Die Fortschritte bei den digitalen Technologien und das Wachstum des Internets haben zu einer explosionsartigen Zunahme der Online-Kriminalität geführt. Während traditionelle Straftaten wie Einbruch und Autodiebstahl weiter zurückgehen, hat sich Online-Betrug schnell zum häufigsten Verbrechen in Großbritannien entwickelt, mit fast  einer von zehn Menschen zum Opfer fällt.

Kriminelle haben ihre Strategien verlagert, und die Online-Kriminalität hat es ihnen ermöglicht, Tausende von Opfern gleichzeitig von fast überall auf der Welt ins Visier zu nehmen. Mit  PhishingMalware und einer Vielzahl anderer Taktiken können sich Kriminelle Zugang zu den Bankkonten von Menschen verschaffen, indem sie sie dazu bringen, ihre Passwörter und persönlichen Daten preiszugeben.

Diese Online-Delikte können verheerende Auswirkungen auf die Opfer haben. In manchen Fällen sind sich die Betroffenen nicht einmal bewusst, dass sie Opfer eines Angriffs geworden sind, bis sie feststellen, dass ihr Bankkonto leergeräumt wurde.

Die Finanzdienstleistungsbranche hat in großem Umfang in neue Maßnahmen zum Schutz der Kunden im Internet investiert, und dies hat dazu beigetragen, dass mehr als 1,6 Milliarden Pfund an unautorisiertem Betrug. Trotz dieser Investitionen gelang es Cyberkriminellen im Jahr 2018 immer noch, 1,2 Milliarden Pfund durch Betrug und Scams zu stehlen.

Im Januar 2018 wurde eine neue EU-Zahlungsdiensterichtlinie (PSD2) eingeführt, die neue Gesetze zur Stärkung der Verbraucherrechte und zur Reduzierung von Online-Betrug vorsieht. Dies war eine Aktualisierung der vorherigen ersten Zahlungsdiensterichtlinie (PSD1), die 2009 eingeführt wurde. Die aktualisierte Version der Richtlinie wurde durch den Anstieg des elektronischen Handels und technologische Innovationen im Zahlungsverkehrssektor vorangetrieben.

Was ist die PSD2 starke Kundenauthentifizierung?

Ein Schlüsselelement der PSD2 ist die Einführung zusätzlicher Sicherheitsauthentifizierungen für Online-Transaktionen von mehr als 30 €, bekannt als Strong Customer Authentication (SCA). In der Vergangenheit konnten Kunden einfach online einkaufen, indem sie ihre Kartennummer und einen CVC-Verifizierungscode eingaben. Nach den neuen PSD2-Bestimmungen müssen die Kunden jedoch eine zusätzliche Form der Identifizierung angeben.

Was ist die Voraussetzung für eine starke Kundenauthentifizierung?

Nach der neuen Verordnung müssen alle elektronischen Zahlungsvorgänge durch mindestens zwei von drei möglichen Methoden authentifiziert werden:

  1. Wissen: Etwas, das nur der Benutzer kennt – Beispiel: Ein Passwort
  2. Besitz: Etwas, das nur der Benutzer besitzt – Beispiel: Mobiltelefon, Token oder Kartenleser
  3. Inhärenz: Etwas, das der Benutzer ist – Beispiel: Biometrisch – Fingerabdruck, Gesichtserkennung, Stimmerkennung

Wo wird die starke Kundenauthentifizierung angewendet?

SCA gilt nur für Transaktionen im Europäischen Wirtschaftsraum (EWR), wenn sowohl der Zahler als auch der Zahlungsempfänger in der Region ansässig sind. Wenn einer der beiden außerhalb Europas ansässig ist, muss sich der Zahlungsdienstleister in Europa nach besten Kräften bemühen, SCA anzuwenden.

Was ist eine SCA-Zahlung?

Die starke Kundenauthentifizierung wird für von Kunden initiierte Online-Zahlungen innerhalb Europas gelten. Das bedeutet, dass die Mehrheit der Kartenzahlungen und alle Banküberweisungen SCA erfordern werden.

Die derzeit gängigste Methode zur Authentifizierung einer Online-Kartenzahlung beruht auf 3D Secure. Dieser Service wird von mehreren Kreditkartenanbietern angeboten und bietet Kartennutzern zusätzlichen Schutz durch die Einführung einer weiteren Ebene des Passwortschutzes. Zu den Nachteilen der derzeitigen Methode gehört die Verwendung einer anderen URL für das Popup-Fenster, die fälschlicherweise als  Phishing-Seite. Es kann auch schwierig sein, sich mehrere Passwörter für verschiedene Karten zu merken.

