März 2017
Auswirkungen der starken Kundenauthentifizierung auf E-Geld-Produkte
Präambel
Die folgenden Aussagen basieren auf dem abschließenden Bericht „Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)“ (Entwurf für technische Regulierungsstandards für die starke Kundenauthentifizierung und gemeinsame und sichere Kommunikation gemäß Artikel 98 der Richtlinie 2015/2366 (PSD2), der von der EBA am 23. Februar 2017 veröffentlicht wurde. Hierin genannte Seitenverweise beziehen sich auf dieses Dokument.
Eingangsbemerkungen
1. Gemäß Artikel 97 Abs. 1 der PSD2 müssen Mitgliedsstaaten sicherstellen, dass der Zahlungsdienstleister eine starke Kundenauthentifizierung (SCA) verlangt, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Elektronische Zahlungen können kartenbasierte Nahzahlungsvorgänge an physischen POS oder Fernzahlungsvorgänge wie Online-Zahlungen über das Internet oder kontaktlose POS-Zahlungen im Sinne von Artikel 4 Abs. 6 der PSD2 sein.[1] Die SCA spielt darüber hinaus eine wichtige Rolle für die sich aus den Artikeln 72, 73 und 74 der PSD2 ergebenden Haftungsregelungen.
2. Elektronische Zahlungsvorgänge schließen Zahlungsvorgänge mittels E-Geld mit ein (S. 7). Ebenso wie andere elektronische Zahlungsvorgänge können Zahlungsvorgänge mittels E-Geld kartenbasiert sein (z. B. Prepaid-Karten, die mit einem E-Geld-Konto verbunden sind oder auf denen E-Geld direkt gespeichert werden kann) oder kontobasiert, ohne dass ein Zugriff auf das Konto mittels einer Karte erfolgt.[2]
3. Gemäß der Vierten EU-Geldwäsche-Richtlinie (2015/849/EU, AMLD4) können wieder aufladbare und nicht wieder aufladbare E-Geld-basierte Zahlungsinstrumente bei Vorliegen eines niedrigen Risikos (in Bezug auf Geldwäsche und Terrorismusfinanzierung) ohne eine Identifizierung des Inhabers ausgegeben werden, wenn bestimmte Voraussetzungen (z. B. Transaktionsüberwachung) und Schwellenwerte eingehalten werden (Ausnahme von bestimmten kundenbezogenen Sorgfaltspflichten gemäß Artikel 12 der AMLD4). In solchen Fällen kann der Inhaber des Produkts anonym bleiben.
4. Die PSD2 beinhaltet verschiedene Ausnahmeregelungen für anonyme vorausbezahlte Kleinbetragszahlungsinstrumente. Artikel 63 der PSD2 sieht vor: „1. Im Falle von Zahlungsinstrumenten, die … Geldbeträge speichern, die zu keiner Zeit 150 EUR übersteigen, können die Zahlungsdienstleister mit ihren Zahlungsdienstnutzern vereinbaren, dass … (b) die Artikel 72 und 73 sowie Artikel 74 Absätze 1 und 3 keine Anwendung finden, wenn das Zahlungsinstrument anonym genutzt wird …“ Das bedeutet, dass unter den genannten Umständen die Emittenten (abweichend von Artikel 72 der PSD2) nicht verpflichtet sind, nachzuweisen, dass Zahlungsvorgänge authentifiziert sind. Darüber hinaus müssen die Emittenten für anonyme Zahlungsinstrumente mit einem Höchstbetrag von 150 EUR für nicht autorisierte Zahlungsvorgänge gemäß den Artikeln 73, 74 Abs. 1 und 3 der PSD2) nicht haften.
5. Wenn E-Geld anonym ausgegeben wird, ist eine Authentifizierung (definiert als „ein Verfahren, dass es dem Zahlungsdienstleister ermöglicht, die Identität eines Kunden zu überprüfen“; S. 48), streng genommen nicht möglich, weil der E-Geld-Nutzer nicht vom Emittenten identifiziert wurde. Die Berechtigung zur Auslösung eines elektronischen Zahlungsvorgangs basiert allein auf den Merkmalen Besitz (z. B. einer Karte) und/oder Wissen (eines Codes).
