2. GSK PSD 2 Konferenz Frankfurt Starke Kundenauthentifizierung nach PSD 2 und RTS 2018/389. Dr. Markus Escher, GSK Stockmann

Transkript

1 2. GSK PSD 2 Konferenz Frankfurt Starke Kundenauthentifizierung nach PSD 2 und RTS 2018/389 Dr. Markus Escher, GSK Stockmann

2 Inhaltsübersicht Einführung zur starken Kundenauthentifizierung Regelungen in der PSD 2 und im RTS Entwurfswettbewerb beim RTS Sachliche und internationale Fragen zur SKA Vorgaben zur SKA nach dem RTS Ausnahmen zur Pflicht SKA anzuwenden 2

3 1. Einführung zur starken Kundenauthentifizierung (SKA)

4 Einführung zur starken Kundenauthentifizierung (SKA) Von der PSD 1 zu PSD 2 - Die PSD 1 (EU-Richtlinie 2007/64) traf noch keine Vorgaben zur SKA und zu Fragen der IT-Sicherheit. - Nach EZB Empfehlungen ( ) forderte die EBA in ihren Final Guidelines on the Security of Internet Payments (EBA/GL/2014/12, ) im Vorgriff auf die PSD 2 bereits SKA-Anwendungen bei Internetzahlungen. - Die BaFin setzte diese EBA Guidelines mit den Mindestanforderungen an Sicherheit bei Internetzahlungen (MaSI)/BaFin Rundschreiben 4/2015 um, die noch bis im Rahmen der Phase 1/PSD 2 Gültigkeit behalten, 68 IV ZAG. - Die PSD 2 (EU-Richtlinie 2015/2366) fordert in Art. 97 PSD 2 die Anwendung der SKA (u.a.) bei elektronischen Zahlungen 4 GSK 2018

5 Einführung zur starken Kundenauthentifizierung (SKA) 55 ZAG / Art. 97 PSD 2 1(24) ZAG/Art. 4 Nr. 30 PSD 2 Starke Kundenauthentifizierung Starke Kundenauthentifizierung- Was ist das? Kommentar zwei voneinander unabhängige Authentifizierungselemente 1 (24) ZAG: zahlreiche heutige Methoden werden fragwürdig bzw. unzulässig: * Besitz / Karte, smartphone, reader * Wissen / PIN oder * Biometrie / Fingerabdruck, Iris-scan, Stimme, Gesicht z.b. nur Kreditkartendaten, nur User ID /EBA Op. sect. 35 /BaFin: nein z.b. statischer SecureCode (Kreditkartennummer und PIN, da kein Besitz ) z.b. (nur) PIN-Zugang zu Online- Konto / BaFin: grds. nein 5 GSK 2018

6 Einführung zur starken Kundenauthentifizierung (SKA) 55 ZAG / Art. 97 PSD 2 1(24) ZAG/Art. 4 Nr. 30 PSD 2 Starke Kundenauthentifizierung Beispiele für zulässige SKA? Kommentar zulässig ist z.b. Karte oder mobile TAN auf smartphone (Besitz) + PIN (Wissen ) TAN-generator (Besitz) + PIN (Wissen) smartphone (Besitz) + fingerprint (Biometrie) *Zwei Instrumente-Authentifizierung wird IT-set up der Unternehmen herausfordern * Auswirkungen für Unternehmen als Zahler und Zahlungsempfänger * Einschränkungen der Anwenderfreundlichkeit * (vermeintlich) Steigerung von Sicherheit für alle 6 GSK 2018

7 Welche Zahlungsdienstleister/Institute sind betroffen? Zahlungsdienstleister 1 I ZAG Gekoren 10 ZAG Erlaubnis Geboren 32 KWG Erlaubnis Zahlungsinstitute (inkl. Nicht-CRR- Banken) 1 I Nr. 1 E-Geld-Institute 1 I Nr. 2 Einlagen-KI/ CRR- Kreditinstitute 1 I Nr. 3, neu: ZAG ( Banken ) 7 GSK 2018

