Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird nicht beanstanden, wenn Zahlungsdienstleister mit Sitz in Deutschland Kartenzahlungen im Internet bis zum 31. Dezember 2020 ausführen, auch wenn eine nach der Payment Service Directive 2 erforderliche starke Kundenauthentifizierung nicht erfolgt ist. Diese Entscheidung beruht auf einer Stellungnahme der European Banking Authority (EBA) zu den Umsetzungsfristen.
Zahlungsdienstleister mit Sitz in Deutschland dürfen noch bis 31.12.2020 ohne starke Kundenauthentifizierung Kartenzahlungen im Internet ausführen.
Die Pflicht zur starken Kundenauthentifizierung ist am 14. September 2019 in Kraft getreten und beruht auf der europäischen Payment Service Directive 2 vom 25. November 2015. Danach ist bei elektronischen Zahlungsvorgängen eine Authentifizierung erforderlich, die nicht nur aus einem, sondern aus mindestens zwei Elementen besteht. Diese Elemente müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz (Innewohnen) stammen. Ein Beispiel für ein Element aus der Kategorie Wissen ist das bereits erwähnte Passwort. Ein Beispiel für die Kategorie Besitz ist das Mobiltelefon. Der Besitz des Telefons lässt sich zum Beispiel durch Eingabe einer Transaktionsnummer (TAN) nachweisen, die mittels einer SMS an das Telefon geschickt wurde. Elemente der Kategorie Inhärenz sind dem Nutzer persönlich oder körperlich zu eigen, zum Beispiel sein Fingerabdruck.