Wegen der aktuellen europäischen Zahlungsdiensterichtlinie müssen die Banken und Sparkassen seit 14. September 2019 ihre TAN-Verfahren anpassen. Nicht alle sind nun noch zulässig, die TAN-Listen auf Papier sind seit September zum Beispiel verboten. Wichtige Änderungen gibt es außerdem bei Kartenzahlungen im Internet und beim Einloggen ins Onlinebanking. Was die Banken umstellen, haben wir in einem separaten FAQ aufgeschrieben.
Was ändert sich beim Online-Shopping mit Kreditkarte?
Jede Schonfrist hat ein Ende – auch wenn sie aktuell noch einmal verlängert wurde: Während zunächst vorgesehen war, dass die Erleichterungen für Kreditkartenzahlungen im Internet bei der Kundenauthentifizierung zum 31. Dezember 2020 ablaufen sollten, hat die Finanzaufsicht Bafin kurzfristig doch noch weiteren Aufschub gewährt. Die strengeren Sicherheitsbestimmungen für das Bezahlen per Kreditkarte im Internet sollen nun stufenweise und erst ab 15. März 2021 greifen. Erst dann – und nicht wie ursprünglich geplant ab dem 1. Januar – reicht es beim Bezahlen in Onlineshops mit Visa, Mastercard & Co. nicht mehr aus, lediglich die Prüfziffer von der Rückseite der Karte einzugeben. Ohne zusätzliches Sicherheitsverfahren – wie zum Beispiel eine an das Mobiltelefon geschickte Transaktionsnummer (TAN) – werden Kartenzahlungen nicht mehr genehmigt. Seit dem 15. Januar 2021 müssen Zahlungen ab 250 Euro schon mit zwei voneinander unabhängigen Faktoren freigegeben werden, ab 15. Februar greift die "Zwei-Faktor-Authentifizierung" dann ab 150 Euro. In vollem Umfang sollen die Regeln ab Mitte März 2021 angewendet werden.
Im Rahmen der Umsetzung der europäischen zweiten Zahlungsdiensterichtlinie (Payment Services Directive2, PSD2), die seit dem 14. September 2019 verschärfte Sicherheitsmaßnahmen beim Onlinebanking und Onlineshopping forderte, ist eine sogenannte Zwei-Faktor-Authentifizierung vorgesehen: Der Kunde muss beim Anmeldevorgang nachweisen, dass er derjenige ist, für den er sich ausgibt – und das mittels zweier unabhängiger Faktoren aus den Bereichen Wissen, Besitz oder Inhärenz. Also zum Beispiel durch ein Passwort (Wissen), durch einen Fingerabdruck (Inhärenz) oder durch den Besitz eines Smartphones, der durch die Eingabe einer Transaktionsnummer (TAN), die zuvor per SMS an das Telefon geschickt worden ist, nachgewiesen werden kann. Ziel ist es, Händler und Konsumenten stärker vor Kartenbetrug zu schützen.
Weil nach Einschätzung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) viele Unternehmen, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen, im Herbst 2019 noch nicht hinreichend auf die neuen Anforderungen vorbereitet waren, wurde für eine Übergangszeit – zunächst bis Ende Dezember 2020 – auf eine starke Kundenauthentifizierung im Internet verzichtet. Von dem erneuten Aufschub bis Mitte März profitieren sowohl Onlinehändler als auch Verbraucher, die das neue Sicherheitsverfahren noch nicht bei ihrer Bank freigeschaltet haben.
Ab Mitte März 2021 müssen Onlinehändler und andere Betreiber von Webseiten mit Kartenzahlungsmöglichkeit ihre Plattformen dann an die neuen Vorgaben angepasst haben – ansonsten dürfte der Kunde an der virtuellen Kasse dieses Zahlungsmittel nicht mehr nutzen können.