8 Welche Zahlungsdienstleister/Funktionen sind betroffen? Zahlungsdienstleister,.. wenn der Zahler 55 ZAG - Kartenzahlung /Issuer - Überweisung / Bank des Zahlers - Kartenzahlung / Acquirer - funktionstypische Verantwortung für Authentifizierung - EBA Opinion: payer s PSP s ultimate decision to apply exemptions fragwürdig: - nicht an Authentizifierung beteiligt - Art. 74 PSD 2/ 55 ZAG, gesteigerte Haftung, wenn Acquirer SKA nicht akzeptiert 8 GSK 2018

9 Wie sind Auslandsbanken als Zahlungsdienstleister betroffen? Ausländische Zahlungsdienstleister Art. 1 I lit. a PSD 2 EU-Pass / CRD-IV, PSD 2 Deutsches Tochterunternehmen mit 32 KWG Erlaubnis / CRR-Kreditinstitut Dienstleistung nach Deutschland (Art. 97 PSD 2 + RTS; aber nicht 55 ZAG) ab b KWG Zweigniederlassung in D (Art. 97 PSD 2 + RTS; aber nicht 55 ZAG) ab CRR-Kreditinstitut 1 I Nr. 3 neu: ZAG; SKA nach 55 ZAG ab GSK 2018

10 SKA und neue Zahlungsaufsicht nach PSD 2 PSD 2: Neue EU-Rechtstechniken und 2-Phasen Inkrafttreten PSD 1 PSD 2 EU-RiLi 2015/2366 EBA Guidelines EBA / EU KOM RTS EU-RiLi 2007/ ZAG (2018) ZAG ( ) BaFin Praxis EU VO 2018/389 ZAG (2009) M RTS SKA ( ) (13.1./ ) (13.1./ ) / + RTS SKA GSK 2018

11 Entwicklung der neuen Zahlungsaufsicht nach PSD 2 BaFin/BMF-ZAG Konferenz Doris Dietze (Leiterin Ref. VII A 3b BMF) fasste den Übergang von PSD 1 auf PSD 2 auf der ZAG-Konferenz der BaFin aufsichtsrechtlich prägnant zusammen: PSD 1 zu PSD 2: von der Aufsicht über Geldströme zur Aufsicht über Datenströme 11 GSK 2018

12 2. Regelungen in der PSD 2 und im RTS zur Starken Kundenauthentifizierung

13 Starke Kundenauthentifizierung: Auswirkungen auf Zahlungsprodukte Bisherige Organisationsfreiheit für IT-Sicherheit im Online-Banking Bank bietet Online-Banking, elektronische Zahlungen und Sicherheit dazu an (heute: nach Maßgabe der MaSI mit gewissen Spielräumen in der SKA) Bankkunde entscheidet nach Angebot der Bank selbst über angebotene elektronische Zahlungsprodukte und Sicherheitsniveau 13 GSK 2018

14 Starke Kundenauthentifizierung: Auswirkung auf Zahlungsprodukte Künftige Regulierung der IT-Sicherheit mit Starker Kundenauthentifizierung (SKA) PSD 2 / ZAG Gesetzgeber regelt: Banken / Zahlungsdienstleister / Kreditkartenissuer und -acquirer werden bei elektronischen Zahlungen zu bestimmten Sicherheitsprodukten verpflichtet ( strong customer authentication ) Zahlungsempfänger / Händler verlieren grds. Entscheidungsfreiheit und werden mittelbar zur Akzeptanz von SKA verpflichtet. Zahler / Kunde verliert Entscheidungsfreiheit und wird von Bank / KK-Issuer zu bestimmten Sicherheitsprodukten verpflichtet 14 GSK 2018

