Die Europäische Bankenaufsicht (EBA) blockiert einen besseren Verbraucherschutz beim Einkaufen im Internet. Anstatt die neuen strikteren Sicherheitsregeln für elektronisches Bezahlen umzusetzen, dringt die Behörde darauf, dass Banken bei Zahlungen im Netz die bislang gängigen Prüfungen weiter anwenden dürfen. Die Geldhäuser und Zahlungsdienstleister könnten damit auf die für sie aufwendigen Kontrollen der Zahlungen verzichten. Diese könnten effektiver verhindern, dass Betrüger etwa mit gestohlenen Kreditkartendaten einkaufen. Das geht aus dem Entwurf eines vertraulichen EBA-Abschlussberichts hervor. Die Bankenaufsicht will ihre Pläne in der kommenden Woche vorstellen.
Gemäß einer europäischen Zahlungsdienste-Richtlinie aus dem Jahr 2015 sollte die EBA die neuen Sicherheitsvorschriften zur Authentifizierung von elektronischen Zahlungen prüfen. Das Ziel war eindeutig formuliert: Wer online einkauft, soll sich künftig besser ausweisen. Zu diesem Zweck gibt es der Richtlinie zufolge drei Möglichkeiten - von denen zwei zur Sicherheit der Kunden angewendet werden sollten. Erstens muss der Käufer etwas vorweisen, das nur er kennt, also etwa eine Pin oder eine Tan, die sich mit einem Gerät generieren lässt. Zweitens muss der Kunde Daten vorweisen können, die nur er hat, zum Beispiel die Kreditkartennummer samt Sicherheitscode und Ablaufdatum. Drittens muss der Verbraucher etwas vorweisen, dass ihn als Person identifiziert; das könnte ein digitaler Fingerabdruck sein, den er via Smartphone-App ablegt - oder auch seine Stimme.
Europas Bankenaufsicht will aber nicht an diesem Zwei-von-Drei-Prinzip festhalten. Für Beträge unter 30 Euro hält die EBA überhaupt keine Authentifizierung des Kunden für nötig. Erst für Einkäufe ab 500 Euro soll das Prinzip angewendet werden. Bei Beträgen dazwischen soll es künftig im Ermessen der Bank oder des Zahlungsdienstleisters liegen, ob die neuen Regeln angewendet werden sollen. Die Entscheidung darüber soll mithilfe eines undurchsichtigen Wertes getroffen werden, der sich aus der Betrugswahrscheinlichkeit bei bestimmten Zahlungsdiensten ergibt. Diesen Wert können Banken oder Kreditkarten-Unternehmen wie Mastercard oder Visa nur selbst berechnen, da nur sie die dafür nötigen Daten besitzen. Eine öffentliche Kontrolle wäre damit unmöglich.
71 Prozent aller Betrugsfälle mit Kreditkarten in der EU passieren im Internet
In der Praxis würde das bedeuten, dass Banken und Zahlungsdienstleister wohl künftig bei den meisten Transaktionen ihre bisherigen Plausibilitätsprüfungen machen. Sie achten dabei etwa auf die IP-Adresse eines Rechners, die jeweiligen Summen und die Bankverbindung. Auch für Onlinehändler dürfte dies die Kosten niedriger halten, als wenn sie aufwendigere neue Sicherheitsvorkehrungen treffen. Die Banken haben sich offenbar erfolgreich bei der EBA für ihre Interessen eingesetzt. Der Vorschlag der Bankenaufsicht wird aber erst noch von EU-Kommission, EU-Staaten und Europaparlament diskutiert.
Der Europäischer Zentralbank zufolge ist der Betrug bei elektronischen Zahlungen in den vergangenen Jahren massiv gestiegen. 2015 waren 71 Prozent aller Betrugsfälle mit Kreditkarten in der EU mit Internetzahlungen verknüpft. Allein in Großbritannien, wo das Bezahlen mit Kreditkarte besonders verbreitet ist, wurden 2015 fast 1,2 Millionen Kunden Opfer eines Betrugs als sie online einkauften - ein Anstieg von 20 Prozent im Vergleich zum Vorjahr.