Starke Kundenauthentifizierung
Die starke Kundenauthentifizierung (Strong Customer Authentication - SCA) ist eine europäische regulatorische Anforderung, die eine mindestens zweistufige Verifizierung für elektronische Zahlungen und den Zugang zu Online-Konten vorschreibt. Sie kombiniert mindestens zwei Elemente aus Wissen, Besitz und Inhärenz.
Eingeführt durch die PSD2-Richtlinie und konkretisiert durch die Regulierungstechnischen Standards (RTS) der Europäischen Bankenaufsichtsbehörde (EBA), verlangt die SCA, dass jede elektronische Zahlungstransaktion oder jeder sensible Kontozugriff mit mindestens zwei der folgenden drei Faktoren authentifiziert wird: einem Wissenselement (Passwort, PIN), einem Besitzelement (Smartphone, Chipkarte) und einem Inhärenzelement (Fingerabdruck, Gesichtserkennung). Diese Faktoren müssen voneinander unabhängig sein.
Die SCA gilt für vom Zahler initiierte Zahlungen, den Online-Zugang zu Zahlungskonten und Ferngeschäfte mit Betrugsrisiko. Mehrere Ausnahmen sind vorgesehen, um das Nutzererlebnis zu verbessern: wiederkehrende Transaktionen gleichen Betrags, Kleinbetragszahlungen (unter 30 €, mit kumulativem Höchstbetrag), vertrauenswürdige Empfänger und Transaktionen mit geringem Risiko auf Basis einer Echtzeit-Transaktionsrisikoanalyse (TRA).
Für die Akteure im Bereich KYC und Identitätsprüfung stellt die SCA sowohl einen ergänzenden Sicherheitsstandard als auch einen technischen Integrationspunkt dar. Die im KYC verwendete biometrische Verifizierung (Gesichtserkennung, Lebenderkennung) kann als Inhärenzfaktor für die SCA dienen und so eine Synergie zwischen Kunden-Onboarding und der Absicherung nachfolgender Transaktionen schaffen.
Vorschriften
Praxisbeispiele
- 1Ein Kunde führt eine Überweisung von 500 € über seine Banking-App durch: Die Bank fordert ihn auf, den Vorgang per Fingerabdruck (Inhärenz) zu bestätigen, nachdem er sein Passwort eingegeben hat (Wissen), und erfüllt damit die SCA-Anforderung.
- 2Ein Online-Händler integriert das 3D-Secure-2.0-Protokoll für Online-Kartenzahlungen: Der Kunde erhält eine Push-Benachrichtigung auf seinem Smartphone (Besitz) und bestätigt per Gesichtserkennung (Inhärenz) für Transaktionen über 30 €.
- 3Ein Leasinganbieter wendet die TRA-Ausnahme für wiederkehrende Monatsraten seiner Kunden nach einer erstmaligen starken Authentifizierung an und reduziert so die Reibungsverluste bei gleichzeitiger Einhaltung der PSD2-Vorgaben.