15 Abgrenzung: SKA nach ZAG und RTS 2018/ ZAG / EBA RTS Starke Kundenauthentifizierung Wo ist was zur SKA geregelt? 55 ZAG 1 (24) ZAG Grundsätzliche Tatbestandsvoraussetzungen Wann besteht SKA-Pflicht? Grundsätzliche technische Anforderungen Was ist SKA im Grundsatz? RTS/ EU VO 2018/389 ( ) Technische Anforderungen Wie ist SKA im Detail anzuwenden? Zugelassene Ausnahmen Wann ist SKA doch nicht erforderlich? Wann gelten gesteigerte SKA Anforderungen? e-commerce / dynamic linking Welche zusätzlichen Sicherheitsanforderungen gelten mit /ohne SKA, Artt. 2,3 RTS 15 GSK 2018

16 Wofür hat die Starke Kundenauthentifizierung rechtliche Bedeutung? Starke Kundenauthentifizierung Aufsichtsrecht Zivilrecht / Haftung ab : Bis : Nur nach MaSI Ab : Nach 55 ZAG und RTS noch offen: eventuell Deutsches Begleitgesetz mit neuen Ordnungswidrigkeiten, 25g, 29 (2) KWG neu, PrüfungsBerichtsVO neu ohne SKA, Haftung des Nutzers nur bei Betrug, 675v (4) BGB: Keinerlei Beweiserleichterungen 675w BGB Aufsichtsrecht zwingend? Oder bei Nichtanwendung im Einzelfall nur Haftungskonsequenz? 16 GSK 2018

17 3. Entwurfswettbewerb beim RTSbeim RTS

18 EBA RTS Der Entwurfswettbewerb zwischen EBA und EU Kommission Entwicklung und Status EBA RTS Rekord-Aktivität in EBA Konsultation (08/2016) mehr als 150 europ. Stellungnahmen Erster EBA final report zum RTS vom mit wichtigen EBA-Ergänzungen / Summary of responses Zurückweisung EU-Kommission, mit Kommissionsvorschlägen EBA zweiter Entwurf (EBA/Op/2017/09) Nach Aktivitäten EU Parlament / EBA/ EU Kommission > Entscheidung der EU Kommission (C (2017) 7782) RTS ist am als EU Verordnung 2018/389 im ABl. veröffentlicht und wird am (mit unmittelbarer Wirkung in EU-Mitgliedstaaten / Deutschland) wirksam EBA Opinion (EBA-Op ), GSK 2018

19 4. Sachliche und internationale Fragen zur SKA

20 Produktbezogene Fragen zur Starken Kundenauthentifizierung Deutsche Regelung 55 ZAG Starke Kundenauthentifizierung Wann besteht SKA-Pflicht? Kernaussagen der künftigen Rechtslage: SKA verpflichtend falls Zahler online auf sein Zahlungskonto zugreift einen elektronischen Zahlungsvorgang auslöst über einen Fernzugang eine sonstige Handlung mit Missbrauchsrisiko vornimmt (z.b. Adressänderung, Anforderung Zahlungsinstrument) Bei elektronischem Fernzahlungsvorgang (z.b. Internet-Payment): SKA mit dynamic linking (Verknüpfung mit Betrag und Zahlungsempfänger) Größerer Anwendungsbereich als bei MaSi (dort nur Internetzahlungen) wird MaSI diesbezüglich erst ab ersetzen, da 55 ZAG/SKA erst mit Wirksamwerden des RTS SKA der EU Kommission in Kraft treten wird (vgl. Art. 15 (1) ZDUG; 68 (4) ZAG) 20 GSK 2018

21 Produktbezogene Fragen Starke Kundenauthentifizierung (2) Deutsche Regelung 55 ZAG Starke Kundenauthentifizierung Wann besteht SKA-Pflicht? Zahler greift online auf sein Zahlungskonto zu ( 55 (1) Nr. 1 ZAG): Zahlungskonto? (. das für die Ausführung von Zahlungsvorgängen genutzt wird, 1 (17) ZAG) Kreditkartenkonto? (-) bei klassischer charge card und Monatsabrechnung (vgl. BaFin-ZAG Merkblatt, ) online Zugriff: Lastschriften? Nein vgl. BaFin-Praxis zu Zahlungsauslöse- und Kontoinformationsdienstleister mit Zugriff (Zugang zur) online Banking Umgebung Beachtlich: Klassischer online-banking Zugriff erfordert bisher nur user und PIN künftig auch nur für log-in grds. eine SKA, was IT-Umgestaltungen fordert, soweit nicht RTS-Ausnahme (Art. 10 RTS) greift. 21 GSK 2018

