PSD2: Das müssen europäische Bankkunden jetzt wissen
Sagt Ihnen der Begriff PSD2 etwas? Keine Scham, wenn nicht – vielen betroffenen Unternehmen scheint es ähnlich zu gehen! Das verwundert etwas, denn hinter PSD2 verbirgt sich eine neue Richtlinie, welche die Zahlung mit Kreditkarten, Debitkarten und Giro/EC-Karten gehörig herum wirbeln wird. Betroffen sind alle elektronisch veranlassten Zahlungen über 30€ innerhalb der EU, auch Zahlungsdienstleister wie Paypal müssen sich daran halten. Nach den neuen Regeln ist ab dem 14. September 2019 die Kreditkartenzahlung im Internet wie sie bisher möglich war am Ende. Bislang reichte es aus, den auf der Kartenrückseite angegebenen Namen des Besitzers, die Kreditkartennummer und die Prüfziffer anzugeben. Wer also die Karte in seinem Besitz hatte und intelligent genug war sie umzudrehen, konnte damit etwas bezahlen. Das alles ändert sich nun, doch aktuell häufen sich die Probleme bei den Anbietern, ob Bank oder Kreditkartenunternehmen.
Wie weit bargeldlose Bezahlung verbreitet ist, unterscheidet sich von Land zu Land enorm. Während z.B. Kreditkarten in den USA oder auf Island (sogar bei einer Hafenrundfahrt!) zum Alltag gehören, wird in Deutschland nur jeder 57. Einkauf damit bezahlt. Bei der Zahlung im Internet und dem Handel über alle Landesgrenzen hinweg werden Zahlungen durch Kreditkarten jedoch zunehmend wichtiger, auch als Sicherheit bei der Reservierung von Hotelzimmern oder für Leihwagen rückt die Plastikkarte immer mehr in den Mittelpunkt. 2015 verabschiedete das EU-Parlament eine aktualisierte Version der bereits 2007 entstandenen „Payment Services Directive“ (Zahlungsdienstrichtlinie). Die Sicherheitsabfragen werden dabei etwas umfangreicher bzw. aufwändiger, damit Betrüger es auch mit geklauten Kreditkarten oder bei Identitätsdiebstahl deutlich schwerer haben.
Um es kurz zu machen, es wird dynamischer! Die PDS2 legt fest, dass Überweisungen und andere Zahlungen mit einem „dynamischen Element“ freigegeben werden müssen. Man spricht hier auch von einer starken Kundenauthentifizierung. So haben z.B. Papierlisten für iTAN und Ähnliches ausgedient. Dafür kommt dann die Zwei-Faktor-Authentifizierung, die viele von Ihnen bereits von Amazon, Google und anderen Anbietern kennen dürften. Zu den üblichen Angaben (Empfänger, Betrag etc.) kommt also nun eine weitere hinzu. Man spricht dabei von Wissen, Besitz oder (etwas abstrakt) Inhärenz. Kennt der Nutzer hier einen dynamischen (also ein speziell für die Transkation erstellten) Code (Wissen), hat ein Smartphone mit einer bestimmten bei der Bank hinterlegten Nummer (Besitz) oder kann einen Fingerabdruck als individuelles Merkmal vorlegen (Inhärenz), kann die Transaktion stattfinden.
Ohne Handy plus passender App dürfte man in Zukunft nicht weit kommen, wenn man online bezahlen möchte. Außerhalb der EU gelten diese Bestimmungen (noch) nicht, Verbraucherschützer weltweit stehen allerdings schon Gewehr bei Fuß, um im Erfolgsfall eigene Initiativen in ihren Ländern zu starten. Dass die Betrugsfälle im Internet jährlich Milliardenhöhe erreichen, ist schließlich kein exklusives Problem der Europäischen Union. Was jedoch schon jetzt zu erkennen ist: Die technischen Probleme häufen sich und die Umsetzung hakt bei vielen Unternehmen. Frankreich, Deutschland, Großbritannien, Italien und Österreich planen nun mit Übergangsregelungen von 18 Monaten, da sonst ein finanzielles Chaos sondergleichen zu erwarten wäre. Man hatte ja auch nur 4 Jahre Zeit, um etwas umzusetzen, was Google und Co schon lange praktizieren, wie manche Zyniker nun spotten. Es verwundert, dass selbst Kreditkartenunternehmen mit Milliardenumsätzen nichts Praktikables pünktlich an den Start bringen. Der 14. September ist praktisch schon da, fertige Apps und auch Info-Material für die beunruhigten Kunden lassen häufig auf sich warten.
Und meine Bank, deren Namen ich netterweise mal verschweigen möchte? Sie verfällt in grobe Panik! Die Zeit seit 2015 hat anscheinend nicht ausgereicht, diese Änderungen umzusetzen. Mehr als 1500 Beschwerden trudelten zuletzt pro Stunde ein, die App funktionierte nicht, technische Probleme häuften sich, man konnte über Stunden keine Login-Seite im Internet erreichen, Finanzsoftware hatte keinen Zugriff und Konten wurden gesperrt, obwohl Login und Passwort korrekt waren. Auch die Trennung von Privat- und Geschäftskonten funktionierte nicht mehr, da die Bank diese unterschiedlichen „Identitäten“ einer Person nicht verarbeiten konnte. Sofortüberweisungen gingen natürlich auch nicht. Irgendwann hatte sogar die Hotline die Faxen dicke, streckte die Waffen und ließ einfach eine Bandansage laufen. Inhalt: Die Probleme sind bekannt, es wird dran gearbeitet, schönen Abend noch.
Natürlich kann es so „einfach“ nicht sein, die Gesetzgeber haben sich noch ein paar Sonderregelungen einfallen lassen. Summieren sich kleinere Beträge „binnen Kurzem“ auf 150€, wird eine Authentifizierung nötig, ebenso bei fünf Überweisungen in Folge ohne vorherigen Check. Banken können einzelne Transaktionen auch als sicher einstufen und so auf die Authentifizierung verzichten, z.B. bei regelmäßigen Zahlungen. Desweiteren können Banken Händler ihrer Wahl als generell vertrauenswürdig einstufen. Amazon, Ebay und Co. scharren hier schon mit den Hufen. Ob meine Bank (und viele andere) aber so schnell PSD2 umsetzen werden – ich wage es zu bezweifeln. Auch wenn man sich in der Werbung gerne moderner als Tesla gibt, neue Wege brauchen immer ihre Zeit, bei Finanzunternehmen besonders.
Was mich interessieren würde: Finden Sie den Aufwand gerechtfertigt oder rechnen Sie damit, dass Verbrecher auch diese Sicherheitsmaßnahmen bald aushebeln werden?