Durch die Payment Services Directive 2 (PSD2), oder auch überarbeitete Zahlungsdienste-Richtlinie, sind im Bereich des Online-Banking seit 14. September 2019 neue Regelungen zu erfüllen. U.a. werden Regelungen zur starken Kundenauthentifizierung, der sogenannten Strong Customer Authentication (SCA), verpflichtend. Die Sicherheit für Kunden soll durch die Einführung einer Zwei-Faktoren-Authentifizierung bei elektronischen Zahlungen erhöht werden. Zukünftig muss der Authentifizierungsvorgang des Kunden mindestens zwei der drei Faktoren Wissen (Passwörter, PIN etc.), Besitz (Karte, Handy etc.) und Inhärenz (z.B. Gesichtserkennung, Fingerabdruck) enthalten. Dies ist nicht völlig neu, wird nun aber für Online-Zugriffe des Kunden verpflichtend.
Was auf der einen Seite zur Sicherheit beiträgt, kann auf der anderen Seite die Benutzerfreundlichkeit und den Bedienungskomfort des Kunden einschränken. Deshalb gibt es Ausnahmen, um den Kunden Nutzungserleichterungen anbieten zu können, z. B. für Kleinstbetragszahlungen (unter 30 €), Zahlungen an sich selbst oder an bekannte Empfänger (Whitelist-Lösung), für „risikoarme“ und wiederkehrende Transaktionen oder auch für den wiederkehrenden Abruf von Kontoinformationen.
Voraussetzung für die Nutzung der Ausnahmeregelungen ist die Durchführung von Prüfungshandlungen, die in der Delegierten Verordnung (EU) 2018/389 (DelVO) festgelegt sind.
Artikel 3 Abs. 1 DelVO 2018/389 verlangt eine jährliche Prüfung der nach Artikel 1 DelVO 2018/389 umzusetzenden Sicherheitsmaßnahmen durch einen unabhängigen Prüfer mit Fachwissen auf dem Gebiet der IT-Sicherheit und des Zahlungsverkehrs.
Artikel 3 Abs. 2 DelVO 2018/389 verlangt dies zusätzlich für die Methodik des eingesetzten Modells der Transaktionsanalyse und die gemeldeten Betrugsraten, sofern das Institut die Ausnahmeregelung gemäß Artikel 18 DelVO 2018/389 zur Vermeidung der starken Kundenauthentifizierung nutzt.
Während die Prüfung der funktionalen Bereitstellung und des Betriebs der Sicherungsmaßnahmen sowie der Methodik und des eingesetzten Modells der Transaktionsanalyse in der Regel durch die Interne Revision des Dienstleister des Kernbanksystems (bei Sparkassen durch die Finanz Informatik) erfolgt, sind die Parametrisierung und der Einsatz im Institut und die gemeldeten Betrugsraten jährlich durch das jeweilige Haus selbst zu prüfen.
Dabei unterstützen wir Sie aufgrund unseres hohen Erfahrungswissen hinsichtlich IT-Sicherheit und Zahlungsverkehr bei Bedarf gerne.