22 Produktbezogene Fragen zur SKA (3) Aktuelle 55 ZAG Starke Kundenauthentifizierung Elektronischer Zahlungsvorgang Zahler löst einen elektronischen Zahlungsvorgang aus, 55 (1) Nr. 2 ZAG Fragen und Verfahren aus den parlamentarischen Verhandlungen/Finanzausschuss Deutscher Bundestag Ist eine schriftlich am POS-Terminal unterzeichnete Kreditkartentransaktion die Auslösung eines elektronischen Zahlungsvorgangs? Nein, vgl. Bericht Finanzausschuss BT (BT-Drs. 18/12568), S. 153);..elektronischer Zahlungsvorgang nicht in PSD 2 / ZAG definiert. Praktisch richtige Lesart wohl: Zahler löst elektronisch einen Zahlungsvorgang aus und nicht sprachlich/telefonisch/schriftlich Ist auch bei Lastschriften eine SKA erforderlich? Nein, entwickelte Praxis EBA/final report zum RTS vom ; BaFin-ZAG Konferenz GSK 2018

23 Produktbezogene Fragen zur SKA (4) Aktuelle 55 ZAG Starke Kundenauthentifizierung Fernzugang /Missbrauchsrisiko Wann besteht für eine sonstige Handlung über einen Fernzugang mit Missbrauchsrisiko eine Pflicht zur SKA? ( 55 (1) Nr. 3 ZAG) z.b. Adressänderung Anforderung Zahlungsinstrument Zuordnung Zahlungsdienstnutzer zu personalisiertem Sicherheitsmerkmal, Authentifizierungsgerät oder Software (z.b. Zuordnung smartphone /Kunde; fingerprint/kunde) per Fernzugang soll auch nach Art. 24 (2) b) RTS SKA erfordern vgl. deutsche RTS-Fassung fordert Identitätsprüfung (wohl Übersetzungsfehler) englische RTS-Fassung fordert.. the association of the user s identity with.. (also Zuordnung ) 23 GSK 2018

24 Produktbezogene Fragen zur SKA (5) Aktuelle 55 ZAG Starke Kundenauthentifizierung e-commerce payments Wann wird ein elektronischer Zahlungsvorgang per Fernzugang ausgelöst? ( 55 (2) ZAG) Smartphone mit near-field communication am POS-Terminal? (-) POS-Zahlung Smartphone mit browsergestützter Zahlung ohne POS-Terminal (+) Instant Payments? Konsequenz: Anforderung an SKA steigt und gefordert wird zusätzlich dynamic linking mit dynamischer Verknüpfung der SKA mit bestimmtem Betrag und Zahlungsempfänger 24 GSK 2018

25 Haftungsfragen zur Starken Kundenauthentifizierung 55 ZAG / 675v (4) BGB Art. 74 (2) PSD 2 Haftung bei Verzicht auf SKA? Zusammenspiel Aufsichtsrecht /BGB Umstrittene zivilrechtliche Änderungen PSD 2 : 675v BGB: Haftungsbeschränkung des Zahlers/Verbrauchers auf 50 bei abhandengekommenen Zahlungsinstrumenten oder Missbrauch, es sei denn mind. grob fahrlässige Verletzung der Vertragspflichten, insbesondere Verletzung Anzeige- /Sperrpflicht nach 675l BGB 675v Abs. 4 BGB: Auf jeden Fall Haftungsverschärfung des ZDL des Zahlers (und ggf. des Acquirers) falls rechtswidrig (entgegen 55 ZAG, EBA RTS) SKA nicht angewendet wird. Bei rechtmäßiger Nichtanwendung (a) bis (b) bei SKA Ausnahme: streitig; überzeugender wohl keine Anwendung bei rechtmäßiger Nichtanwendung. 25 GSK 2018