Um diese Herausforderungen zu meistern und die neuen SCA-Anforderungen zu erfüllen, wurde eine aktualisierte Version von 3D Secure von europäischen Banken eingeführt. Das neue 3DSecure2 ist mobilfreundlich und unterstützt die Verwendung biometrischer Daten, was die Benutzerfreundlichkeit insgesamt verbessert.

Welche Ausnahmen gibt es von der starken Kundenauthentifizierung?

Die PSD2 wurde so konzipiert, dass SCA für alle Online-Transaktionen zur Pflicht wird. Einige Ausnahmeregelungen werden jedoch dazu beitragen, eine reibungslose Zahlungsabwicklung zu gewährleisten und das richtige Gleichgewicht zwischen Komfort für den Verbraucher und Betrugsprävention zu finden.

Zu den Ausnahmen gehören:

  • Transaktionen mit geringem Wert – Transaktionen unter €30 sind von der SCA befreit. Versucht der Kunde jedoch mehr als fünf aufeinanderfolgende Kleinbetragszahlungen oder übersteigt der Gesamtwert der Zahlungen 100 €, wird SCA verlangt.
  • Wiederkehrende Transaktionen – Wenn ein Kunde regelmäßig denselben Betrag an dasselbe Unternehmen zahlt, wird SCA nur für die erste Transaktion benötigt. Wenn sich der Betrag ändert, ist 3D Secure für jeden neuen Betrag erforderlich.
  • Händler auf der Whitelist – Verbraucher haben die Möglichkeit, Unternehmen auf eine Whitelist mit vertrauenswürdigen Empfängern zu setzen. Nach Abschluss der ersten Authentifizierung sind alle weiteren Transaktionen von der Authentifizierung ausgenommen.
  • Transaktionen mit geringem Risiko – Transaktionen mit geringem Risiko, die in Echtzeit geprüft wurden, können ohne SCA verarbeitet werden. Diese Entscheidung basiert auf dem durchschnittlichen Betrugsniveau des Kartenausstellers, der letztlich entscheidet, ob SCA erforderlich ist.
  • Versand- und Telefonbestellungen (MOTO) – Versand- und Telefonbestellungen werden nicht als elektronische Zahlungen betrachtet und sind daher von der SCA ausgenommen.
  • Zahlungen von Unternehmen – Wenn eine Transaktion nicht von einem Verbraucher, sondern von einem Unternehmen initiiert wird, ist keine separate Authentifizierung erforderlich.

Wann tritt die starke Kundenauthentifizierung der PSD2 in Kraft?

Die Umsetzung von PSD2 Strong Customer Authentication wird am 14. September 2019 in Kraft treten.

In der letzten Woche hat die britische Finanzaufsichtsbehörde, die Financial Conduct Authority (FCA), hat zugestimmt, die Durchsetzung der neuen Online-Zahlungsverordnung um 18 Monate zu verschieben. Die Unternehmen haben bis März 2021 Zeit, die neue Funktion effektiv umzusetzen.

Der Aufschub wurde gewährt, nachdem Branchenverbände davor gewarnt hatten, dass Kartenaussteller, Zahlungsdienstleister und Online-Händler nicht genug Zeit haben würden, um die Änderungen umzusetzen, und dass dies Auswirkungen auf die Kunden haben könnte.

Die FCA sagte, dass sie keine Maßnahmen gegen Firmen ergreifen wird, die in diesem Zeitraum gegen die neue Gesetzgebung verstoßen, vorausgesetzt, sie können nachweisen, dass sie Maßnahmen zur Einhaltung des Systems ergriffen haben. Nach der 18-monatigen Gnadenfrist werden alle Online-Zahlungen den neuen Sicherheitsmaßnahmen unterliegen.

Fazit

Es besteht kein Zweifel, dass die Umsetzung der PSD2 enorme Veränderungen für Zahlungsdienstleister mit sich bringen wird. Viele werden ihre Systeme ändern müssen, um 3D Secure2 und andere SCA-Methoden verarbeiten zu können, wobei sie sorgfältig zwischen den Komfort- und Sicherheitsbedürfnissen ihrer Kunden abwägen müssen. Indem die neue Verordnung jedoch dazu beiträgt, die Betrugsraten in der Branche zu senken, wird sie das Vertrauen der Verbraucher stärken und letztlich die Zahlungsabwicklung für die Kunden insgesamt verbessern.

MetaCompliance ist spezialisiert auf die Erstellung von die beste auf dem Markt erhältliche Schulung zum Thema Cybersicherheit. Unsere Produkte gehen direkt auf die spezifischen Herausforderungen ein, die sich aus Cyber-Bedrohungen und der Unternehmensführung ergeben, indem sie es den Benutzern erleichtern, sich mit Cybersicherheit und Compliance zu befassen.  Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie wir Sie bei der Umgestaltung der Cybersicherheitsschulung in Ihrem Unternehmen unterstützen können.