DSP2 und starke Authentifizierung (SCA): der Leitfaden zur konformen elektronischen Signatur
Die zweite Richtlinie über Zahlungsdienste (DSP2, Richtlinie (EU) 2015/2366) schreibt die starke Authentifizierung des Kunden (Strong Customer Authentication, SCA) vor, um auf ein Online-Zahlungskonto zuzugreifen, eine elektronische Zahlung einzuleiten oder eine Fernhandlung auszuführen, die ein Betrugrisiko darstellt. Dieser Leitfaden erklärt, wie die eIDAS-konforme fortgeschrittene elektronische Signatur (AES) diese Anforderungen für Banken, Zahlungsinstitute und Fintechs erfüllt.
Was ist die starke Kundenauthentifizierung (SCA) gemäß PSD2?
Artikel 97 der Richtlinie (EU) 2015/2366 (PSD2) schreibt die starke Kundenauthentifizierung vor. Die technischen Modalitäten werden durch die delegierte Verordnung (EU) 2018/389 (Regulatory Technical Standards, RTS) präzisiert. SCA basiert auf mindestens zwei unabhängigen Elementen, die zu verschiedenen Kategorien gehören.
- Wissen: ein Element, das nur der Kunde kennt (Passwort, Code)
- Besitz: ein Element, das nur der Kunde besitzt (Telefon, das eine SMS-OTP empfängt)
- Inhärenz: ein Element, das der Kunde ist (Biometrie) — optional, wenn die beiden anderen vorhanden sind
- Dynamischer Link: Bei einer Zahlung muss der Code an den Betrag und den Empfänger gebunden sein (Art. 5 RTS EU 2018/389)
Welche Bankgeschäfte unterliegen der starken Authentifizierung?
Wie sieht ein SCA-konformer Signaturablauf aus?
- 1
Den Kunden identifizieren (Wissen)
Der Kunde greift auf die Umschlag über einen sicheren Link zu und authentifiziert sich durch einen ersten Faktor (E-Mail + Passwort oder Certyneo-Kennung). Dies ist das Wissenselement.
- 2
Besitz überprüfen (OTP)
Ein Einmalcode (OTP) wird per SMS auf das zuvor verifizierte Telefon des Kunden gesendet. Die Eingabe des Codes beweist den Besitz — zweiter unabhängiger Faktor.
- 3
Mit qualifiziertem Zeitstempel signieren
Der Kunde bringt seine fortgeschrittene Signatur (AES) an. Certyneo generiert ein eindeutiges Signaturzertifikat und einen qualifizierten Zeitstempel gemäß Artikel 26 der eIDAS-Verordnung.
- 4
SCA-Audit-Trail erstellen
Das Beweis-PDF dokumentiert die beiden Faktoren, den qualifizierten Zeitstempel, den SHA-256-Hash und die IP – nachweisbar gegenüber der ACPR, um die SCA-Konformität des Prozesses zu demonstrieren.
Häufig gestellte Fragen — DSP2 & starke Authentifizierung
- Ist die fortgeschrittene Signatur (AES) ausreichend, um die SCA der DSP2 zu erfüllen?
- Ja, wenn sie zwei unabhängige Faktoren kombiniert. Die Certyneo-Signatur deckt das Wissen (Passwort / Signatur-E-Mail) und den Besitz (OTP-SMS auf einem verifizierten Telefon) ab: zwei Elemente aus verschiedenen Kategorien, konform mit Artikel 97 der DSP2 und der Delegierten Verordnung (EU) 2018/389. Biometrie (Inhärenz) ist nicht erforderlich, wenn diese beiden Faktoren vorhanden sind.
- Was ist der Unterschied zwischen starker Authentifizierung (SCA) und elektronischer Signatur?
- SCA authentifiziert den Zugriff und die Absicht des Kunden zum Zeitpunkt einer sensiblen Operation; die elektronische Signatur versiegelt ein Dokument mit dauerhaftem Beweiswert. Certyneo kombiniert beides: Der Authentifizierungsprozess speist direkt das Audit-Trail der Signatur, sodass der Authentifizierungsnachweis und der Zustimmungsnachweis ein einheitliches, nachweisbares Ganzes bilden.
- Was ist der für Zahlungen erforderliche dynamische Link?
- Artikel 5 der Delegierten Verordnung (EU) 2018/389 schreibt vor, dass der Authentifizierungscode für eine Zahlungsoperation spezifisch an den Betrag und den Begünstigten gebunden sein muss. Jede Änderung dieser Daten invalidiert den Code. Für die Unterzeichnung eines Mandats oder einer Order erfüllt die durch den SHA-256-Hash des Dokuments garantierte Integrität eine gleichwertige Funktion der Unveränderbarkeit.
- Gibt es Ausnahmen von der starken Authentifizierung?
- Ja. Die Delegierte Verordnung (EU) 2018/389 sieht Ausnahmen vor (Zahlungen mit geringem Betrag, wiederkehrende Operationen, vertrauenswürdige Begünstigte, Transaktionsrisikoanalyse). Diese betreffen die Ausführung von Zahlungen, nicht die Unterzeichnung eines Vertrags: Die Unterzeichnung einer Kontoverbindung oder eines Mandats unterliegt weiterhin den Beweispflichten des Artikels 1367 des Bürgerlichen Gesetzbuchs.
- Ist das Audit-Trail der ACPR bei einer Kontrolle nachweisbar?
- Ja. Das Certyneo-Audit-Trail dokumentiert die beiden Authentifizierungsfaktoren, den qualifizierten Zeitstempel, die Integrität des Dokuments und die Identität des Unterzeichners. Als zertifiziertes PDF exportierbar, ermöglicht es der Behörde für Finanzaufsicht und Abwicklung (ACPR), nachzuweisen, dass der Prozess die SCA-Anforderungen der DSP2 erfüllt.