26 Haftungsfragen zur Starken Kundenauthentifizierung (2) 55 ZAG / 675v (4) BGB Art. 74 (2) PSD 2 Haftung bei Verzicht auf SKA? Zusammenspiel Aufsichtsrecht /BGB Umstrittene zivilrechtliche Änderungen PSD 2 : Bemerkenswerte /und m.e. richtige Umsetzung in UK (reg. 77 (4) UK PSR): where regulation 100 (authentication) requires the application of strong customer authentication, but the payer s payment service provider does not require strong customer authentication. (dann erst Haftungsfolge nach Art. 74 (2) PSD 2/= 675v (4) BGB) 26 GSK 2018

27 Internationale Fragen zur Starken Kundenauthentifizierung Aktuelle 55 ZAG Bei welchen internationalen Transaktionen gilt die SKA? Fragen und Verfahren aus den parlamentarischen Verhandlungen und EBA-Stellungnahmen Bestehen 55 ZAG-Pflichten/SKA auch bei (non-eu) one-leg Kreditkartenzahlungen (US-Karte in Deutschland <>Deutsche Karte in USA)? Nein, vgl. Bericht Finanzausschuss (BT-Drs. 18/12568), S. 153; nach Sinn und Zweck von Art. 2 PSD 2 im Sinne des EBA-Kommentars 272, 295 (final report ) basierend auf neuer Einschätzung der EU Kommission und der EBA nun auch bestätigt in EBA Opinion (EBA-Op ), , sect 32, nur best effort basis, aber EBA meint Art. 74 (2) PSD 2 applies (=Haftungsverschärfung nach 675v (4) BGB (?), vgl. Folie 26) 27 GSK 2018

28 5. Vorgaben zur SKA nach dem RTS

29 RTS SKA Thematischer Aufbau des RTS zur Starken Kundenauthentifizierung Kap. 1 / Art. 1-3 Allgemeine Regelungen Art. 2 Authentifizierung / Allg. Anforderungen Art. 3 Überprüfung der Sicherheitsmassnahmen Kap. 2 / Art. 4-9 Sicherheitsmassnahmen für SKA, insbes. - Authentifizierungscode, Art. 4, dynamic linking, Art. 5 - Wissen, Besitz, Inhärenz, Art Unabhängigkeit der Elemente, Art. 9 Kap. 3 / Art Ausnahmen von der SKA Kontenzugriffe, contactless payments, white listing, risikobasierte Ausnahmen, Monitoring und reporting Kap. 4 / Art Vertraulichkeit und Integrität personalisierter Sicherheitsmerkmale Erstellung, Übermittlung, Zuordnung, Bereitstellung 29 GSK 2018

30 RTS SKA Starke Kundenauthentifizierung Bereitstellung von PSM /SKA Kap. IV Bereitstellung von Personalisierten Sicherheitsmerkmalen (PSM) zur SKA im RTS (Kapitel IV / Artt RTS) Allgemeine Anforderungen an die Bereitstellung von PSM in Kapitel IV sind als Grundlage, transaktionsunabhängig zu beachten EBA kommentiert Kapitel IV in ihrer Opinion vom nicht Art. 22 verankert die aufsichtsrechtliche Verantwortung des ZDL (Bank/Issuer) zur Gewährleistung der Vertraulichkeit und Integrität der PSM in jeder Phase der Authentifizierung. Gleiche Pflicht des ZDL auch in 55 (1) S. 2 ZAG Neue Fragen bei on-device authentication ( CDCVM ), nicht zu verwechseln mit delegierter Third-party authentication Art. 24 fordert von ZDL, dass PSM, Authentifizierungsgeräte und Software nur dem Nutzer zugeordnet sind und Identitätsüberprüfung in sicheren Umgebungen, die in den Verantwortungsbereich des ZDL fallen, stattfindet. Art. 24 (2)b fordert, dass bei der Zuordnung ( Identitätsüberprüfung ) über Fernzugang ( ) eine SKA vorgenommen wird. 30 GSK 2018

