Die Europäische Zentralbank hat Ende Januar 2013 ein umfassendes Paket von Empfehlungen für die Sicherheit von Internetzahlungen veröffentlicht, nachdem im vergangenen Jahr eine zweimonatige öffentliche Konsultation hierzu durchgeführt wurde. Diese Empfehlungen sind das erste Ergebnis der Arbeit des Europäischen Forums zur Sicherheit von Massenzahlungen (European Forum on the Security of Retail Payments - SecuRe Pay), einer freiwilligen Kooperation zuständiger Behörden des Europäischen Wirtschaftsraums (EWR), die insbesondere für die Aufsicht über Zahlungsdienstleister und die Zahlungsverkehrsüberwachung verantwortlich sind. Das Forum wurde mit dem Ziel gegründet, den allgemeinen Wissensstand über die Sicherheit elektronischer Zahlungsverkehrsdienste und -instrumente zu fördern und bei Bedarf Empfehlungen abzugeben.
Im Rahmen des öffentlichen Konsultationsverfahrens gingen Stellungnahmen aus 17 Mitgliedstaaten der Europäischen Union ein. Die sich daraus ergebenden harmonisierten Empfehlungen für ein Minimum an Sicherheit stellen aus Sicht der EZB wichtige Richtlinien zur Bekämpfung von Betrug im Zahlungsverkehr dar und zielen darauf ab, das Vertrauen der Verbraucher in Internetzahlungsdienste zu stärken. In der Kernempfehlung wird gefordert, die Initiierung von Internetzahlungen sowie den Zugang zu sensiblen Zahlungsdaten durch eine starke Authentifizierung des Kunden zu schützen, um sicherzustellen, dass Zahlungen durch einen rechtmäßigen Nutzer veranlasst werden und nicht durch einen Betrüger.
Die im Bericht über die Sicherheit von Internetzahlungen enthaltenen endgültigen Empfehlungen, "Key Considerations" und "Best Practices" gelten für "Governance Authorities"1) von Zahlungssystemen sowie für alle Zahlungsdienstleister, die folgende Internetzahlungsdienste2) anbieten: a) Kartenzahlungen im Internet einschließlich der Nutzung virtueller Karten sowie der Registrierung von Kartendaten zur Nutzung in elektronischen Geldbörsen, b) die Durchführung von Überweisungen im Internet, c) die Erteilung und Änderung elektronischer Einzugsermächtigungen und d) die Übertragung von elektronischem Geld (E-Geld) zwischen zwei E-Geld-Konten über das Internet.
Andere Marktteilnehmer, wie beispielsweise Online-Händler, werden aufgefordert, einige der "Best Practices" zu übernehmen. Die wichtigsten Empfehlungen umfassen:
- den Schutz der Initiierung von Internetzahlungen sowie des Zugangs zu sensiblen Zahlungsdaten durch eine starke Authentifizierung des Kunden;
- die Begrenzung der Anzahl von Anmelde- oder Authentifizierungsversuchen, die Festlegung von Regeln für ein Sitzungs-Zeitlimit bei Internetzahlungsdiensten sowie die zeitliche Befristung der Gültigkeit einer Authentifizierung;
- die Einrichtung von Überwachungsmechanismen zur Vermeidung, Feststellung und Sperrung betrügerischer Zahlungsvorgänge;
- die Einrichtung mehrerer Sicherheitsebenen (multiple layers of security defences) zur Reduzierung festgestellter Risiken;
- die Unterstützung und Beratung von Kunden hinsichtlich bewährter Praktiken für die Sicherheit im Internet, die Einrichtung von Alarmen sowie die Bereitstellung von Instrumenten zur kundenseitigen Beobachtung von Transaktionen.
Die detaillierten Empfehlungen werden in die bereits bestehenden Rahmenwerke für die Überwachung von Zahlungssystemen und die Beaufsichtigung von Zahlungsdienstleistern integriert und sollen als einheitliche Mindestanforderungen für Internetzahlungsdienste gelten. Die Mitglieder des Forums haben sich verpflichtet, die Umsetzung der Empfehlungen in ihren jeweiligen Rechtssystemen zu unterstützen, und bemühen sich darum, eine effektive und konsistente Umsetzung innerhalb des EWR zu gewährleisten. Die Empfehlungen sollen von den Zahlungsdienstleistern und den "Governance Authorities" von Zahlungssystemen bis zum 1. Februar 2015 umgesetzt werden. Es steht im Ermessen der nationalen Behörden gegebenenfalls eine kürzere Übergangsfrist festzulegen.
Nach der Fertigstellung der Empfehlungen für Internetzahlungen will sich das Forum nun ausführlicher mit dem Thema "Zugang zu Zahlungskonten" befassen. Um diese Arbeit zu unterstützen, hat der EZB-Rat beschlossen, ein öffentliches Konsultationsverfahren zu den vom Forum entworfenen Empfehlungen für Zugangsdienste zu Zahlungskonten einzuleiten. Bei diesen Diensten handelt es sich um a) Kontoinformationsdienste, die auf benutzerfreundliche Art konsolidierte Angaben zu verschiedenen Konten bereitstellen, und/oder b) Dienste zur Initiierung von Zahlungen über ein internetfähiges Zahlungskonto des Nutzers. Da diese Dienste an den Märkten immer größere Verbreitung finden, hält die EZB es für wichtig, europaweit Mindestanforderungen an ihre Sicherheit festzulegen, um zur Sicherheit von Kunden beizutragen, die solche Dienste in Anspruch nehmen.
Interessenten können bis zum 12. April 2013 zum Entwurf der Empfehlungen für Zugangsdienste zu Zahlungskonten Stellung nehmen. Beide Berichte sowie ausführliche Informationen zur Teilnahme an diesem neuen Konsultationsverfahren finden sich auf der Website der EZB.
Fußnoten
1) Die "Governance Authority" ist für das allgemeine Funktionieren des Systems verantwortlich, das die Nutzung des betreffenden Zahlungsinstruments (etwa Karten, Überweisungen, Lastschriften) ermöglicht, und stellt dabei sicher, dass alle Beteiligten die Regeln des Systems befolgen. Darüber hinaus ist sie für die Einhaltung der geltenden Überwachungsstandards durch das System zuständig. Siehe auch EZB, Harmonised oversight approach and oversight standards for payment instruments, Februar 2009.
2) Im Sinne der Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG (ABl. L 319 vom 5. Dezember 2007, Seite 1).