Der Bezahlvorgang im Internet wird umständlicher: Ab dem 14. September 2019 ist die doppelte Kundenauthentifizierung Pflicht. Für Kreditkartennutzer reicht es z.B. nicht mehr, Kartennummer, Verfallsdatum und Sicherheitscode einzugeben.

DOPPELTE KUNDENAUTHENTIFIZIERUNG

Mit der doppelten Kundenauthentifizierung wird in Deutschland ab September eine EU-Richtlinie umgesetzt. Händler müssen dann einen weiteren Faktor abfragen. Das kann wie beim Online-Banking eine bestimmte Zeichenkombination sein, die dem Kunden auf das Mobiltelefon geschickt wird. Zulässig ist z.B. auch der Fingerabdruck, der den Online-Käufer als rechtmäßigen Nutzer der Karte ausweist. Da die technische Umstellung einige Zeit in Anspruch nehmen wird, sollten Händler diese umgehend in die Wege leiten.

EU-RICHTLINIE

Laut der neuen EU-Richtlinie wird die doppelte Kundenauthentifizierung im September 2019 zur Pflicht. Zwei von den folgenden drei Faktoren müssen dann beim Bezahlvorgang zum Einsatz kommen:

• Etwas, das nur der Kunde weiß – wie Passwort oder PIN,
• Etwas, das nur der Kunde besitzt – wie Karte oder Smartphone,
• Etwas, das nur der Kunde haben kann – wie Fingerabdruck, Stimme, Gesicht.

Für Kreditkartennutzer reicht es daher z.B. nicht mehr, Kartennummer, Verfallsdatum und Sicherheitscode einzugeben. Der Händler muss vielmehr einen weiteren Faktor abfragen. Das kann wie beim Online-Banking eine bestimmte Zeichenkombination sein, die dem Kunden auf das Mobiltelefon geschickt wird, oder z.B. der Fingerabdruck, der den Online-Käufer als rechtmäßigen Nutzer der Karte ausweist.

Mit der gestiegenen Sicherheitsanforderung steigt auch die Komplexität des Bezahlvorgangs, der dadurch umständlicher wird. Der HDE kritisiert zum einen, dass Kunden deshalb den Kauf frühzeitig abbrechen könnten, zum anderen aber auch, dass kleinere Shops benachteiligt werden. Ausnahmen von der Abfrage des zweiten Faktors werden dennoch nur zugelassen

• bei kleinen Beträgen (einem Einkaufswert von unter 30 Euro) oder
• wenn sich die Kundenbank im Rahmen der Transaktion nach einer positiv ausgefallenen Risikoanalyse aus bis zu 120 Datenpunkten für eine entsprechende Erleichterung entscheidet oder
• wenn die Kundenbank zuvor dem Vorschlag ihres Kunden nachgekommen war, seine Lieblingshändler auf eine persönliche Ausnahmeliste, eine „Whitelist“, zu setzen.

Die technische Umstellung auf die neuen Regeln wird einige Zeit in Anspruch nehmen und sollte daher umgehend in die Wege geleitet werden.