Artikel 4
Authentifizierungscode
(1)
Wenn Zahlungsdienstleister gemäß Artikel 97 Absatz 1 der Richtlinie (EU) 2015/2366 eine starke Kundenauthentifizierung verlangen, muss die Authentifizierung auf mindestens zwei Elementen der Kategorien Wissen, Besitz und Inhärenz basieren und die Generierung eines Authentifizierungscodes nach sich ziehen.
Der Authentifizierungscode wird vom Zahlungsdienstleister nur einmalig akzeptiert, wenn der Zahler diesen Code für den Online-Zugriff auf sein Zahlungskonto, für die Auslösung eines elektronischen Zahlungsvorgangs oder für die Ausführung einer Handlung über einen Fernzugang, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs in sich birgt, verwendet.
(2)
Für die Zwecke des Absatzes 1 ergreifen Zahlungsdienstleister Sicherheitsmaßnahmen, die gewährleisten, dass alle folgenden Anforderungen erfüllt sind:
a)
Aus der Offenlegung des Authentifizierungscodes können keine Informationen über eines der in Absatz 1 genannten Elemente abgeleitet werden.
b)
Aufgrund der Kenntnis eines zuvor generierten anderen Authentifizierungscodes kann kein neuer Authentifizierungscode generiert werden.
c)
Der Authentifizierungscode kann nicht gefälscht werden.
(3)
Die Zahlungsdienstleister stellen sicher, dass die Authentifizierung durch Generierung eines Authentifizierungscodes alle folgenden Sicherheitsmaßnahmen umfasst:
a)
Wenn bei der Authentifizierung für den Fernzugriff, für elektronische Fernzahlungsvorgänge und für Handlungen über einen Fernzugang, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs in sich bergen, die Generierung eines Authentifizierungscodes für die Zwecke des Absatzes 1 fehlgeschlagen ist, darf nicht ermittelt werden können, welches der in jenem Absatz genannten Elemente falsch war.
b)
Die Anzahl der möglichen aufeinanderfolgenden fehlgeschlagenen Authentifizierungsversuche, nach der die in Artikel 97 Absatz 1 der Richtlinie (EU) 2015/2366 aufgeführten Handlungen vorübergehend oder permanent gesperrt werden, darf innerhalb einer bestimmten Zeitspanne nicht mehr als fünf betragen.
c)
Die Kommunikationssitzungen sind gegen den Zugriff auf die während der Authentifizierung übertragenen Authentifizierungsdaten und gegen die Manipulation durch Unbefugte entsprechend den Anforderungen in Kapitel V geschützt.
d)
Die maximale Zeitspanne ohne Aktivität, nachdem der Zahler für den Online-Zugriff auf sein Zahlungskonto authentifiziert wurde, darf nicht mehr als fünf Minuten betragen.
(4)
Wenn die Sperrung nach Absatz 3 Buchstabe b vorübergehend ist, werden die Dauer dieser Sperrung und die Anzahl der erneuten Versuche auf Grundlage der Merkmale des dem Zahler bereitgestellten Dienstes sowie aller damit verbundenen relevanten Risiken festgelegt, wobei mindestens die in Artikel 2 Absatz 2 genannten Faktoren zu berücksichtigen sind.
Der Zahler erhält eine Warnung, bevor die Sperrung dauerhaft wird.
Bei einer dauerhaften Sperrung wird ein sicheres Verfahren eingerichtet, das es dem Zahler ermöglicht, die Nutzung der gesperrten elektronischen Zahlungsinstrumente wiederzuerlangen.