§ 55 ZAG

Starke Kundenauthentifizierung

(1) Der Zahlungsdienstleister ist verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler

1.
online auf sein Zahlungskonto zugreift;
2.
einen elektronischen Zahlungsvorgang auslöst;
3.
über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
Ein Zahlungsdienstleister muss im Fall des Satzes 1 über angemessene Sicherheitsvorkehrungen verfügen, um die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer zu schützen.

(2) Handelt es sich bei dem elektronischen Zahlungsvorgang nach Absatz 1 Satz 1 Nummer 2 um einen elektronischen Fernzahlungsvorgang, hat der Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.

(3) Absatz 1 Satz 2 und Absatz 2 gelten auch, wenn Zahlungen über einen Zahlungsauslösedienstleister ausgelöst werden. Absatz 1 gilt auch, wenn die Informationen über einen Kontoinformationsdienstleister angefordert werden.

(4) Der kontoführende Zahlungsdienstleister hat es dem Zahlungsauslösedienstleister und dem Kontoinformationsdienstleister zu gestatten, sich auf die Authentifizierungsverfahren zu stützen, die er dem Zahlungsdienstnutzer gemäß Absatz 1 sowie, in Fällen, in denen ein Zahlungsauslösedienstleister beteiligt ist, darüber hinaus gemäß Absatz 2 bereitstellt.

(5) Näheres zu Erfordernissen und Verfahren zur starken Kundenauthentifizierung einschließlich etwaiger Ausnahmen von deren Anwendung sowie Anforderungen an Sicherheitsvorkehrungen für die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale regelt der delegierte Rechtsakt nach Artikel 98 der Richtlinie (EU) 2015/2366.

Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.