Nach Einschätzung der BaFin sind Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, nicht ausreichend auf die sog. Starke Kundenauthentifizierung (zum Regupedia-Steckbrief) vorbereitet. Diese ist ab dem 14. September 2019 unionsweit gültig und besagt u. a., dass Online-Zahlungen mit zwei voneinander unabhängigen Faktoren legitimiert werden müssen. Diese müssen aus zwei der drei Kategorien Wissen (z. B. Passwort), Besitz (z. B. Mobiltelefon) und Inhärenz (z. B. persönlicher Fingerabdruck) bestehen. Die bislang übliche Legitimation bei Kreditkartenzahlungen, d. h. Eingabe der Kreditkartennummer und Prüfziffer, erfüllt die Vorgaben der Starken Kundenauthentifizierung also nicht. 

Um Störungen bei Internet-Zahlungen zu verhindern und die neuen Anforderungen im Rahmen der Zweiten Zahlungsdiensterichtlinie (PSD II) reibungslos umzusetzen, hat sich die BaFin daher entschlossen, Kreditkartenzahlungen im Internet, die ab dem 14. September 2019 weiterhin ohne Starke Kundenauthentifizierung durchgeführt werden, vorerst nicht zu beanstanden. Wie lange diese Erleichterungen gelten, will die BaFin nach Konsultation der Marktteilnehmer und Abstimmung mit der EBA noch bekannt geben. 

Die Möglichkeit, die Implementierungsfrist für die Starke Kundenauthentifizierung unter bestimmten Voraussetzungen zu verlängern, hatte die EBA den nationalen Aufsichtsbehörden in einer Stellungnahme vom 21. Juni 2019 eingeräumt. Auch Großbritannien und Österreich haben bereits von dieser Option Gebrauch gemacht (Regupedia berichtete). 

Die Pressemitteilung der BaFin finden Sie hier.