Zum Inhalt springen
Horizon Scanner
Demo buchen
GlossarZahlungsdienste / PSD2

Was ist Starke Kundenauthentifizierung (SCA) nach PSD2?

Kurzantwort

Starke Kundenauthentifizierung (SCA) ist die von PSD2 (Artikel 97 der Richtlinie (EU) 2015/2366) verlangte Mehr-Faktor-Authentifizierung für elektronische Zahlungen und den Online-Zugriff auf Zahlungskonten. Sie beruht auf mindestens zwei von drei voneinander unabhängigen Elementen — Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer hat) und Inhärenz (etwas, das der Nutzer ist). Die technischen Details — dynamische Verknüpfung, Ausnahmen und die sichere Kommunikation mit Drittdienstleistern — stehen in der SCA-RTS (Delegierte Verordnung (EU) 2018/389), anwendbar seit dem 14. September 2019.

Zuletzt aktualisiert:

01Was SCA verlangt — die zwei von drei Elementen

PSD2 (Artikel 97 der Richtlinie (EU) 2015/2366) verlangt von Zahlungsdienstleistern, **starke Kundenauthentifizierung** anzuwenden, wenn ein Zahler online auf sein Zahlungskonto zugreift, eine elektronische Zahlung auslöst oder über einen Fernkanal eine Handlung vornimmt, die ein Betrugs- oder Missbrauchsrisiko birgt. SCA bedeutet eine Authentifizierung auf Basis von **mindestens zwei** Elementen aus drei voneinander unabhängigen Kategorien — **Wissen** (z. B. Passwort oder PIN), **Besitz** (z. B. Smartphone oder Hardware-Token) und **Inhärenz** (z. B. Fingerabdruck oder Gesichtserkennung). Entscheidend ist die **Unabhängigkeit**: die Kompromittierung eines Elements darf die Zuverlässigkeit der anderen nicht beeinträchtigen [1].

02Die SCA-RTS — dynamische Verknüpfung, Ausnahmen, sichere Kommunikation

Die operativen Details regelt die **SCA-RTS — Delegierte Verordnung (EU) 2018/389**, anwendbar seit dem **14. September 2019** [2]. Für Fern-Zahlungen verlangt sie **dynamische Verknüpfung**: der Authentifizierungscode ist an den konkreten Betrag und den konkreten Empfänger gebunden, sodass eine Änderung der Transaktionsdaten den Code ungültig macht.

Die RTS definiert auch eine Reihe von **Ausnahmen** von SCA (u. a. Klein­betrags- und kontaktlose Zahlungen, wiederkehrende Zahlungen gleicher Höhe an denselben Empfänger, vertrauenswürdige Begünstigte und eine risikobasierte Transaktions­risiko­analyse) sowie die **sichere Kommunikation** zwischen kontoführenden Banken und Drittdienstleistern: Banken stellen entweder eine dedizierte Schnittstelle (API) oder eine angepasste Kundenschnittstelle bereit, mit einem **Fallback-/Notfall-Mechanismus**, damit lizenzierte AISPs und PISPs nicht abgeschnitten werden. (Konkrete Artikel- und Schwellenwert-Angaben hängen am jeweiligen Anwendungsfall — wir verlinken stets den Primärtext.)

03Ausblick: PSD3/PSR (vorgeschlagen, noch nicht Gesetz)

Die Kommission hat im Juni 2023 ein Reformpaket vorgeschlagen — eine **PSD3-Richtlinie (COM(2023) 366)** und eine unmittelbar geltende **Payment Services Regulation (COM(2023) 367)** —, das auch das SCA-Regime weiterentwickeln würde (u. a. Barrierefreiheit der Authentifizierung, Zuständigkeits­verteilung für SCA und zusätzliche Betrugs­abwehr wie Verification-of-Payee). Stand Mitte 2026 ist dazu eine **vorläufige politische Einigung (27. November 2025)** erreicht und der Text steht **kurz vor der Verabschiedung**, ist aber **noch nicht angenommen oder im Amtsblatt veröffentlicht** — bis dahin gilt das SCA-Regime aus PSD2 + SCA-RTS unverändert weiter.

Quellen

Jede zitierte Aussage führt zur Primärquelle. Externe Links öffnen in einem neuen Tab.

  1. [1]PSD2 — Richtlinie (EU) 2015/2366, Art. 97 (starke Kundenauthentifizierung) — EUR-Lex
  2. [2]SCA-RTS — Delegierte Verordnung (EU) 2018/389 — EUR-Lex

Sehen Sie Horizon Scanner in Aktion.

Zwanzig Minuten. Keine Folien.

Demo buchen