Bei Hinzufügung tokenisierter Zahlungskarten in digitale Wallets ist die Entsperrung des Mobiltelefons kein ausreichendes Element der Authentifizierung des Zahlungsdienstenutzers | Payment Services Law Blog | GÖRG Blog

Bei Hinzufügung tokenisierter Zahlungskarten in digitale Wallets ist die Entsperrung des Mobiltelefons kein ausreichendes Element der Authentifizierung des Zahlungsdienstenutzers

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 31.01.2023 drei neue Q&As zu digitalen Wallets veröffentlicht.

SCA bei Hinzufügung von Karten erforderlich

Q&A 5622 macht deutlich, dass der Prozess zur Tokenisierung („Erstellung einer digitalisierten Version der Zahlungskarte“) die Anwendung der SCA erforderlich macht. Der Emittent hat bei dieser Tokenisierung zu prüfen, ob der Zahlungsdienstenutzer der rechtmäßige Nutzer ist. Q&A 5622 konkretisiert in Bezug auf die Auslösung elektronischer Zahlungsvorgänge des Weiteren, dass die Auslösung von Transaktionen mit der digitalisierten Version der Zahlungskarte grundsätzlich ebenfalls die Anwendung der SCA notwendig macht.

Entsperrung des mobilen Endgeräts reicht nicht aus

In Q&A 6145 wird daran anknüpfend klargestellt, dass die Entsperrung eines Mobiltelefons mit biometrischen Merkmalen (z. B. einem Fingerabdruck) oder mit einer PIN/einem Passwort mangels Kontrollmöglichkeit des Emittenten kein gültiges Element zur Authentifizierung des Zahlungsdienstenutzers darstellt, wenn der Bildschirmsperrmechanismus des mobilen Geräts nicht unter der Kontrolle des Emittenten steht oder wenn die zum Entsperren verwendeten Anmeldeinformationen nicht zuvor dem Zahlungsdienstenutzer mittels SCA zugeordnet wurden.

Dies betrifft allerdings ausschließlich das Hinzufügen einer digitalisierten Zahlungskarte zu einer Wallet (bspw. Apple Pay oder Google Pay). Die SCA bei Zahlungen mittels der digitalisierten Zahlungskarte kann ausgelagert werden, daher bleibt die Authentifizierung durch die genannten Elemente, wie Fingerabdruck oder Bildschirmentsperrung, ausreichend.

Schließlich verdeutlicht Q&A 6464, dass die Ausgabe einer neuen digitalisierten Zahlungskarte, die eine bereits existierende ersetzt, sowie deren Bindung an ein Gerät bzw. einen Nutzer ebenfalls die Anwendung der SCA erfordert.

Folgen für die Ausgestaltung der SCA

Mit der Veröffentlichung der Q&As hat die EBA dem Marktteilnehmer klarstellenden Leitsätze für die Tokenisierung und deren Ausgestaltung an die Hand gegeben. Zu beachten sind die Notwendigkeit der SCA auch bei Hinzufügung einer digitalisierten Zahlungskarte sowie die Nutzung geeigneter Authentifizierungsmerkmale. Verpflichteten ist an dieser Stelle zu empfehlen, die Einhaltung der Anforderungen zu prüfen und Prozesse anzupassen. Abzuwarten bleibt zudem eine durch die EBA angeregte neue Ausgestaltung der SCA im Rahmen der PSD3. Es wird damit gerechnet, dass die Kommission einen umfassenden Entwurf des PSD3 in den nächsten Monaten veröffentlicht.

Die starke Kundenauthentifizierung

Die SCA soll die Sicherheit im elektronischen Zahlungsverkehr erhöhen. Sie beruht auf Art. 97 Abs. 1 der PSD2. Die dortigen Anforderungen werden ihrerseits in Art. 24 Abs. 1 der Delegierten Verordnung (EU) 2018/389 der Kommission konkretisiert. Die Pflicht zur SCA verlangt eine Authentifizierung des Zahlungsdienstenutzers etwa bei Auslösung eines elektronischen Zahlungsvorgangs oder bei Zugriff auf sein Zahlungskonto. Vorgeschrieben ist eine Authentifizierung über die Verwendung von zwei Faktoren aus den unterschiedlichen Elemente Wissen (z.B. Passwort, Code, PIN), Besitz (z.B. Token, Smartphone) und Inhärenz (z.B. Fingerabdruck, Stimmerkennung)

Bereits zuvor veröffentlichte Q&As

In zuvor veröffentlichten Q&As stellte die EBA bereits die erforderlichen Anwendung der SCA bei (1) Registrierung einer Zahlungskarte in einer digitalen Wallet (Q&A 6141) und bei (2) Auslösung einer Zahlung mit einer solchen digitalisierten Zahlungskarte (Q&A 4827). Daneben wurden (3) die Anforderungen bei einer Auslagerung der SCA erläutert (Q&A 4047). Die EBA unterstrich jeweils, dass der Emittent sowohl bei Tokenisierung wie auch bei der Auslagerung der Überprüfung der SCA-Elemente für die SCA verantwortlich bleibt.

  • xing
  • linkedin
  • twitter
Kategorien

, , ,