Die starke Kundenauthentifizierung ist grundsätzlich ab dem 14. September 2019 für alle elektronischen Zahlungsvorgänge verpflichtend. Diese wird immer dann gefordert, wenn ein Kunde eine elektronische Zahlung auslösen möchte, sei es stationär am Point-of-Sale oder online.

Dafür müssen zukünftig immer mindestens zwei oder drei Faktoren Wissen (z. B. PIN oder Passwort), Besitz (z. B. Smartphone) und Inhärenz (z. B. Fingerabdruck) verlangt werden. Im stationären Handel ist das Thema – anders als im E-Commerce – nicht neu. Daher haben wir in der vorliegenden Studie den aktuellen Wissens- und Umsetzungsstand im E-Commerce näher beleuchtet. Es zeigt sich, dass viele Online-Händler bisher nicht im Detail auf die neuen gesetzlichen Anforderungen vorbereitet sind und sie deshalb ihre Bezahlprozesse noch nicht angepasst haben.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 21. August 2019 in einer Pressemitteilung bekannt gegeben, dass Kreditkartenzahlungen im Internet ab dem 14. September 2019 weiterhin auch ohne starke Kundenauthentifizierung ausgeführt werden dürfen. Dies wird allerdings nur zeitlich befristet möglich sein. Begründet wird dies u. a. mit den nicht ausreichenden Vorbereitungen der Zahlungsempfänger. Ob diese Einschätzung der BaFin zutrifft, wird ebenso wie die Bekanntheit der Ausnahmen der starken Kundenauthentifizierung in dieser Studie genauer betrachtet.