6. Bei den meisten Geschenkkarten, die nicht in einem geschlossenen System ausgegeben werden, handelt es sich um E-Geld. Zahlungen mit diesen (üblicherweise nicht personalisierten und übertragbaren) Karten werden ohne Eingabe einer PIN ausgelöst. Das auf der Karte (dem Chip oder dem Magnetstreifen) gespeicherte E-Geld wird ebenfalls für elektronische Zahlungen ohne PIN genutzt. Eine PIN-basierte Autorisierung wäre in Anbetracht des geringen Risikos (üblicherweise handelt es sich um Kleinbetragszahlungen) und der Nutzerfreundlichkeit (z. B. Übertragbarkeit von Geschenkkarten) überflüssig. Die Online-Zahlung mit elektronischen Gutscheinen erfolgt über die Eingabe eines dem Nutzer bekannten Codes. Zahlungen mit anonymen E-Geld-Zahlungsinstrumenten basieren üblicherweise auf einer „Ein-Faktor“-Authentifizierung (Kartenbesitz oder Kenntnis eines Codes).
Auswirkungen für E-Geld-Produkte
7. Während die PSD2 ausdrücklich Anwendungsfälle für anonyme vorausbezahlte Kleinbetragszahlungsinstrumente und eine spezielle Regelung vorsieht, die deren Besonderheiten gerecht wird, übersehen die technischen Regulierungsstandards (RTS) für die starke Kundenauthentifizierung (SCA) diese Besonderheiten offenbar. Wir begrüßen es, dass diese Produkte aus der Sicht des europäischen Gesetzgebers nicht den Anforderungen an die SCA unterliegen sollen. Allerdings führt der sehr allgemein gehaltene Wortlaut des RTS zu Rechtsunsicherheit; dies kann schwerwiegende nachteilige Konsequenzen für einen florierenden Prepaid-Markt haben.
8. Artikel 21 der RTS geht eindeutig davon aus, dass die Identität des Zahlungsdienstnutzers mit den personalisierten Sicherheitsmerkmalen, den zur Authentifizierung eingesetzten Geräten und Software in Verbindung gebracht werden muss. Eine solche Verbindung ermöglicht keine anonyme Nutzung des Zahlungsinstruments und somit stehen die RTS in direktem Widerspruch mit der PSD2 und der AMLD4, die eine Ausnahmeregelung für anonyme E-Geld-Produkte vorsehen.
9. Artikel 4 der RTS fordert die Erzeugung eines Authentifizierungscodes, der auf zwei oder mehr Faktoren beruht. Dies erfordert logischerweise die Identifizierung des Kunden in irgendeiner Form und würde keine anonymen Produkte zulassen; dies steht im Gegensatz zu dem eindeutigen Wortlaut von Artikel 63 der PSD2.
10. Die Erzeugung einer dynamischen PIN oder eines einmaligen Passworts, wie in Artikel 5 der RTS für Fernzahlungsvorgänge mit E-Geld-Produkten gefordert, ist denknotwendig ein von der E-Geld-Ausgabe getrennter Prozess. Die dynamische Verknüpfung kann nur durch die Erfüllung mindestens vereinfachter Sorgfaltspflichten (z. B. Registrierung der Mobilnummer des Nutzers) realisiert werden. Die Anforderung der EBA bezüglich einer dynamischen Verknüpfung für Fernzahlungsvorgänge mit E-Geld kann nicht für alle anonymen E-Geld-Produkte umgesetzt werden, die im Einklang mit der AMLD4 und der PSD2 ausgegeben werden.
