Delegierte Authentifizierung & Passkeys unter PSD3 / PSR

Die europäische Zahlungslandschaft wurde durch die zweite Zahlungsdiensterichtlinie (PSD2) maßgeblich verändert. Die PSD2, die schrittweise ab 2018 in Kraft trat, schrieb die Starke Kundenauthentifizierung (SCA) für die meisten elektronischen Zahlungen vor, um die Sicherheit zu erhöhen und Betrug zu bekämpfen. Dies erfordert in der Regel die Überprüfung der Identität eines Nutzers anhand von mindestens zwei von drei unabhängigen Faktoren: Wissen (etwas, das nur der Nutzer weiß, wie ein Passwort), Besitz (etwas, das nur der Nutzer besitzt, wie ein Telefon oder ein Hardware-Token) und Inhärenz (etwas, das der Nutzer ist, wie ein Fingerabdruck oder ein Gesichtsscan).

Obwohl die SCA-Anforderungen der PSD2 nachweislich bestimmte Arten von Betrug reduziert haben, führten sie auch zu Reibungsverlusten im Zahlungsprozess, insbesondere bei Kartenzahlungen mit 3-D Secure (3DS)-Protokollen, die Nutzer oft zur Authentifizierung auf die Domain ihrer Bank weiterleiten. Diese zusätzliche Hürde beim Checkout kann zu Warenkorbabbrüchen und einer weniger nahtlosen Nutzererfahrung führen.

Als Reaktion auf diese Herausforderungen und die schnelle Entwicklung des digitalen Zahlungsverkehrsmarktes veröffentlichte die Europäische Kommission am 28. Juni 2023 Legislativvorschläge zur Aktualisierung des Rechtsrahmens. Dieses Paket besteht aus einer neuen Zahlungsdiensterichtlinie (PSD3) und einer Zahlungsdiensteverordnung (PSR).

Diese Reform, oft als „Evolution, nicht Revolution“ beschrieben, zielt darauf ab, bestehende Konzepte wie die Starke Kundenauthentifizierung (SCA) und Open Banking zu verfeinern, den Verbraucherschutz vor Betrug weiter zu stärken, den Wettbewerb zwischen Zahlungsdienstleistern (PSPs) zu fördern und die allgemeine Funktionsweise des EU-Zahlungsverkehrsmarktes zu verbessern. Einer der zentralen Bereiche der Weiterentwicklung ist die explizite Klärung und Schaffung eines Rahmens für die Delegierte Authentifizierung.

Der Weg vom Vorschlag zur Anwendung umfasst mehrere Phasen. Nach der Veröffentlichung im Juni 2023 traten die Vorschläge in den EU-Gesetzgebungsprozess ein, an dem das Europäische Parlament und der Rat der EU beteiligt sind. Der Wirtschafts- und Währungsausschuss (ECON) des Parlaments veröffentlichte Ende 2023 und Anfang 2024 Berichtsentwürfe mit Änderungsanträgen, woraufhin das Parlament im April 2024 seine Position in erster Lesung annahm. Die nächste Phase umfasst Verhandlungen zwischen Parlament, Rat und Kommission, um sich auf die endgültigen Texte zu einigen. Während dieses Prozesses bringen sich Stakeholder wie Banken, PSPs, Technologieunternehmen und Verbrauchergruppen in öffentlichen Konsultationen und durch Lobbyarbeit ein, um das Ergebnis zu beeinflussen.

Während erste Schätzungen von einer Fertigstellung bis Ende 2024 oder Anfang 2025 ausgingen, kann der Gesetzgebungsprozess komplex sein. Einige Analysen deuten nun auf mögliche Verzögerungen hin, die eine endgültige Einigung und das Anwendungsdatum möglicherweise auf das erste Quartal 2027 verschieben. Im Allgemeinen wird erwartet, dass die neuen Regeln 18 Monate nach ihrer Veröffentlichung im Amtsblatt der EU gelten, was den wahrscheinlichen Starttermin frühestens auf Mitte 2026 legt, je nach Zeitplan der Finalisierung aber auch später sein könnte.

Eine wesentliche strukturelle Änderung ist die Einführung der PSR neben der PSD3. Die PSR wird in allen EU-Mitgliedstaaten direkt anwendbar sein und eine einheitliche Umsetzung von operativen Regeln wie den SCA-Anforderungen und dem Zugang zu Open Banking gewährleisten. Dies behebt direkt eine Schwäche der PSD2, deren Charakter als Richtlinie zu Unterschieden bei der nationalen Umsetzung und Implementierung führte und so eine Fragmentierung schuf. Die PSD3, die eine Richtlinie bleibt, wird sich auf die Zulassung, Lizenzierung und Beaufsichtigung von Zahlungsinstituten konzentrieren und so einen gewissen nationalen Kontext bei der Marktaufsicht ermöglichen. Diese duale Struktur stellt einen strategischen Ansatz dar: Sie zielt auf eine schnellere, konsistente Harmonisierung in kritischen operativen Bereichen durch die Verordnung ab, während das Richtlinienformat für die institutionelle Aufsicht beibehalten wird, wo nationale Besonderheiten relevanter sind.

Angesichts der Komplexität der Trilogverhandlungen, der anschließenden Notwendigkeit für die Europäische Bankenaufsichtsbehörde (EBA), detaillierte Regulatorische Technische Standards (RTS) und Leitlinien zu entwickeln, und der Zeit, die die Branche zur Vorbereitung auf die Umsetzung benötigt, erscheint die oft genannte 18-monatige Übergangsfrist ehrgeizig. Unternehmen sollten mögliche Verzögerungen in ihre Planung einbeziehen und sich auf Ende 2026 oder sogar Anfang 2027 als plausible Anwendungsdaten einstellen.

Eine der bemerkenswertesten Klarstellungen im vorgeschlagenen PSD3/PSR-Rahmenwerk ist die explizite Erlaubnis der Delegierten Authentifizierung (DA).

