17 Dez „SCA“ Strong Customer Authentication und “Geoblocking”
– Hinweise für unsere creditPass Kunden –
Die SCA ist eine neue Sicherheitsanforderung, die sich aus dem Gesamtkomplex der europäischen „PSD2“ (Payment Service Directive) ergibt. Diese soll die Sicherheit im Zahlungsverkehr EU-weit erhöhen, für Vereinheitlichung sorgen und weiteren Wettbewerb ermöglichen. Die Umwandlung der europäischen Direktive in unmittelbares nationales Recht erfolgte in Deutschland rechtlich zum 13.01.2018 auf Grundlage eines Bundestagsbeschlusses zur Umsetzung der Zweiten Zahlungsdiensterichtlinie ZDUG vom 01.06.2017. Da steckte dann auch das Thema „Starke Kundenauthentisierung“ mit drin.
Eindeutige Regelungen, auch zu den Ausnahmetatbeständen, liegen nach Auffassung verschiedener Rechtsexperten noch nicht abschließend vor. Es kann jedoch festgestellt werden:
- Die SCA ist zunächst für Kartenzahlungen und dabei insbesondere für Kreditkarten gedacht.
- Die Nutzer müssen sich vermutlich spätestens ab September 2019 mit zwei zusätzlichen Faktoren erkennbar machen, die nichts mehr mit der Karte zu tun haben. D.h. die bisherigen Faktoren Kartennummer und CVC-Code reichen nicht nur nicht aus, sondern sind nicht einmal mehr als einer der beiden notwendigen Faktoren nutzbar.
- Wie die Kreditkartenzahlung ab dann erfolgen soll (Zusätzliches Passwort, Biometrische Merkmale, usw.) wird derzeit diskutiert und vorbereitet.
- Ausgenommen von SCA bei den Kreditkartenzahlungen sind vermutlich a) kleine Bezahlbeträge bis EUR 100,-, b) risikoarme Transaktionen anhand geringer nachweisbarer Betrugsraten bei dem Kreditkartenacquirer, c) Händler, die von den Banken in einer Whitelist geführt werden (lustig, da haben die Banken sich irgendwie wieder erfolgreich ein regulatorische Pfrund gesichert), d) außereuropäische KK-Transaktionen und e) Firmenkreditkarten.
- Lastschriften gehören bis auf weiteres nicht dazu.
Der Name „Geoblocking“ setzt sich aus „Geo“ (Ortsherkunft) und „Blocking“ (Sperren) zusammen. Das pauschale Sperren bestimmter Regionen im freien Waren-, Personen-, Dienstleistungs- und Informationsverkehr ist nicht im Sinne des gemeinsamen Binnenmarktes. Mit der Verordnung (EU) 2018/302 soll ungerechtfertigte Diskriminierung bei Online-Käufen auf der Grundlage der Staatsangehörigkeit, des Wohnortes oder des Ortes der Niederlassung innerhalb des Binnenmarkts beendet werden. Die Verordnung trat zwar bereits am 23. März 2018 in allen EU-Mitgliedstaaten in Kraft, wird aber erst ab dem 03.12.2018 angewendet, um insbesondere kleinen Händlern die Möglichkeit zur Anpassung zu geben.
Zu beachten ist hierbei, dass sich die Verordnung explizit nur auf den Zugang zu Angeboten und den Verkauf bezieht. Eine europaweite Pflicht, Kunden auch (unter gleichen Bedingungen) zu beliefern, sieht sie dahingegen gerade nicht vor. D.h. für creditPass-Kunden: Die Prüfungen auf Risk-, Fraud- und Compliance können laufen wie bisher. Interessenten, die aus welchen Gründen auch immer die vom Händler zur Zahlungsabwicklung im Geschäftsvorfall gesetzten Kriterien nicht erfüllen, können (und müssen!) weiter abgelehnt werden. Das Instrumentarium hierzu wird creditPass auch 2019 weiter verfeinern.