11. Bei elektronischen kartenbasierten Nahzahlungsvorgängen kann die starke Kundenauthentifizierung nach Maßgabe der EBA-Anforderungen (Artikel 4 der RTS) nur über eine Chipkarte mit Eingabe einer PIN realisiert werden, wie sie mindestens im EMV-Standard mit der Stufe DDA[3] oder höher vorgesehen ist (siehe S. 143). Karten mit Magnetstreifen sind nicht zulässig. Den meisten kartenbasierten E-Geld-Produkte (mit Ausnahme der Prepaid-Karten, die unter einem Brand der internationalen Kartensysteme ausgegeben werden) liegt keine EMV-DDA-Chipkartentechnologie zugrunde. Diese Karten werden die SCA-Anforderungen nicht erfüllen.
12. Der Umstand, dass viele elektronische Zahlungsvorgänge mittels E-Geld derzeit die SCA nicht erfüllen, liegt an den besonderen Produkteigenschaften (z. B. Anonymität oder keine PIN-Nutzung) des betreffenden Zahlungsinstruments. Nach der Ausgabe des Zahlungsinstruments können der Emittent oder der Erwerber für bestimmte mit diesem Instrument ausgelöste Zahlungsvorgänge keine SCA anwenden (z. B. nach einer Zunahme von Betrugsfällen). Gemäß Artikel 18 Abs. 5 der RTS muss der Zahlungsdienstleister stets in der Lage sein, SCA anzuwenden, wenn eine der in den Artikeln 10-16 der RTS festgelegten Ausnahmeregelungen in Anspruch genommen wird. Aus diesem Grund haben diese Ausnahmeregelungen keine Relevanz für Zahlungsdienstleister in Bezug auf E-Geld-Produkte, die auf der Ein-Faktor- Authentifizierung beruhen.
Vorgeschlagene Lösung
Es ist äußerst wichtig, dass anonyme Zahlungsvorgänge mittels E-Geld ausdrücklich nicht in den Anwendungsbereich der SCA RTS fallen. Wir plädieren daher dafür, dass für im Einklang mit der AMLD4 ausgegebene E-Geld-Zahlungsinstrumente oder andere anonym ausgegebene Zahlungsinstrumente von der Anwendbarkeit der RTS ausgenommen werden oder eindeutig klargestellt wird, dass diese Instrumente nicht der PSD2 unterliegen.
Änderungsvorschlag des PVD
Erwägungsgrund 8 (S. 15)
Exemptions based on low-value contactless payments, which also take into account a maximum number of consecutive transactions or a certain fixed maximum value of consecutive transactions without SCA, allow the development of user friendly and low risk payment services and should be included in these technical standards. It is also appropriate to establish an exemption for the case of electronic payment transactions initiated at unattended terminals where the use of strong customer authentication may not always be desirable due to operational reasons (e.g. to avoid queues and potential accidents at toll gates) or safety or security risks (for instance the risk of shoulder surfing). Actions which imply access to the balance and the recent transactions of a payment account without disclosure of sensitive payment data, recurring payments to the same payees which have been previously set up by the payer through the use of strong customer authentication, and payments to self from a natural or legal person within accounts in the same payment service provider, also pose a low level or risk and should therefore listed as exemptions in these technical standards. For the avoidance of doubt, SCA shall not apply to prepaid payment instruments subject to Article 63(1) point (b) of the Directive (EU) 2015/2366.
Fußnoten
[1] Fernzahlungsvorgang bedeutet einen Zahlungsvorgang, der über das Internet oder mittels eines Geräts, das für die Fernkommunikation verwendet werden kann, ausgelöst wird (Art. 4 Abs. 6 PSD2).
[2] Laut der EBA „schließen Geldüberweisungen E-Geld-Überweisungen mit ein“ (S. 7). Wir gehen davon aus, dass diese Klassifizierung nur für nicht kartenbasierte E-Geld-Zahlungsvorgänge relevant ist. Beide Kategorien unterliegen den Anforderungen bezüglich einer SCA, jedoch könnte die Unterscheidung Relevanz für die Referenzbetrugsraten der Ausnahmeregelung „Transaktionsrisikoanalyse“ (TRA) gemäß Artikel 16 haben.
[3] DDA: Dynamische Datenauthentifizierung (Dynamic Data Authentication). EMV-Chipkarten mit der Stufe SDA (statische Datenauthentifizierung – Static Data Authentication) sind nicht konform.