Delegierte Authentifizierung (DA) bezeichnet den Prozess, bei dem der Zahlungsdienstleister (PSP) eines Zahlers, typischerweise die Bank, die das Zahlungsinstrument ausgibt (z. B. der Karten-Issuer), einem Dritten erlaubt, die Starke Kundenauthentifizierung (SCA) in seinem Namen durchzuführen.

Der Originaltext aus dem Verordnungsvorschlag (Artikel 87 des PSR-Vorschlags, Hervorhebung hinzugefügt) lautet:

Die Entwurfstexte besagen, dass Issuer (typischerweise Banken, die das Zahlungskonto bereitstellen) die Verantwortung für die Anwendung der SCA an bestimmte Dritte delegieren können. Als solche Dritte sind Merchants, Payment Gateways oder Acquirer, Online-Marktplätze oder Anbieter von digitalen Wallets vorgesehen.

Dieser Schritt ist bedeutsam, da er Szenarien, in denen jemand anderes als das kontoführende Institut die nach SCA erforderliche Authentifizierungsprüfung durchführt, formell anerkennt und einen potenziellen regulatorischen Weg dafür aufzeigt. Das erklärte Ziel hinter der Ermöglichung von DA ist die Förderung von Innovationen im Authentifizierungserlebnis. Durch die Erlaubnis der Delegation hofft die Regulierung, jene Akteure zu stärken, die oft am nächsten an der Kundeninteraktion sind (wie Merchants oder Wallets), um reibungsärmere, stärker integrierte Authentifizierungsabläufe zu schaffen, die die neuesten Technologien wie Biometrie oder Passkeys nutzen und letztendlich die User Experience verbessern. Frühe Beispiele, wie die vor dem PSD3-Entwurf gestartete DA-Implementierung von Stripe, zielten darauf ab, diese Vorteile zu nutzen und berichteten von schnelleren Authentifizierungszeiten und erhöhten Conversion Rates für teilnehmende Issuer.

Die Entwurfsvorschläge führen jedoch eine kritische Bedingung ein: Die Delegation der SCA durch einen Issuer an einen Dritten wird explizit als Outsourcing klassifiziert. Diese Klassifizierung ist nicht nur semantisch; sie hat erhebliches regulatorisches Gewicht. Sie bedeutet, dass jede DA-Vereinbarung den strengen Regeln für das Outsourcing durch Finanzinstitute entsprechen muss, vor allem den EBA-Leitlinien für Auslagerungsvereinbarungen. Darüber hinaus benötigen Betreiber von digitalen Wallets, die SCA-Elemente überprüfen, formelle Outsourcing-Vereinbarungen mit den ausgebenden Banken.

Dieses „Outsourcing“-Label stellt einen komplexen Kompromiss dar. Einerseits signalisiert die explizite Erlaubnis von DA regulatorische Offenheit für Innovation und potenziell bessere UX. Andererseits führt die Unterwerfung dieser Vereinbarungen unter das volle Gewicht der Outsourcing-Vorschriften für Finanzdienstleistungen zu einem erheblichen Compliance-Aufwand. Der Prozess verwandelt sich von einer potenziell einfachen technischen Übergabe in die Delegation einer zentralen, regulierten Sicherheitsfunktion. Dies löst umfangreiche Anforderungen in Bezug auf Due Diligence, vertragliche Besonderheiten, Risikomanagement, laufende Überwachung, Prüfungsrechte und potenziell die Einhaltung des Digital Operational Resilience Act (DORA) aus. Die erhebliche Belastung durch diese Outsourcing-Anforderungen könnte genau die Innovation behindern, die DA fördern soll, insbesondere für kleinere Merchants oder TSPs, denen die Ressourcen fehlen, um diese komplexe regulatorische Landschaft zu bewältigen.

Die Klassifizierung der Delegierten Authentifizierung als „Outsourcing“ im Rahmen der PSD3/PSR-Vorschläge bedeutet, dass solche Vereinbarungen direkt in den Anwendungsbereich der EBA-Leitlinien für Auslagerungsvereinbarungen fallen. Diese Leitlinien schaffen einen umfassenden Rahmen, den Finanzinstitute (einschließlich der Issuer, die SCA delegieren) und damit auch die Technischen Dienstleister (TSPs), die die delegierte Funktion ausführen, einhalten müssen.

Diese Leitlinien legen mehrere zentrale Verpflichtungen fest:

• Sorgfaltspflicht (Due Diligence): Vor der Delegation der SCA muss der Issuer eine gründliche Due-Diligence-Prüfung des Technischen Dienstleisters (TSP) durchführen. Dies umfasst die Bewertung des Geschäftsrufs, der technischen Fähigkeiten, der finanziellen Stabilität, der Expertise, der Ressourcen (Personal, IT), der Organisationsstruktur und der Sicherheitsmaßnahmen des TSP, um sicherzustellen, dass er für die Ausführung der kritischen Funktion der SCA geeignet ist.
• Risikobewertung: Eine umfassende Risikoanalyse ist vor dem Abschluss und während der gesamten Laufzeit der Auslagerungsvereinbarung obligatorisch. Diese muss operationelle Risiken, rechtliche Risiken, Compliance-Risiken, Konzentrationsrisiken (zu starke Abhängigkeit von einem TSP) und Risiken im Zusammenhang mit der Sub-Auslagerung (wenn der TSP Teile der Funktion weiter delegiert) abdecken. Die Auslagerung von als „kritisch oder wichtig“ eingestuften Funktionen (wobei SCA implizit als solche betrachtet wird, sofern nicht ausdrücklich ausgenommen) löst noch strengere Anforderungen aus.
• Vertragliche Anforderungen: Eine detaillierte schriftliche Vereinbarung ist unerlässlich. Dieser Vertrag muss den Umfang der delegierten Funktion, Rollen und Verantwortlichkeiten, Service-Level-Agreements, geltendes Recht, finanzielle Verpflichtungen, Datensicherheitsbestimmungen (die Zugänglichkeit, Verfügbarkeit, Integrität, Vertraulichkeit und Sicherheit abdecken), Geschäftskontinuitätspläne und Kündigungsklauseln klar definieren. Entscheidend ist, dass die Vereinbarung dem auslagernden Institut und seinen Aufsichtsbehörden uneingeschränkte Zugangs- und Prüfungsrechte bezüglich der ausgelagerten Funktion gewähren muss.
• Laufende Überwachung: Der Issuer kann nicht einfach „delegieren und vergessen“. Er muss die Leistung des TSP kontinuierlich anhand vereinbarter Kennzahlen überwachen, dessen laufende Risikolage bewerten und seine Sicherheits- und Geschäftskontinuitätsmaßnahmen überprüfen. Sich allein auf Zertifizierungen des TSP zu verlassen, ist unzureichend.
• Exit-Strategie: Für kritische Funktionen wie die SCA muss der Issuer einen dokumentierten Exit-Plan haben. Dieser Plan sollte Strategien zur Beendigung der Vereinbarung, zur Übertragung der Funktion an einen anderen TSP oder zur Rückführung der Funktion ins eigene Haus ohne Unterbrechung des Dienstes oder Beeinträchtigung von Sicherheit oder Compliance darlegen.
• Konzentrationsrisiko: Sowohl die auslagernden Institute als auch die zuständigen Behörden müssen Konzentrationsrisiken überwachen, die sich daraus ergeben, dass mehrere Institute auf denselben TSP oder eine kleine Anzahl dominanter TSPs angewiesen sind, insbesondere bei kritischen Funktionen.
• Keine „leeren Hüllen“: Die Leitlinien stellen ausdrücklich fest, dass Outsourcing nicht dazu führen darf, dass das auslagernde Institut zu einer „leeren Hülle“ wird, der die Substanz und die operative Fähigkeit fehlt, um zugelassen zu bleiben. Die letztendliche Verantwortung für Compliance und Risikomanagement verbleibt beim Leitungsorgan des auslagernden Instituts.