31 RTS SKA Starke Kundenauthentifizierung Bereitstellung von PSM /SKA Kap. IV Bereitstellung von Personalisierten Sicherheitsmerkmalen (PSM) zur SKA im RTS (Kapitel IV / Artt RTS) (2) Art. 25 fordert eine Gewährleistung der ZDL, dass die Bereitstellung von PSM, Identifizierungsgeräten und Software auf sicherer Weise erfolgt Insbesondere Art. 25 (2)d fordert, dass auch die Aktivierung von PSM, Authentifizierungsgeräten und Software in einer sicheren Umgebung im Einklang mit den Anforderungen an eine Zuordnung nach Art. 24 stattfindet. Art. 26 fordert auch für die Verlängerung oder erneute Aktivierung von PSM eine Bereitstellung nach Art. 23 bis GSK 2018

32 RTS SKA Starke Kundenauthentifizierung Allgemeine Anforderungen und Sicherheitsmaßnahmen / Kap. I Allgemeine Bestimmungen für die Authentifizierung (Art. 2) (auch anwendbar bei vorliegender Ausnahme nach Kap. II) Allgemeine Transaktionsüberwachung zur Erkennung nicht autorisierter/betrügerischer Zahlungsvorgänge anwendbar sowohl für SKA als auch bei Ausnahmen von SKA (Art. 2(1) RTS) Überwachung ist sicher zu stellen mit bestimmten Maßnahmen, z.b. Liste missbräuchlich verwendeter oder gestohlener SKA Elemente, Berücksichtigung bekannter Betrugsszenarien, Anzeichen für eine Malware- Infektion und falls das Zugangsgerät oder die Zugangssoftware vom ZDL bereitgestellt wird, mit einem Protokoll über die Nutzung des Zugangsgeräts oder der Zugangssoftware sowie über ungewöhnliche Nutzungsereignisse 32 GSK 2018

33 RTS SKA Starke Kundenauthentifizierung Allgemeine Anforderungen / Kap. I Überprüfung von Sicherheitsmaßnahmen (Art. 3) Prüfungsanforderung zu den RTS Sicherheitsmaßnahmen (Dokumentation, regelmäßiges Testing, Bewertung und Prüfung) durch spezialisierte IT-Sicherheits und Zahlungsverkehrsprüfer, die unabhängig vom operativen Bereich sind (Art. 3 (1) RTS) = ergänzende Wirkung zu BAIT Bemerkenswert: ZDL, die die risikobasierte Ausnahme (Art. 18) in Anspruch nehmen, sind mindestens zu jährlichen Prüfungen sowie alle drei Jahre zur Prüfung durch einen unabhängigen, qualifizierten externen Prüfer verpflichtet. Prüfungsbericht ist auf Verlangen der BaFin zur Verfügung zu stellen. 33 GSK 2018

34 RTS SKA Starke Kundenauthentifizierung Sicherheitsmaßnahmen SKA /Kap. II Sicherheitsmaßnahmen für die Durchführung der SKA (Art. 4 bis 9 RTS) Die dynamische Verknüpfung bei Fernzahlungsvorgängen ( 55 (2) ZAG) erfordert nach BaFin-Verständnis nicht, dass der dynamische Authentifizierungs Code (Art. 4) direkt aus Betrag und Empfänger-IBAN generiert wird (BaFin, ZAG-Konferenz ) Authentifizierungscode erfordert allerdings Fehlbedienungszähler und time-out bei Kontozugriff Art. 6 bis 9 bestimmen Verantwortung des ZDL Maßnahmen zu gewährleisten, dass die Risiken mit den Elementen Wissen (Art. 6), Besitz, (Art. 7) sowie zu Anforderungen an Geräte und Software in Verbindung mit Inhärenz (Art. (8) gemindert werden, um unbefugtes Aufdecken oder betrügerisches Verwenden zu vermeiden. ZDL haben die Unabhängigkeit der SKA-Elemente zu gewährleisten (Art. 9), sodass bei Verletzung eines Elements die Zuverlässigkeit der anderen Elemente nicht beeinträchtigt wird. Bei Verwendung eines Mehrzweckgeräts (z.b. Smartphone) sind getrennte sichere Ausführungsumgebungen durch die im Gerät installierte Software zu nutzen, die nicht vom Zahler oder einem Dritten verändert werden können. 34 GSK 2018

