EBA veröffentlicht Konsultationspapier zu RTS betreffend die PSD2

Am 12. Jänner 2016 wurde die überarbeitete Zahlungsdienste-RL (RL (EU) 2015/2366) (“PSD2”) veröffentlicht. Sie ist von den Mitgliedsstaaten bis 13. Jänner 2018 in nationales Recht umzusetzen. Die EBA hat gemäß Art. 98 PSD2, in Zusammenarbeit mit der EZB, für Zahlungsdienstleister RTS zur Präzisierung der Erfordernisse zur starken Kundenauthentifizierung sowie zu gemeinsamen sicheren Standards für die Kommunikation erarbeitet.

Eine Kundenauthentifizierung ist gem. Art. 97 PSD2 erforderlich, wenn der Zahler online auf sein Konto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Die RTS sehen im Rahmen der starken Kundenauthentifizierung die Generierung eines Authentifizierungscodes vor. Dieser Code muss gewisse Sicherheitsmerkmale aufweisen. Auch enthalten die RTS Vorgaben zur starken Kundenauthentifizierung durch eine dynamische Verknüpfung und Authentifizierungselemente bezüglich Wissen, Besitz und Inhärenz.

Ausnahmen von der starken Kundenauthentifizierung bestehen in folgenden Fällen:

  • Online-Zugriff auf das Konto, ohne dabei sensible Daten anzugeben. Diese Ausnahme gilt nicht beim ersten Zugriff, sowie wenn die letzte starke Kundenauthentifizierung über ein Monat her ist.
  • Kleinstbetragszahlungen bei kontaktlosem elektronischem Bezahlen bis EUR 50, wobei der kumulierte Betrag vorheriger Zahlungen EUR 150 nicht übersteigen darf.
  • Zahlungsausgänge an vertrauenswürdige Personen, die vom Kunden als solche festgelegt wurden.
  • Serie von Überweisungen desselben Betrags an denselben Empfänger. Die Ausnahme gilt nicht bei der erstmaligen Initiierung der Serie.
  • Transfers zwischen zwei Konten desselben Kunden beim selben Zahlungsdienstleister.
  • Kleinstbetragszahlungen im Wege der elektronischen Ferntransaktion bis EUR 10, wobei der kumulierte Betrag vorheriger Zahlungen EUR 100 nicht übersteigen darf.

Die RTS legen Sicherheitsmaßnahmen fest, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen. Dazu zählen die Erstellung von personalisierten Sicherheitsmerkmalen. Auch für die Zustellung sowie die Zerstörung der Authentifizierungsmerkmale, -geräte und -software sehen die RTS Regelungen vor.

Für gemeinsame und sichere, offene Kommunikationsstandards legen die RTS als allgemeine Voraussetzungen für Kommunikation die Identifikation und Rückverfolgbarkeit fest. Spezielle Voraussetzungen für gemeinsame und sichere offene Kommunikationsstandards betreffen das Kommunikationsinterface, die Sicherheit der Kommunikationssitzung sowie den Datenaustausch.

Die Konsultationsfrist läuft noch bis 12. Oktober 2016. Danach werden die finalen RTS von der EBA veröffentlicht.

Quelle: EBA-CP-2016-11

print