PSD2 steht für Payment Services Directive 2. Dahinter wiederum steckt die neue EU-Zahlungsdiensterichtlinie, die am 13. Januar 2018 in Deutschland in nationales Recht umgesetzt wurde. Sie teilt sich in zwei Schritte auf.
Am 13. Januar 2018 begann die erste Stufe der PSD2: Die Änderungen betrafen Überweisungen, Lastschriften, Kartenzahlungen und Online Banking. Ziel des Gesetzgebers war die Förderung von Innovationen und Wettbewerb im Zahlungsverkehr und die Stärkung der Rechte der Bankkunden. Dazu gehörte auch, dass mit der PSD2 in der ersten Stufe neue Vorschriften für Drittdienste geschaffen wurden. Dazu gehören Zahlungsauslösedienste und Kontoinformationsdienste. Wenn der Kunde im Rahmen des Online Banking solche Drittdienste (FinTechs, Payment Apps etc.) nutzt, ist die Bank verpflichtet, diesen Zugang zum Zahlungskonto des Kunden zu gewähren. Die Drittdienste unterliegen damit der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). PSD2: die zweite Stufe Mit der PSD2 in der zweiten Stufe (ab September 2019) treten die Regelungen zur sogenannten Zwei-Faktor-Authentifizierung ("Strong Customer Authentification", abgekürzt SCA, oder auch "starke Kundenauthentifizierung) in Kraft. Sie schreibt vor, dass elektronische Fernzahlungen - und damit viele heute übliche Bezahlvorgänge im Online-Handel - neben gängigen Merkmalen wie Benutzername und Passwort oder Kreditkartennummer, Ablaufdatum und Prüfziffer mit einem sogenannten zweiten Faktor gesichert werden müssen. Die Zwei-Faktor-Authentifizierung soll gewährleisten, dass derjenige, der eine Zahlung auslöst, sicher authentifiziert ist, um Betrug zu verhindern. Dafür müssen zwei von drei Elementen aus den drei Kategorien Wissen, Besitz und Inhärenz (etwas, das dem Nutzer anhaftet) in den Bezahlvorgang eingebunden sein. Die gute Nachricht für Online-Händler: Prinzipiell müssen sich die Zahlungsdienstleister darum kümmern, dass die Vorgaben eingehalten werden, nicht die Händler selbst. Das heißt, Anbieter wie PayPal, Amazon Pay und Kreditkartenunternehmen müssen ihre Verfahren so ändern, dass bei Bedarf die Abfrage eines zweiten Faktors möglich ist. Außerdem sind nicht alle beim Online Shopping gängigen Bezahlverfahren betroffen. Vor allem Kreditkartenzahlungen sind involviert: Hier haben sich die beteiligten Akteure auf den neuen 3D-Secure2.0-Standard geeinigt. Er soll die Umsetzung der starken Authentifizierung erleichtern, indem biometrische Methoden wie etwa der Fingerabdruck oder per SMS oder E-Mail verschickte Einmal-TANs zur Sicherung leichter eingesetzt werden können.
