Mit Inkrafttreten der PSD2 sind Zahlungsdienstleister ab dem 14.09.2019 im Europäischen Wirtschaftsraum grundsätzlich verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn Zahlungen am POS stattfinden. Dafür wird die Authentifikation, die aus zwei von drei Faktoren (Wissen, Besitz und Inhärenz) basiert, geprüft und autorisiert.
Als elektronische Zahlungen mit starken Kundenauthentifizierung werden heute insbesondere betrachtet:
- kontaktbehaftet: EMV Chip Karte mit PIN
- kontaktlos: NFC-fähige Karte mit PIN, Smart Device (z.B. Smartphone, Wearables)
Ausnahmen gelten in folgenden Fällen:
- Zahlungen, bei denen Herausgeber der Karte (Bank) nicht in Europa ansässig sind.
- kontaktlose Zahlungsvorgänge im Kleinbetragsbereich, wenn dabei die folgenden Bedingungen erfüllt sind:
- Der Einzelbetrag des Zahlungsvorgangs geht nicht über 50,00 EUR hinaus, und
- die früheren Zahlungsvorgänge, die über ein mit einer kontaktlosen Funktion ausgestattetes Zahlungsinstrument ausgelöst wurden, gehen seit der letzten Durchführung einer starken Kundenauthentifizierung zusammengenommen nicht über 150 EUR hinaus, oder
- die Anzahl der aufeinanderfolgenden kontaktlosen elektronischen Zahlungsvorgänge, die über das mit einer kontaktlosen Funktion ausgestattete Zahlungsinstrument ausgelöst wurden, geht seit der letzten Durchführung einer starken Kundenauthentifizierung nicht über fünf hinaus.
Führen die vorgenannten Prüfpunkte dazu, dass keine Ausnahme gegeben ist, ist eine starke Kundenauthentifizierung vom Konsumenten zu verlangen.
Das Terminal wird daraufhin versuchen die Transaktion ohne erneuten Lesevorgang (als Single Tap bekannt) weiterzuführen und die geforderte Authentifikation vom Konsumenten einfordern, z.B. mithilfe der PIN, und das Ergebnis in einer zweiten Online Nachricht an die Bank übermitteln. Die Bank entscheidet dann anhand der zweiten Online Nachricht, ob sie der Transaktion zustimmt. War die Autorisierung erfolgreich, ist die Ausnahme bis zum Erreichen der Grenzwerte wieder aktiv. Dieses Verfahren stellt sicher, dass eine verlorengegangene kontaktlosfähige Karte nicht unbegrenzt genutzt werden kann.