Eine weitere Komplexitätsebene fügt der Digital Operational Resilience Act (DORA) hinzu, der EU-weit harmonisierte Regeln für das Management von Informations- und Kommunikationstechnologie (IKT)-Risiken im Finanzsektor festlegt. DORA gilt ab dem 17. Januar 2025.

DORA ist für DA in mehrfacher Hinsicht relevant:

• Direkte Anwendbarkeit: DORA gilt direkt für Finanzunternehmen, einschließlich der Banken und anderer PSPs, die SCA delegieren würden.
• Kritische IKT-Drittanbieter (CTPPs): DORA schafft einen Aufsichtsrahmen für IKT-Drittanbieter, die als kritisch für das Finanzsystem gelten. Große TSPs, die DA-Dienste in großem Umfang anbieten (z. B. große Payment Gateways, Wallet-Anbieter, potenziell beteiligte Cloud-Dienstleister), könnten als CTPPs eingestuft werden, was sie unter die direkte Aufsicht der EU-Behörden stellt.
• Integration mit PSD3/PSR: Die PSD3/PSR-Vorschläge verweisen explizit auf DORA, was bedeutet, dass Outsourcing-Vereinbarungen, einschließlich DA, dessen Anforderungen erfüllen müssen. Das bedeutet, dass TSPs, die DA durchführen, die DORA-Standards für IKT-Risikomanagement, Meldung von Vorfällen, Resilienztests und Drittparteien-Risikomanagement erfüllen müssen, was die Compliance-Last weiter erhöht.

Das Zusammenspiel zwischen den EBA-Outsourcing-Leitlinien und DORA schafft ein dichtes Netz von Compliance-Verpflichtungen für jeden TSP, der sich in den Bereich DA wagt. Um diese Dienste erfolgreich anzubieten, sind nicht nur technisches Können, sondern auch erhebliche Investitionen in Governance-Strukturen, Risikomanagement-Frameworks, robuste Dokumentation, Prüfungsbereitschaft und nachweisbare operationelle Resilienz erforderlich. Dieses komplexe Umfeld könnte unbeabsichtigt größere, etablierte TSPs mit den Ressourcen und der Expertise begünstigen, um diese anspruchsvollen Anforderungen zu bewältigen.

Eine entscheidende Konsequenz von DA im Rahmen des vorgeschlagenen Frameworks ist die Verschiebung der Haftung für betrügerische Transaktionen, bei denen die SCA fehlschlägt.

• Die Entwurfsvorschläge deuten darauf hin, dass der Dritte, der die delegierte SCA durchführt (z. B. Merchant, Gateway, Wallet), für die finanziellen Schäden aus Betrug haftbar wird, wenn er die SCA nicht korrekt anwendet. Dies ist eine grundlegende Änderung gegenüber der typischen Haftungsverschiebung unter 3DS, bei der die Haftung oft auf den Issuer übergeht, wenn die SCA erfolgreich angewendet wird.
• Darüber hinaus führt der PSR-Entwurf eine potenzielle Haftung für technische Dienstleister und Betreiber von Zahlungssystemen ein, wenn ein SCA-Versäumnis auf ihre Systeme oder Infrastruktur zurückzuführen ist. Dieser spezielle Punkt stößt auf starken Widerstand, insbesondere von Mastercard, das argumentiert, er basiere auf falschen Vorstellungen über die Verantwortlichkeiten bei der SCA-Implementierung.
• Issuer sind, obwohl sie den SCA-Prozess möglicherweise delegieren, nicht vollständig entlastet. Sie bleiben für bestimmte Arten von Betrug haftbar, wie z. B. „Spoofing“, bei dem ein Betrüger die Bank imitiert. Das Europäische Parlament hat sogar vorgeschlagen, diese Rückerstattungsrechte bei APP-Betrugsfällen auszuweiten.

Diese direkte Haftung, die TSPs für SCA-Fehler im Rahmen von DA auferlegt wird, stellt ein erhebliches finanzielles Risiko dar. Während das Versprechen einer verbesserten User Experience und höherer Conversion Rates attraktiv ist, könnten die potenziellen Kosten von Betrug für viele TSPs, die DA-Dienste anbieten möchten, eine erhebliche Abschreckung darstellen. Robuste Risikominderungsstrategien, möglicherweise einschließlich höherer Servicegebühren oder spezieller Versicherungen, könnten zu notwendigen Voraussetzungen für eine breite Akzeptanz von DA durch Merchants und Gateways werden.