35 Google Pay Wie wird authentifiziert? Google Pay Issuing Bank Kartenvertrag Digitale Karte Verträge über Teilnahme an Walletprogramm Digitale Karte / Token Karteninhaber Wallet Provider Digitale Karte in Wallet auf Smartphone Besitz Karteninhaber hinterlegt Fingerprint Smartphone Hersteller u.a. Huawei, HTC, Sony, Samsung Transaktion mit Fingerprint authentifiziert Biometrie Tokeneinsatz NFC am POS Terminal Acquirer Händler erhält Transaktionsbetrag über klassische Clearingwege Händler 35 GSK 2018

36 6. Ausnahmen von der SKA Pflicht

37 RTS SKA Starke Kundenauthentifizierung Ausnahmen / Kap. III Ausnahme von der SKA bei Zahlungskontoinformationen (Art. 10) Bei beschränktem Kontenzugriff nur mit Zugriff auf Kontostand eines Zahlungskontos sowie auf Zahlungsvorgänge der vergangenen 90 Tage kann der ZDL von einer SKA absehen. (Problem: online-banking Plattformen mit Zahlungskonten und Wertpapierdepots) Die Ausnahme gilt nach Art. 10 (2) nicht, wenn der Nutzer zum ersten Mal online auf die genannten Kontoinformationen zugreift oder wenn mehr als 90 Tage seit letztmaliger Verwendung der SKA verstrichen sind. 37 GSK 2018

38 RTS SKA Starke Kundenauthentifizierung Ausnahmen / Kontenzugriff Interessante Diskussion zu innovativen Banking-Skills : Alexa, wie lautet mein Kontostand? Auch innovative Banking-Skills, die über Abfrage intelligenter Lautsprecher auf Kontoinformationen zugreifen, werden den SKA-Anforderungen unterliegen bzw. bewegen sich im Rahmen der spezifizierten Ausnahmebestimmungen. 38 GSK 2018

39 RTS SKA Starke Kundenauthentifizierung Ausnahmen Kontaktlose Zahlungen am POS: Kontaktlose Zahlungen am POS sind nach Art. 11 ohne SKA zugelassen, falls der Einzelbetrag EUR 50 nicht überschreitet und seit der letzten Verwendung einer SKA kumuliert nicht mehr als EUR 150 kontaktlos elektronische Zahlungsvorgänge ausgelöst wurden oder die Anzahl aufeinander folgender kontaktloser elektronischer Zahlungsvorgänge seit der letzten Verwendung der SKA fünf nicht überschreitet. Wichtige Ausnahmebestimmung für kontaktlose Zahlungen mit Plastikkarten und digitalen Karten mit payment token auf Smartphones EBA Opinion 13.6.: Bei Überschreiten eines der Kriterien wird eine erneute SKA erforderlich, sect GSK 2018

40 RTS SKA Starke Kundenauthentifizierung Ausnahmen Ausnahmen von der SKA im EBA Werden auch für Kartenzahlungen an trusted beneficiaries ( Whitelisting ) Ausnahmen von der SKA zugelassen? (vgl. Art. 13 (1) a RTS) >> wichtig für e-commerce Handel EBA Opinion: Whitelisting ist auch für Kartenzahlungen zulässig, allerdings stets nur über Listen beim Issuer, sect. 45 Regelmäßige Zahlungen: gleicher Betrag und gleicher Empfänger (Art. 14 RTS) Eigenzahlungen : an eigenes Konto bei gleicher Bank (< > cash management) Art. 15 RTS Fernzahlungen Art. 16 RTS: low-value < 30 p.trx und < 100 seit letzter SKA EBA Opinion: Auch bei Art. 16 erfordert das Überschreiten einer Schwelle bereits eine erneute SKA, sect GSK 2018

