wer ist von der Umsetzung der Starken Kundenauthentifizierung betroffen?
Davon betroffen sind insbesondere Zahlungsdiensetanbieter, die zwischen einem Online-Unternehmen und der Bank eines Käufers stehen und die Überweisung über das Internet ermöglichen. Die Starke Kundenauthentifizierung betrifft aber alle am elektronischen Zahlungsverkehr beteiligten Parteien:
- der Karteninhaber: muss die Zahlung mit zwei aus drei Faktoren autorisieren
- die kartenherausgebende Bank: muss die Bezahllösung SCA-konform (SCA= strong customer authentication) implementieren
- der Unternehmer: muss seine Bezahlprozesse SCA-konform betreiben
- die Bank des Unternehmers muss SCA-Konformität für das verwendete Bezahlsystem sicherstellen
- die Kreditkartenorganisationen: müssen SCA-konforme Prozesse/ Anforderungen einhalten
Die Starke Kundenauthentifizierung wird grundsätzlich am 14.9.2019 in der EU und im gesamten Europäischen Wirtschaftsraum in Kraft treten. Die Europäische Bankenaufsichtsbehörde hat den für die Zahlungsdienstleistungen zuständigen nationalen Aufsichtsbehörden am 21.6.2019 die Möglichkeit eingeräumt, die Umsetzung durch die Zahlungsdienstleister hinauszustrecken, soweit diese Migrations- und Informationspläne vorlegen. Weil die Umsetzung der neuen Vorgaben technische Nachrüstungen erfordert, hat sich die Wirtschaftskammer erfolgreich für einen zeitlichen Aufschub eingesetzt. Nach konstruktiven Gesprächen der WKÖ mit der zuständigen Aufsichtsbehörde FMA teilte diese nun mit, dass die von der Europäischen Bankenaufsicht in Aussicht gestellte aufsichtsrechtliche Nachsicht bei der Umsetzung der starken Kundenauthentifizierung in Österreich tatsächlich zur Anwendung gelangen wird. Die Nachsichtsfrist betrifft ausschließlich Kartenzahlungen über das Internet. Diese Übergangsfrist wird am 31. Dezember 2020 enden. Wir empfehlen aber, sich schon jetzt mit der Thematik zu beschäftigen und – soweit möglich – eine baldige Umsetzung in Abstimmung mit ihren Zahlungsdienstleistern anzustreben, auch um eventuelle Haftungsrisiken, die bei missbräuchlicher Verwendung von Zahlungsinstrumenten nicht ausgeschlossen werden können, zu vermeiden.
- Bis spätestens 31. Dezember 2020 müssen von den Unternehmen alle erforderlichen Maßnahmen umgesetzt sein, da sonst Kartenzahlungen abgelehnt oder Zahlvorgänge unterbrochen werden können. Die FMA hat im Rahmen ihres aufsichtsrechtlichen Ermessens die Übergangsfrist verlängert: Ab 15.1.2021 gelten die Regeln der sicheren Kundenauthentifizierung für Zahlungen über 250 €, ab 15.2.2021 für Zahlungen über 150 € und ab 15.3.2021 für alle Zahlungen (zu den Ausnahmen siehe Punkt 5). Ablehnungen von nicht konformen Zahlungen durch den Zahlungsdienstleister können als „soft decline“ erfolgen, mit Möglichkeit eines nochmaligen Versuchs mit sicherer Kundenauthentifizierung.
- Um weiterhin ein reibungsloses Einkaufserlebnis zu schaffen, müssen Kunden sensibilisiert und informiert werden. Stellen Sie daher sicher, dass Ihre Kunden über die Neuerungen informiert sind und weisen Sie Ihre Kunden darauf hin, dass sich der Zahlungsprozess in Zukunft durch die Starke Kundenauthentifizierung ändern wird.
- Unternehmen sollten sich mit ihrem Kartenacquirer bzw. Zahlungsdienstleister austauschen, die für die Implementierung einer Starken Kundenauthentifizierung verantwortlich sind. Die Unternehmen sollten die verfügbaren Lösungen näher prüfen.
- Wenn dies nicht bereits geschehen ist, sollten Unternehmen im Online-Handel EMV 3D Secure 2.1 (3DS) verwenden, da die Genehmigungsraten wahrscheinlich sinken, wenn keine Authentifizierung verwendet wird. Einige Emittenten lehnen Transaktionen möglicherweise sogar systematisch ab, ohne dass 3D-Secure aktiviert wird, weil sie befürchten, dass die Regelungen hinsichtlich der Starken Kundenauthentifizierung nicht eingehalten werden.