Die Delegierte Authentifizierung hat das Potenzial, die User Experience bei Kartenzahlungen grundlegend zu verändern, insbesondere im Vergleich zum traditionellen 3-D Secure (3DS)-Prozess.

Derzeit beinhaltet der 3DS-Prozess für SCA-Challenges typischerweise eine Übergabe, bei der der Kunde mit einem vom Issuer kontrollierten Element interagiert. Traditionell bedeutete dies eine vollständige Browser-Weiterleitung von der Website oder App des Merchants zur Domain des Issuers (z. B. deren Banking-App oder eine spezielle Authentifizierungsseite). Zunehmend präsentieren neuere 3DS-Versionen diese Challenge inline über einen eingebetteten iframe auf der Seite des Merchants. Obwohl ein iframe ein vollständiges Verlassen der Seite vermeidet, können beide Methoden, den Fokus des Nutzers auf einen vom Issuer kontrollierten Schritt zu lenken, störend sein, die Checkout-Zeit verlängern und zu Kundenabbrüchen führen.

DA bietet einen Weg, diese Reibung durch Prozessänderungen zu beseitigen. Indem es dem Merchant, Payment Gateway oder der digitalen Wallet ermöglicht wird, die SCA direkt in ihrer eigenen Umgebung durchzuführen, kann der Authentifizierungsschritt nahtlos in den Checkout-Ablauf integriert werden. Dies verspricht ein reibungsloseres, schnelleres und kohärenteres Erlebnis für den Kunden. In Kombination mit modernen, reibungsarmen Authentifizierungsmethoden wie geräteintegrierter Biometrie (Face ID, Fingerabdruckscans) oder Passkeys könnte DA die Reibung beim Checkout erheblich reduzieren, was potenziell zu niedrigeren Warenkorbabbruchraten und höheren Conversion Rates bei Zahlungen führen könnte. Reale Daten, wie die von Stripe gemeldete 7%ige Conversion-Steigerung und viermal schnellere Authentifizierung für Transaktionen mit ihrer DA-Lösung bei Wise-Karteninhabern, unterstreichen dieses potenzielle Nutzen.

Die Realisierung dieses Potenzials erfordert erhebliche technische und kommerzielle Vorarbeit. Es geht darum, neue Integrationspunkte und Kommunikationsprotokolle zwischen Merchants/Gateways/Wallets und Issuern zu etablieren. Zahlungssysteme wie Visa und Mastercard spielen hier eine wichtige Rolle. Mastercard hat beispielsweise seine Identity Check Express entwickelt, die es Merchants und Mastercard ermöglicht, den Verbraucher im Namen des Issuers innerhalb des Ablaufs des Merchants zu authentifizieren. In ähnlicher Weise hat Stripe seine DA-Fähigkeiten auf der Grundlage bilateraler Vereinbarungen mit bestimmten Issuern wie Wise aufgebaut.

Diese Entwicklungen deuten darauf hin, dass DA mehr ist als nur ein regulatorisches Update. Es dient als Hilfe bei der Neugestaltung von Authentifizierungsabläufen im Zahlungsverkehr. Die Verlagerung des Authentifizierungspunkts von der Domain des Issuers zurück in die Umgebung des Merchants oder der Wallet schafft Möglichkeiten für reichhaltigere, kontextbewusstere Authentifizierungsentscheidungen und User Experiences, die weniger störend sind als das traditionelle Weiterleitungsmodell. Dieser architektonische Wandel erfordert die Integration moderner Authentifizierungsmethoden wie Passkeys direkt in die Checkout-Prozesse. Dieser Übergang hängt jedoch von der Etablierung robuster Sicherheitsmaßnahmen, einer klaren Haftungsverteilung (wie zuvor diskutiert) und vertrauenswürdigen Rahmenwerken ab, die wahrscheinlich durch eine Kombination aus Systemregeln, bilateralen Vereinbarungen und der Einhaltung der strengen Outsourcing- und DORA-Vorschriften geregelt werden.

Während die PSD3/PSR-Entwurfsvorschläge die legislative Grundlage schaffen, wird die endgültige Form der Delegierten Authentifizierung maßgeblich durch den laufenden Dialog und die Lobbyarbeit wichtiger Branchenakteure beeinflusst. Banken, PSPs, Technologieanbieter und Merchants interpretieren diese Entwürfe aktiv und setzen sich für Änderungen ein, die mit ihren Geschäftsmodellen und strategischen Zielen übereinstimmen. Viele EU-Lobbybemühungen sind über das deutsche Lobbyregister zugänglich (Hinweis: Dieses Register ist hauptsächlich auf Deutsch, und viele der eingereichten Dokumente wurden auch an andere Gremien der Europäischen Union gesendet). Die folgende Analyse stützt sich auf verfügbare Zusammenfassungen und Dokumente aus diesen öffentlichen Einreichungen.

Als wichtiger Anbieter von Zahlungsinfrastruktur sieht Stripe erhebliche Chancen in der DA. Sie betrachten sie als entscheidendes Werkzeug zur Verbesserung der Conversion Rates bei Zahlungen und zur Optimierung des Checkout-Erlebnisses für Kunden durch Reduzierung von Reibungsverlusten. Stripe hat proaktiv eine eigene DA-Lösung auf den Markt gebracht, die auf bilateralen Vereinbarungen mit Issuern wie Wise basiert, und zeigt damit sein Engagement für dieses Modell, noch bevor PSD3/PSR finalisiert ist. Ihre Lobbyarbeit scheint darauf ausgerichtet zu sein, sicherzustellen, dass das regulatorische Umfeld Innovationen unterstützt und Belastungen minimiert. Zu den Kernbereichen gehören die Befürwortung gestraffter Neuzulassungsverfahren für bestehende lizenzierte Unternehmen unter PSD3, die Forderung nach mehr Klarheit und Flexibilität bei SCA-Ausnahmen (wie Schwellenwerte für die Transaktionsrisikoanalyse (TRA) und von Händlern initiierte Transaktionen (MITs)), die Sicherstellung, dass Plattformen, die Lösungen wie Stripe Connect nutzen, nicht unnötig mit Lizenzanforderungen für Agenten belastet werden, und der Vorstoß für einen direkten Zugang zu Zahlungssystemen für Nicht-Banken-PSPs.

