EZB leitet öffentliches Konsultationsverfahren zu Empfehlungen für die Sicherheit von mobilen Zahlungen ein

Bezahlen mit dem NFC-fähigen Smartphone

Am 15. November 2013 beschloss der Rat der Europäischen Zentralbank (EZB), im Rahmen der Arbeiten des Europäischen Forums zur Sicherheitvon Massenzahlungen (European Forum on the Security of Retail Payments – SecuRe Pay) eine öffentliche Konsultation zu den Empfehlungen für die Sicherheit von mobilen Zahlungen durchzuführen.

Das Forum wurde 2011 als freiwillige Kooperation zuständiger Behörden des Europäischen Wirtschaftsraums, die insbesondere für die Aufsicht über Zahlungsdienstleister und die Zahlungsverkehrsüberwachung verantwortlich sind, mit dem Ziel gegründet, den allgemeinen Wissensstand über die Sicherheit elektronischer Zahlungsverkehrsdienste und -instrumente zu fördern und bei Bedarf Empfehlungen abzugeben. Im April 2012 wurde ein Bericht über die Sicherheit von Internetzahlungen zur öffentlichen onsultationvorgelegt. Im Januar 2013 folgte ein Bericht über Zugangsdienste zu Zahlungskonten. Der aktuelleBerichtsentwurf zur Sicherheit von mobilen Zahlungen ist der dritte dieser Art.

Die Nutzung mobiler Endgeräte und Technologien für Zahlungen bringt neue Risiken für die Zahlungssicherheit mit sich. Dafür gibt es verschiedene Gründe: Erstens wurde der Bereich Zahlungssicherheit bei der Entwicklung der derzeitigen Generation mobiler Endgeräte und ihrer Betriebssysteme im Allgemeinen nicht bedacht. Zweitens birgt die Übertragung vertraulicher zahlungsbezogener und persönlicher Daten mittels Funktechnologie weitere Risiken, die bei anderen Zahlungsmethoden nicht bestehen. Drittens sind anmobilen Zahlungen im Vergleich zu den bislang üblichen Zahlungsformen neue Akteure beteiligt, wie zum Beispiel die Betreiber von Mobilfunknetzen. Viertens ist sich die breite Öffentlichkeit der Risiken für die Informationssicherheit im Fall mobiler Endgeräte möglicherweise weniger bewusst als bei Internetzahlungen über PC oder Laptop zu Hause. Vor diesem Hintergrund hat das Forum trotz der Tatsache, dass sich mobile Zahlungen noch in einem frühen Entwicklungsstadium befinden und verhältnismäßig selten genutzt werden, Empfehlungen für die Sicherheit solcher Zahlungen entworfen. Diese Arbeit trägt außerdem zur Entwicklung eines europaweit einheitlichen Ansatzes in Bezug auf Lösungen bei, die sich – auch grenzüberschreitend – schneller weiterentwickeln dürften als die herkömmlichen Zahlungsarten.

Die Empfehlungsentwürfe umfassen alle Zahlungsarten, die von einem Kunden durch sein mobiles Endgerät initiiert werden, mit Ausnahme von Zahlungen, bei denen der Kunde lediglich über einen Webbrowser auf das Internet zugreift. Letzteres gilt als Internetzahlung und wird somit von den Empfehlungen für die Sicherheit von Internetzahlungen abgedeckt. In der Praxis umfasst der Entwurf die folgenden drei Zahlungsarten: kontaktlose Zahlungen (z. B. mittels NFC-Technologie), Zahlungen über ein zuvor auf das Endgerät des Kunden heruntergeladenes Programm(„App“) für mobile Zahlungen und Zahlungen über das Netz eines Mobilfunkanbieters (mittels SMS, USSD oder Sprachtechnologie) ohne Nutzung einer speziellen App (im Folgenden als „SMS-Zahlungen“
bezeichnet).

Das Forum bittet interessierte Marktakteure insbesondere um Stellungnahmen zu den beiden folgenden Fragestellungen: Erstens: Ist es gerechtfertigt, SMS-Zahlungen in den Bericht mit einzubeziehen, und wenn ja, inwieweit decken die vorgeschlagenen Empfehlungen diese Zahlungen in angemessenem Umfang ab? Zweitens: Sollten mobileZahlungen eine starke Kundenauthentifizierung erfordern, und insbesondere sollten für zuvor anhand einer Transaktionsrisikoanalyse festgelegte Kategorien risikoarmer Transaktionen Ausnahmen vorgesehen werden? Durch eine solche Ausnahmeregelung könnten die aktuellen Empfehlungen mit jenen des Forums für Internetzahlungen in Einklang gebracht werden. Zugleich entstünde jedoch eine Diskrepanz zu den Sicherheitsanforderungen für Kartenzahlungen unter Vorlage der Karte („card-present“-Zahlungen), die schwierig zu rechtfertigen seindürfte. Zu beiden Fragestellungenwürden die Einschätzungen der Marktteilnehmer einen wichtigen Beitrag zur Finalisierung der Arbeiten des Forums über mobile Zahlungen leisten.

Interessenten können Ihre Stellungnahmen zu dem Entwurf der Empfehlungen für die Sicherheit von mobilen Zahlungen bis zum 31. Januar 2014 einreichen.

Quelle: Deutsche Bundesbank