Erklärung: EMV 3D-Secure ist ein globaler Branchenstandard und unterstützt Unternehmen und Kartenherausgeber bei der Authentifizierung von E-Commerce-Zahlungen. Der neue Standard ersetzt u.a. statische Passwörter durch eine stärkere Zwei-Faktor-Authentifizierung und ist damit ein sicherer Authentifizierungsstandard. Beispielsweise erfüllen SafeKey von American Express, Mastercard und Visa diese Sicherheitsstandards bereits heute.
Empfehlung: Wenden Sie sich daher rechtszeitig an Ihren Zahlungsdienstleister und beantragen Sie die Anmeldung Ihres Onlineshops für die entsprechenden Sicherheitsverfahren der Kreditkartenanbieter. - Wenn der Emittent EMV 3D-Secure noch nicht unterstützt, sollten Unternehmen versuchen, mit 3DS v1.0 höhere Genehmigungsraten zu erzielen.
- Besprechen Sie die für Sie möglichen Ausnahmen mit ihrer Bank (Acquirer)/Zahlungsdienstleister.
- Stationäre Betriebe müssen sicherstellen, dass ihr verwendetes Kassensystem auf dem Stand der neuen Rahmenbedingungen ist, da bei kontaktlosen Bezahlungen nach dem Erreichen einer Gesamtsumme von EUR 150 – auch durch mehrere Einzelzahlungen – der Karteninhaber zu einer Pin-Zahlung angewiesen wird und eine Authentifizierung durchführen muss. Konkret müssen dafür durch den Anbieter des Kassensystems oder des Kartenlesegerätes Updates durchgeführt werden, damit das System die Karteninhaber bei Bezahlungen ab Erreichen einer Summe von 150 Euro anweisen kann, sich mit dem PIN zu authentifizieren. Wenden Sie sich an den Anbieter Ihres Kassensystems oder an Ihren Zahlungsdienstleister, damit diese Updates rechtzeitig vorgenommen werden. Zudem ist es ratsam, Ihre Mitarbeiter zu schulen.
Für Lastschriften gelten grundsätzlich die Regelungen des einheitlichen europäischen Zahlungsraums (SEPA). Der Zahler muss dem Zahlungsempfänger mit einem SEPA-Lastschriftmandat ermächtigen, Lastschriften entsprechend der vertraglichen Beziehung zwischen Zahler und Zahlungsempfänger vorzunehmen (z.B. für Miete, Telekom-, Energiekosten oder Abonnements). Für die einzelnen Lastschriftzahlungen erfolgt dann keine Zwei-Faktor-Authentifizierung.
Grundsätzlich gelten die SCA-Regeln nur für elektronische Zahlungen, die der Zahler auslöst. Ermächtigt der Kunde somit ein Unternehmen, für von diesen Unternehmen bezogene Güter und Dienstleistungen dessen Karte zu belasten, sind für die einzelnen Zahlungen keine besonderen Erfordernisse für die Authentifizierung einzuhalten. Laut einer Anfragebeantwortung der Europäischer Bankenaufsicht ist allerdings eine starke Kundenauthentifizierung bei einer derartigen Ermächtigung vorzunehmen, wenn dieses Mandat über einen Fernzugang (z.B. Telefon oder online) erfolgt.
Vor-Autorisierungen sind insbesondere bei Hotelbuchungen üblich. Dabei wird das Kreditkartenkonto mit einem Höchstbetrag blockiert, es wird aber noch keine Zahlung ausgelöst.
Bei einer Vor-Autorisierung ist dem Kunden/Zahler der Höchstbetrag, der blockiert wird, mitzuteilen, da der Kunde diesem zustimmen können muss. Bei einer Vor-Autorisierung wird grundsätzlich eine Zwei-Faktor-Authentifizierung vorzunehmen sein, da durch diese in weiterer Folge eine Zahlung ausgelöst werden kann (z.B. im Falle eines Stornos – Einzug einer „Stornogebühr“ je nach Vereinbarung bei Buchung).
Grundsätzlich ja, da die Authentifizierung mit einem konkreten Betrag verknüpft sein muss (Anzahlungsbetrag). Für die Restzahlung ist wieder eine starke Kundenauthentifizierung vorzunehmen, wenn diese elektronisch erfolgt.
Die in diesen Dokumenten enthaltenen Informationen wurden nach bestem Wissen erstellt und stellen keine Rechtsberatung dar. Die Auslegung des SCA-Regelungen (SCA= strong customer authentication) kann zwischen den Mitgliedstaaten variieren.
Alle Angaben erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr. Eine Haftung der Wirtschaftskammer Österreich und deren Mitarbeiter ist ausgeschlossen.
Stand: 07.01.2021