PayPal, ein großes E-Geld-Institut und Wallet-Anbieter, ist ein lautstarker Befürworter eines ergebnisorientierten Ansatzes für die SCA. Sie argumentieren, dass Vorschriften die nachweisbare Sicherheitseffektivität einer Authentifizierungsmethode – insbesondere ihre Widerstandsfähigkeit gegen moderne Bedrohungen wie Phishing – priorisieren sollten, anstatt sich strikt an die traditionellen Faktorkategorien Wissen/Besitz/Inhärenz zu halten, die in der PSD2 definiert sind. Sie heben den Erfolg ihrer Passkey-Implementierung hervor, die Betrug erheblich reduziert und gleichzeitig den Login-Erfolg verbessert hat. Folglich fordert PayPal die politischen Entscheidungsträger bei der Gestaltung der PSR auf, sich auf die Gesamtstärke von Authentifizierungslösungen zu konzentrieren, Kombinationen starker Faktoren auch aus derselben Kategorie zu erlauben (z. B. zwei Besitzfaktoren), Sicherheit und Benutzerfreundlichkeit auszubalancieren und übermäßig vorschreibende technologische Mandate zu vermeiden.

Mastercard widerspricht entschieden der breiten Klassifizierung jeglicher DA als Outsourcing im Entwurf. Sie argumentieren, zusammen mit anderen Branchengruppen, dass nur Authentifizierungsmodelle, bei denen der Issuer die Kontrolle über den SCA-Prozess verliert, der vollen Strenge der Outsourcing-Anforderungen unterliegen sollten. Ihre Lobbyposition spiegelt dies wider: Sie streben eine Klarstellung an, dass DA kein „kritisches“ Outsourcing ist, befürworten skalierbare oder multilaterale Outsourcing-Vereinbarungen, um die DA-Einführung zu erleichtern, und wollen die vorgeschlagene Haftung für Schemes und TSPs im Zusammenhang mit SCA-Fehlern vollständig streichen. Zusätzlich drängt Mastercard darauf, dass Merchants verpflichtet werden, zusätzliche Informationen wie Verhaltens- und Umgebungsdaten an Issuer zu senden, um die Risikobewertung zu verbessern, und fordert die explizite Erlaubnis für TSPs, biometrische Daten ohne ausdrückliche Zustimmung des Nutzers speziell für SCA-Zwecke zu verarbeiten, und schlägt eine Feinabstimmung der SCA-Ausnahmen für spezifische risikoarme Anwendungsfälle vor.

Handelsverbände und Branchengremien teilen weitgehend die Bedenken der großen Akteure. Payments Europe spiegelt beispielsweise die Haltung von Mastercard zur Outsourcing-Definition wider und betont, dass nur Szenarien, in denen der Issuer die Kontrolle verliert, Outsourcing-Regeln auslösen sollten. Bitkom, der die digitale Industrie vertritt, fordert ebenfalls Klarheit in diesem Punkt und befürwortet die explizite Regulierung der Verhaltensbiometrie für die SCA. Diese Gruppen betonen durchweg die Notwendigkeit technologischer Neutralität und Flexibilität im SCA-Rahmen, um Innovationen zu fördern und digitale Ausgrenzung zu vermeiden. CCIA Europe äußert praktische Bedenken hinsichtlich der Umsetzbarkeit der weitreichenden Rechte der Issuer, die Sicherheitsvorkehrungen von TSPs im Rahmen von DA-Vereinbarungen zu prüfen und zu kontrollieren.

Tabelle: Wichtige Branchenpositionen zur Delegierten Authentifizierung & SCA unter PSD3/PSR

Der starke, koordinierte Widerstand gegen den aktuellen Ansatz des Entwurfs unterstreicht eine grundlegende Spannung. Die Branche wünscht sich die User Experience und die Innovationsvorteile, die DA potenziell bietet, möchte aber die erheblichen Compliance-Lasten vermeiden, die mit reguliertem Outsourcing gemäß den EBA-Leitlinien verbunden sind. Ihre vorgeschlagene Alternative – die Definition von Outsourcing basierend darauf, ob der Issuer die Kontrolle behält – zielt darauf ab, einen Raum für DA zu schaffen, der weniger regulatorisch intensiv ist. Die Lösung dieser Debatte während der legislativen Diskussionen wird entscheidend dafür sein, die praktische Machbarkeit und Attraktivität von DA für viele TSPs zu bestimmen.

Trotz dieser regulatorischen Unsicherheit warten führende Akteure wie Stripe und Mastercard nicht ab. Sie entwickeln und implementieren bereits jetzt DA-Lösungen, nutzen bestehende Rahmenwerke wie bilaterale Vereinbarungen und Scheme-Regeln und integrieren dabei oft fortschrittliche Technologien wie Biometrie und FIDO-Standards. Diese proaktive Strategie ermöglicht es ihnen, frühzeitig Marktanteile zu gewinnen, die technische Machbarkeit von DA zu demonstrieren, potenziell aufkommende Standards zu prägen und ihre Kunden auf die zukünftige Landschaft vorzubereiten. Dieser Ansatz wird nicht nur von der Verbesserung des Kundenerlebnisses angetrieben; er dient auch dazu, Kunden enger an den Zahlungsanbieter als an den Issuer zu binden, während gleichzeitig die inhärenten Risiken eines sich entwickelnden regulatorischen Umfelds und der damit verbundenen Haftungsverschiebungen bewältigt werden. Während die Branche diese neuen DA-Modelle erforscht, wird die Rolle fortschrittlicher Authentifizierungstechnologien wie Passkeys immer zentraler, um sowohl Sicherheits- als auch User-Experience-Ziele zu erreichen.

Passkeys, basierend auf dem WebAuthn-Standard der FIDO Alliance, stellen einen wichtigen Fortschritt in der Authentifizierungstechnologie dar. In diesem Abschnitt wird erörtert, wie sie dazu beitragen könnten, die Lücke für die Starke Kundenauthentifizierung (SCA) im Kontext der Delegierten Authentifizierung (DA) zu schließen.

