Artikel 18 | Delegierte Verordnung 2018/389

Zahlungsdienstleister können von der Vorgabe einer starken Kundenauthentifizierung absehen, wenn der Zahler einen elektronischen Fernzahlungsvorgang auslöst, für den der Zahlungsdienstleister ermittelt hat, dass er gemäß den in Artikel 2 und in Absatz 2 Buchstabe c beschriebenen Transaktionsüberwachungsmechanismen mit einem niedrigen Risiko verbunden ist.

(2)

Ein elektronischer Zahlungsvorgang nach Absatz 1 gilt als Vorgang mit niedrigem Risiko, wenn alle nachstehenden Bedingungen erfüllt sind:

Die vom Zahlungsdienstleister gemeldete und nach Artikel 19 berechnete Betrugsrate für diese Art von Zahlungsvorgängen ist maximal so hoch wie die Referenzbetrugsrate, die in der Tabelle im Anhang für „kartengebundene elektronische Fernzahlungsvorgänge“ bzw. für „elektronische Überweisungen über einen Fernzugang“ angegeben ist.

Der Zahlungsbetrag geht nicht über den in der Tabelle im Anhang angegebenen jeweiligen Ausnahmeschwellenwert hinaus.

Die Zahlungsdienstleister haben bei der Echtzeitrisikoanalyse keines der folgenden Szenarien festgestellt:

ungewöhnliches Ausgabe- oder Verhaltensmuster des Zahlers;

ii)

ungewöhnliche Informationen über den Zugriff auf das Zugangsgerät oder die Zugangssoftware des Zahlers;

iii)

eine Malware-Infektion in einer Phase des Authentifizierungsverfahrens;

iv)

bekanntes Betrugsszenario bei der Erbringung von Zahlungsdienstleistungen;

ungewöhnlicher Ort des Zahlers;

vi)

Ort des Zahlers mit hohem Risiko.

(3)

Zahlungsdienstleister, die elektronische Fernzahlungsvorgänge aufgrund ihres niedrigen Risikos von der starken Kundenauthentifizierung ausnehmen wollen, müssen mindestens die folgenden risikobasierten Faktoren berücksichtigen:

die früheren Ausgabemuster des betreffenden Zahlungsdienstnutzers;

Zahlungsvorgangshistorie eines jeden Zahlungsdienstnutzers des Zahlungsdienstleisters;

Ort des Zahlers und des Zahlungsempfängers zum Zeitpunkt des Zahlungsvorgangs, falls das Zugangsgerät oder die Software vom Zahlungsdienstleister bereitgestellt wird;

Erkennung ungewöhnlicher Zahlungsmuster des Zahlungsdienstnutzers im Vergleich zu seiner Zahlungsvorgangshistorie.

Bei seiner Bewertung erfasst der Zahlungsdienstleister alle genannten risikobasierten Faktoren für jeden einzelnen Zahlungsvorgang in einem Risikopunktesystem, um zu entscheiden, ob bei einem bestimmten Zahlungsvorgang auf eine starke Kundenauthentifizierung verzichtet werden darf.

Inhaltsverzeichnis

Erwägungsgründe

KAPITEL I - ALLGEMEINE BESTIMMUNGEN (Artikel 1-3)

KAPITEL II - SICHERHEITSMAẞNAHMEN FÜR DIE DURCHFÜHRUNG EINER STARKEN KUNDENAUTHENTIFIZIERUNG (Artikel 4-9)

KAPITEL III - AUSNAHMEN VON DER STARKEN KUNDENAUTHENTIFIZIERUNG (Artikel 10-21)Artikel 10 - Zugriff auf Zahlungskontoinformationen direkt beim kontoführenden Zahlungsdienstleister Q&A Artikel 10a - Zugriff auf Zahlungskontoinformationen über einen Kontoinformationsdienstleister Q&A Artikel 11 - Kontaktlose Zahlungen an der Verkaufsstelle Q&A Artikel 12 - Unbeaufsichtigte Terminals für Nutzungsentgelte und Parkgebühren Q&A Artikel 13 - Vertrauenswürdige Empfänger Q&A Artikel 14 - Wiederkehrende Zahlungsvorgänge Q&A Artikel 15 - Überweisungen zwischen Konten, die von derselben natürlichen oder juristischen Person gehalten werden Q&A Artikel 16 - Kleinbetragszahlungen Q&A Artikel 17 - Von Unternehmen genutzte sichere Zahlungsprozesse und -protokolle Q&A Artikel 18 - Transaktionsrisikoanalyse Q&A Artikel 19 - Berechnung der Betrugsraten Q&A Artikel 20 - Aufhebung von Ausnahmen aufgrund der Transaktionsrisikoanalyse Q&A Artikel 21 - Überwachung

KAPITEL IV - VERTRAULICHKEIT UND INTEGRITÄT DER PERSONALISIERTEN SICHERHEITSMERKMALE DER ZAHLUNGSDIENSTNUTZER (Artikel 22-27)

KAPITEL V - GEMEINSAME UND SICHERE OFFENE KOMMUNIKATIONSSTANDARDS (Artikel 28-36)

KAPITEL VI - SCHLUSSBESTIMMUNGEN (Artikel 37-38)

ANHANG