Am 14. September 2019 tritt § 55 des Zahlungsdiensteaufsichtsgesetzes in Kraft. Die Vorschrift verpflichtet die kartenausgebenden Institute („Endkunden-Bank“, auch genannt Issuer), eine Starke Kundenauthentifizierung (Strong Customer Authentication, ab jetzt SCA) zu verlangen, wenn ein Zahler eine elektronische Zahlung auslöst. Eine SCA ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen aus den Kategorien Wissen, Besitz oder Inhärenz. Ein Verzicht auf die Starke Kundenauthentifizierung ist auch bei entsprechender Haftungsübernahme des Zahlungsempfängers nicht möglich.
Am 21. Juni 2019 hat die Europäische Bankenaufsichtsbehörde (EBA) die „Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2“ (Link s.u.) veröffentlicht und darin den nationalen Aufsichtsbehörden (NCA, in Deutschland die BaFin) eine "aufsichtliche Flexibilität" zuerkannt. Die NCAs können nun Maßnahmen ergreifen, um einen reibungslosen Übergang auf die neuen Anforderungen zu ermöglichen. Hierbei sei angemerkt, dass die EBA betont, dass damit keine Verschiebung des Anwendungsdatums der neuen Pflichten verbunden ist. Vielmehr solle ein expliziter Migrationsplan der betroffenen Zahlungsdienstleister erstellt werden, der klar definierte Zwischenziele zur Erreichung eines rechtskonformen Zustands enthält.
Die BaFin lud Vertreter von Unternehmen, die Kartenzahlungen im Internet empfangende Händler vertreten, sowie Kreditkartenunternehmen am 4. September ein, um über einen Migrationsplan zur Implementierung der Starken Kundenauthentifizierung zu sprechen. Auch gab sie der Industrie bis heute (13. September) die Möglichkeit zu Stellungnahme.
Der Bitkom vertritt das gesamte Ökosystem, das von den Anforderungen der SCA betroffen ist, dh Online-Händler, Issuer-, Acquirerbanken, Kreditkartenunterenhmen und technische Dienstleister. Deshalb sind wir davon überzeugt, mit diesem Positionspapier wertvolle Vorschläge für einen Migrationsplan beitragen zu können.