Die Kernstärke von Passkeys liegt in der Verwendung von Public-Key-Kryptografie, um einzigartige Anmeldeinformationen für jede Website oder App zu erstellen. Dieser Mechanismus macht sie inhärent widerstandsfähig gegen Phishing-Angriffe, da die Anmeldeinformationen nur auf der legitimen Website funktionieren, für die sie erstellt wurden, und auf einer sicheren Geräteentsperrung (oft über Biometrie) anstatt auf geteilten Geheimnissen wie Passwörtern beruhen. Diese Kombination bietet das Potenzial für sowohl erhöhte Sicherheit als auch eine reibungslosere User Experience.

Aus technischer Sicht scheinen Passkeys ideal für Szenarien der Delegierten Authentifizierung geeignet zu sein. In einem DA-Ablauf könnte ein Merchant oder Gateway, der die SCA durchführt, den Nutzer auffordern, sich mit einem auf seinem Gerät (Telefon, Computer) gespeicherten Passkey zu authentifizieren. Diese Authentifizierung findet direkt in der Umgebung des Merchants oder TSPs statt und nutzt die eingebauten biometrischen Fähigkeiten des Geräts (wie Face ID oder Fingerabdruckscan) zur Überprüfung, wodurch die Notwendigkeit von Weiterleitungen oder umständlichen Einmalpasswörtern (OTPs) entfällt. Dies passt perfekt zum Ziel der DA, nahtlosere und sicherere Checkouts zu schaffen. Aber sehen wir uns an, wie ein Issuer eine Drittanbieter-Authentifizierung mit Passkeys kontrollieren und überprüfen könnte.

Die Integration von Passkeys in die regulierte Welt der SCA, insbesondere im Rahmen von DA, steht jedoch vor Herausforderungen. Die starre Drei-Faktoren-Kategorisierung der PSD2 (Wissen, Besitz, Inhärenz) schuf Unklarheit darüber, wie Passkeys hineinpassen, insbesondere in Bezug auf das „Besitz“-Element und die Unabhängigkeit der Faktoren, wenn Biometrie das Gerät entsperrt, das den Passkey hält. Das Aufkommen von synchronisierten Passkeys (die über mehrere Geräte verfügbar sein können) erschwert diese Klassifizierung zusätzlich.

Obwohl PSD3/PSR eine gewisse Flexibilität einführt, indem klargestellt wird, dass Authentifizierungsfaktoren nur unabhängig sein müssen (die Kompromittierung eines Faktors beeinträchtigt den anderen nicht), anstatt notwendigerweise zu verschiedenen Kategorien zu gehören, wie es in der vorgeschlagenen Verordnung ausdrücklich heißt:

Dies löst weder die Klassifizierungsunklarheit vollständig noch gibt es eine explizite Befürwortung für synchronisierte Passkeys als SCA-konform. Diese regulatorische Unsicherheit bestärkt die Argumente von Akteuren wie PayPal, die sich für einen ergebnisorientierten Ansatz bei der SCA einsetzen, der sich auf die nachgewiesenen Sicherheitsergebnisse (wie Phishing-Resistenz) von Methoden wie Passkeys konzentriert, anstatt sie in potenziell veraltete kategoriale Boxen zu zwingen. (Für einen tieferen Einblick in die ergebnisorientierte SCA und Passkeys lesen Sie unsere Analyse zur ergebnisorientierten SCA)

Angesichts der weiten Verbreitung von synchronisierten Passkeys bei Nutzern und Merchants und der Einschränkungen von SPC sollte das PSD3/PSR-Rahmenwerk darauf abzielen, einen klaren Weg für die Nutzung dieser bestehenden Passkey-Beziehungen im Rahmen der Delegierten Authentifizierung zu schaffen. Dieser Ansatz würde sich auf praktische, ergebnisorientierte Sicherheit konzentrieren, anstatt durch spezifische technische Implementierungen eingeschränkt zu sein, die vor der Reife von synchronisierten Passkeys konzipiert wurden. Um dies zu erreichen, sind mehrere wichtige Entwicklungen notwendig, die sich auf regulatorische Anpassungen, operative Vertrauensmechanismen und sich entwickelnde Branchenstandards konzentrieren. Ein zukunftssicheres DA-Modell, das synchronisierte Passkeys nutzt, könnte mehrere wichtige Entwicklungen umfassen, die wir nun diskutieren werden.

Eine effektive Etablierung von synchronisierten Passkeys in der DA beginnt mit einer klaren regulatorischen Befähigung und Vorgaben unter PSD3/PSR. Dies umfasst die folgenden zentralen Überlegungen:

• Explizite Anerkennung von synchronisierten Passkeys für DA: PSD3/PSR sollte explizit klarstellen, dass synchronisierte Passkeys, wenn sie angemessen verwendet werden, die SCA-Anforderungen im Kontext von DA erfüllen können. Der Fokus sollte auf der überprüfbaren kryptografischen Verbindung, der erreichten Phishing-Resistenz und der Unabhängigkeit des Authentifizierungsprozesses liegen, anstatt auf einer starren Einhaltung von SCA-Faktorkategorisierungen aus der Zeit vor Passkeys.
• Verpflichtende umfassende Authentifizierungsdaten: In Anlehnung an Branchenforderungen (wie die von Mastercard) sollte die Verordnung vorschreiben, dass TSPs, die DA durchführen, umfassende, standardisierte Authentifizierungsdaten (z. B. Details der Passkey-Authentifizierung, relevante FIDO-Assertion-Elemente und kontextbezogene Risikosignale) in die an Zahlungsnetzwerke und Issuer gesendeten Zahlungstransaktionsinformationen aufnehmen müssen. Dies baut auf bestehenden Mechanismen wie dem threeDSRequestorAuthenticationInfo-Feld auf, das in EMV 3DS für Merchant-FIDO-Daten verwendet wird 1.

