Viele Nutzer kennen das Verfahren schon aus dem Online-Banking. Nun ist die Zwei-Faktor-Authentifizierung auch beim Onlineshopping Pflicht, denn die letzte Testphase und Schonfrist der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) endete am 15. März.
Einkäufe in Onlineshops, die per Kredit- oder Debit-Karte, PayPal oder Klarna beglichen werden sollen, müssen ab sofort mit einer Zwei-Faktor-Authentifizierung (2FA) freigegeben werden. Das bedeutet, dass eine starke Kundenauthentifizierung nötig ist. Diese ist in der Richtlinie über Zahlungsdienste – Payment Service Directive II, PSD II – geregelt.
Wie authentifiziert sich der Kunde?
Die Richtlinie schreibt vor, dass die Identität der zahlenden Person mindestens anhand zweier Faktoren von insgesamt dreien überprüft werden muss. Dies können folgende sein: ein Passwort (Wissen), ein Handy, auf dem ein TAN-Code empfangen wird, eine Karte, die mittels Kartenlesegeräts eingelesen wird (Besitz) oder ein Fingerabdruck oder Gesichtsscan (Inhärenz/Biometrie).
Was müssen Onlinehändler beachten?
Für die Umsetzung des neuen Verfahrens sind zwar Zahlungsanbieter wie Kreditkartenunternehmen, Banken, PayPal oder Klarna verantwortlich, trotzdem sollten Onlinehändler prüfen, ob ihre im Shop eingebundenen Checkout-Optionen auf dem neuen Stand sind.
Allerdings gibt es nach wie vor Ausnahmen: Bei Kunden, die regelmäßiger im gleichen Shop die Kreditkarte zücken, darf auf die Absicherung verzichtet werden. Das betrifft auch Zahlungen unter 30 Euro. Außerdem sind „vertrauenswürdige Händler“, die der Kunde bei seinem Geldinstitut hinterlegen kann, nicht von der Regel betroffen.
Ausgenommen sind außerdem Lastschriften, da diese vom Händler und nicht vom Kunden selbst ausgelöst werden. Beim Rechnungskauf kommt es darauf an, wie der Kunde den Betrag später begleicht: per Überweisungsträger oder per Onlinebanking.