41 RTS SKA Starke Kundenauthentifizierung Ausnahmen / Corporates Corporate electronic remote payments (Art. 17 RTS) mit dedizierten Protokollen und Prozessen wenn die zuständigen Behörden der Auffassung sind, dass diese Prozesse und Protokolle mindestens ein vergleichbares Sicherheitsniveau wie das [in der PSD 2] Vorgesehene gewährleisten. ohne Betragsgrenzen und unabhängig von fraud rate der Bank / des Issuers (=str. EBA / EU-Kommission), ggf. Nachbetrachtung der EBA in kommenden EBA FAQs 41 GSK 2018

42 Art. 18 RTS SKA Starke Kundenauthentifizierung Ausnahmen / Transaction Risk TRA: Transaction Risk Analysis (Art. 18 RTS) bis zu 500 ausgenommen, falls Betrugsrate (FR) der Bank/Überweisung < 0,005 % bzw. falls FR des Karten-Issuers < 0,01 % ist oder sonst ggf. nur 250 (FR < 0,01%/<0,06%) bzw. nur 100 (FR < 0,015% / < 0,13%) Voraussetzung: Echtzeit Risikoanalyse stellt kein Risikoszenario fest (insbesondere kein ungewöhnliches Verhaltensmuster, keine ungewöhnliche Information über den Zugriff auf das Gerät/Zugangssoftware, keine Malware-Infektion, kein bekanntes Betrugsszenario, kein ungewöhnlicher Ort des Zahlers sowie kein Ort des Zahlers mit hohem Risiko). 42 GSK 2018

43 Art. 18 RTS SKA Starke Kundenauthentifizierung Ausnahmen / Transaction Risk ZDL, die die TRA-Ausnahme nach Art. 18 RTS anwenden, müssen frühere Ausgabemuster, Zahlungsvorgangshistorie sowie Orte des Zahlers und Zahlungsempfängers und ungewöhnliche Muster berücksichtigen (Art. 18 (3)). ZDL, die TRA-Ausnahme anwenden, haben für die spezifischen Zahlungsvorgangsarten eine fortlaufende Kalkulation der Gesamtbetrugsraten sicherzustellen Berechnung der Betrugsraten nach Art. 19 wird flankiert von (post scriptum) EBA- Guidelines on Fraud Reporting EBA/GL/2018/05 v (nach umstrittener Konsultation, Anwendung des Fraud Reportings / Datensammlung erst ab 2019) EBA stellt klar, dass fraud rate nur diejenige des ZDL ist und dass sie unabhängig von Zahlungsempfänger oder Zahlungskanal ist (EBA Op sect. 47) Bei Überschreitung der Referenzbetrugsraten in zwei auf einander folgenden Quartalen darf die TRA-Ausnahme nach Art. 18 nicht mehr vom ZDL angewendet werden (Art. 20 (2) RTS) erhebliche Umsetzungsanforderungen für Banken-IT bei Überschreitung der Referenzbetrugsraten. 43 GSK 2018

44 RTS SKA Starke Kundenauthentifizierung Ausnahmen / Überwachung Quartalsweise Überwachungspflichten zu SKA-Ausnahmen (Art. 21 RTS) ZDL sind verpflichtet zahlreiche Daten für jede Zahlungsart zu erfassen und zu überwachen, damit die in den Artt. 10 bis 18 dargelegten Ausnahmen genutzt werden können: Insbesondere Gesamtwert der nicht autorisierten/betrügerischen Zahlungsvorgänge inklusive Aufschlüsselung nach SKA und Ausnahmen Durchschnittsbeträge einschließlich Aufschlüsselung nach SKA/Ausnahmen und Anzahl der Zahlungsvorgänge für die die einzelnen RTS-Ausnahmen genutzt werden. 44 GSK 2018

45 Danke für Ihre Aufmerksamkeit!

46