Über die regulatorische Klarheit hinaus ist die Operationalisierung von Vertrauen bei vom Händler gehaltenen Passkeys entscheidend für eine breite Akzeptanz. Dies erfordert robuste Systeme und Prozesse für:

• Issuer-Verifizierung von vom Merchant initiierten DA: Issuer würden robuste Systeme benötigen, um Authentifizierungs-Assertions zu empfangen und kryptografisch zu verifizieren, die von Passkeys generiert werden. Entscheidend ist, dass in vielen DA-Szenarien der verwendete Passkey einer sein könnte, den der Nutzer bereits beim Merchant für den Zugriff auf dessen eigene Dienste erstellt hat.
• Dynamische Challenge & Kontrolle durch den Issuer: Um die Kontrolle des Issuers zu wahren und eine dynamische Verknüpfung zu gewährleisten, könnte eine DA-Transaktion wie folgt funktionieren:
  • Der Issuer (oder das Zahlungsnetzwerk in seinem Namen) stellt dem TSP (Merchant/Gateway) eine einzigartige, transaktionsspezifische Challenge zur Verfügung.
  • Der TSP fordert den Nutzer auf, die Transaktion zu autorisieren, indem er diese Challenge (plus kritische Transaktionsdaten) mit seinem bestehenden, beim Merchant registrierten synchronisierten Passkey signiert.
  • Die signierte Assertion wird zur Überprüfung an den Issuer zurückgesendet.
• Bedingtes DA-Roll-Over: Eine anfängliche, stärkere Authentifizierung direkt beim Issuer (vielleicht mit einem vom Issuer registrierten Passkey oder einem robusten 3DS-Challenge-Flow) könnte eine vertrauenswürdige Beziehung für einen spezifischen Merchant-Passkey herstellen. Nachfolgende DA-Transaktionen mit demselben verifizierten Merchant-Passkey könnten dann mit dem oben beschriebenen dynamischen Challenge-Modell fortfahren und eine reibungslosere User Experience bieten, solange der Passkey gültig bleibt und die Risikoparameter erfüllt sind.

Schließlich wird der langfristige Erfolg von Passkey-basierter DA von sich entwickelnden Standards und einer festen Hinwendung zu einer ergebnisorientierten SCA-Perspektive abhängen. Dies beinhaltet:

• Rolle der Branchengremien: Organisationen wie die FIDO Alliance (einschließlich ihrer auf Zahlungen ausgerichteten Arbeitsgruppen) und EMVCo sind entscheidend bei der Entwicklung und Standardisierung der notwendigen Protokolle und Vertrauenssignale, um solche DA-Modelle sicher und skalierbar zu unterstützen. Dies schließt die Definition ein, wie Authentifizierungs-Assertions von vom Merchant gehaltenen Passkeys zuverlässig von Issuern im DA-Kontext präsentiert und verifiziert werden können.
• Jenseits starrer SCA-Definitionen: Das ultimative Ziel sollte sein, zu einem ergebnisorientierten Ansatz für die SCA überzugehen. Wenn eine DA-Methode, die synchronisierte Passkeys nutzt (selbst solche, die beim Merchant erstellt wurden), nachweislich eine Phishing-resistente, Multi-Faktor-Authentifizierung bietet, die dynamisch mit der Transaktion verknüpft ist, sollte sie als konform betrachtet werden. Dies priorisiert das tatsächliche Sicherheitsergebnis über die Einhaltung traditioneller, manchmal veralteter Interpretationen von SCA-Elementen und fördert so Innovationen und die Nutzung von Technologien, die den Nutzern bereits vertraut sind.

Diese Entwicklung würde es dem Zahlungsökosystem ermöglichen, von den erheblichen bestehenden Investitionen in und der Akzeptanz von synchronisierten Passkeys durch Nutzer und Merchants zu profitieren und einen Weg für eine sicherere, nahtlosere und weithin zugängliche Delegierte Authentifizierung zu schaffen.

Das obige Sequenzdiagramm illustriert eine mögliche Zukunft für die Delegierte Authentifizierung (DA), die Passkeys innerhalb des Zahlungsökosystems nutzt. Es zeigt einen optimierten Ablauf, bei dem Merchants mithilfe von Passkeys die Starke Kundenauthentifizierung (SCA) im Namen der Issuer durchführen könnten. Diese Vision steht im Einklang mit der Richtung von PSD3/PSR und der zunehmenden Verbreitung der Passkey-Technologie.

Realitätscheck: Diese vorgestellte Zukunft ist jedoch noch nicht der aktuelle Standard. Für eine breite Akzeptanz müssen mehrere praktische Herausforderungen bewältigt werden. Regulatorische Rahmenbedingungen, insbesondere unter der kommenden PSD3/PSR, müssen vollständig klären, wie synchronisierte Passkeys in die Starke Kundenauthentifizierung passen und wie die Haftung in Szenarien der Delegierten Authentifizierung gehandhabt wird. Wesentliche technische Standards, einschließlich derer für Issuer zur Überprüfung von vom Merchant gehaltenen Passkeys und zur Gewährleistung einer konsistenten dynamischen Transaktionsverknüpfung über alle Plattformen hinweg, sind noch in der Entwicklung. Der Aufbau eines breiten Vertrauens der Issuer in vom Merchant geführte Authentifizierungsprozesse ist ebenfalls ein entscheidender Schritt. Darüber hinaus bleiben die Gewährleistung einer nahtlosen User Experience, die Verwaltung potenziell mehrerer Passkeys pro Nutzer und die Erreichung einer universellen Browser-/Plattformunterstützung für alle erforderlichen zahlungsspezifischen Funktionalitäten fortlaufende Bestrebungen. Schließlich wird es wichtig sein, alle verbleibenden Sicherheitsbedenken bezüglich der Ökosysteme von synchronisierten Passkeys und der Zuverlässigkeit der Attestation auszuräumen, um volles Vertrauen aufzubauen.

Trotz dieser Hürden – von denen viele spezifisch für die europäische SCA-Gesetzgebung sind, die, das sollte man nicht vergessen, nur für Europa gilt – ist die zugrunde liegende Technologie für ein solches System weitgehend vorhanden. Dies wird durch die heutige Realität belegt: die breite Passkey-Akzeptanz bei großen Akteuren außerhalb der EU, wie PayPal, und die umfangreiche Nutzung durch zahlreiche US-Banken (einschließlich derer, die Banno von Jack Henry und viele andere nutzen). Der dargestellte Ablauf ist daher technisch machbar und würde auf der starken, bestehenden Dynamik der Passkey-Akzeptanz durch Nutzer und Merchants aufbauen, anstatt dagegen zu arbeiten. Dieser Ansatz könnte den Weg für sicherere und nahtlosere Zahlungserlebnisse weltweit ebnen.

Die vorgeschlagenen PSD3 und PSR stellen eine bedeutende Weiterentwicklung des regulatorischen Rahmens für den Zahlungsverkehr in der EU dar. Sie zielen darauf ab, auf den Grundlagen der PSD2 aufzubauen, deren Einschränkungen zu beheben und sich an einen sich schnell digitalisierenden Markt anzupassen.

Eine zentrale Entwicklung ist die explizite Ermöglichung der Delegierten Authentifizierung (DA), die es Dritten wie Merchants und Wallets erlaubt, die Starke Kundenauthentifizierung (SCA) im Namen der ausgebenden Banken durchzuführen. Diese Ermöglichung ist jedoch innerhalb der EU mit einem entscheidenden Vorbehalt verbunden: der Klassifizierung von DA als „Outsourcing“. Dies löst ein komplexes Netz von Compliance-Verpflichtungen gemäß den EBA-Leitlinien für Auslagerungsvereinbarungen und dem Digital Operational Resilience Act (DORA) aus. Darüber hinaus verlagern die Vorschläge die Haftung für eine fehlgeschlagene SCA direkt auf die Einheit, die die delegierte Authentifizierung durchführt.

Dies schafft eine grundlegende Spannung, insbesondere im europäischen Kontext. Auf der einen Seite steht der regulatorische Antrieb für erhöhte Sicherheit, Kontrolle und Resilienz, der sich in strengen Outsourcing- und operationellen Resilienzanforderungen manifestiert. Auf der anderen Seite steht der starke Wunsch der Branche nach Innovation, Flexibilität und verbesserten User Experiences, die DA, insbesondere in Kombination mit modernen Methoden wie Passkeys, zu liefern verspricht. Die intensiven Lobbybemühungen um die Definition von „Outsourcing“ für DA-Zwecke unterstreichen diesen Konflikt. Es ist bemerkenswert, dass diese spezifischen regulatorischen Hürden zwar in der EU im Vordergrund stehen, die zugrunde liegende Passkey-Technologie jedoch eine robuste globale Akzeptanz und erfolgreiche Implementierung in anderen Märkten mit unterschiedlichen regulatorischen Landschaften erfährt.

Die zukünftige Akzeptanzrate und der Einfluss der Delegierten Authentifizierung, insbesondere innerhalb der EU, hängen entscheidend von den endgültigen Details des Gesetzgebungsprozesses ab – insbesondere in Bezug auf den Umfang der Outsourcing-Regeln, die Haftungsverteilung und, ganz entscheidend, die explizite Anerkennung von synchronisierten Passkeys als SCA-konformer Mechanismus innerhalb von DA. Die Fähigkeit der Branche, praktische, skalierbare Vertrauensrahmen zwischen Issuern und TSPs, die die Authentifizierung durchführen, zu etablieren, wird ebenfalls von größter Bedeutung sein.

Passkeys, insbesondere synchronisierte Passkeys, sind von Natur aus auf die Ziele von DA ausgerichtet und bieten eine robuste Phishing-Resistenz und das Potenzial für nahtlose, biometriebasierte User Experiences. Sie stellen eine überzeugende Alternative zu traditionellen Passwörtern und OTPs dar. Die Herausforderung liegt nicht in der technischen Machbarkeit der Verwendung von Passkeys für DA – wie ihre erfolgreiche globale Akzeptanz für verschiedene Authentifizierungszwecke beweist – sondern in der Navigation durch die EU-spezifischen regulatorischen Anforderungen und der Etablierung klarer, ergebnisorientierter Kriterien für ihre Akzeptanz unter SCA. Ein Ansatz, der die nachweisbaren Sicherheitsergebnisse von Passkey-Authentifizierungen (z. B. kryptografische Überprüfbarkeit, Phishing-Resistenz, dynamische Verknüpfung) über die starre Einhaltung traditioneller Faktorkategorisierungen stellt, wird entscheidend sein, um ihr volles Potenzial in der DA zu entfalten.

Für Unternehmen, die im europäischen Zahlungsökosystem tätig sind, erfordern die kommenden Jahre eine sorgfältige Beobachtung der Finalisierung von PSD3, PSR und den zugehörigen technischen Standards der EBA. Organisationen sollten proaktiv bewerten, wie die Delegierte Authentifizierung, gestärkt durch das ausgereifte Passkey-Ökosystem, ihre Zahlungs- und Authentifizierungsstrategien neu gestalten könnte. Dies beinhaltet nicht nur die Bewertung des Potenzials von Technologien wie synchronisierten Passkeys, sondern auch die Vorbereitung auf die operativen und Compliance-Verschiebungen, die notwendig sind, um überprüfbares Vertrauen mit Partnern in DA-Vereinbarungen aufzubauen.

Für Anbieter von Authentifizierungslösungen liegt die Chance in der Entwicklung von Angeboten, die sicher, benutzerfreundlich und so konzipiert sind, dass sie Kunden (TSPs) helfen, die anspruchsvollen Compliance-Anforderungen von DA im Rahmen der PSD3/PSR-Landschaft zu erfüllen. Dies schließt die Erleichterung des sicheren Austauschs von Authentifizierungsdaten und die Unterstützung von Mechanismen ein, die es Issuern ermöglichen, DA-Transaktionen, die mit vom Merchant gehaltenen Passkeys durchgeführt werden, vertrauensvoll zu verifizieren und so letztendlich die sicheren und nahtlosen Zahlungserlebnisse zu fördern, die PSD3/PSR durch die Nutzung der globalen Dynamik der Passkey-Technologie zu erreichen versucht.