13. Jänner 2022 Die Verbreitung von Mobile Payment-Verfahren in Österreich

Immer öfter werden für Zahlungen kontaktlose Verfahren verwendet und insbesondere mobile Zahlungsverfahren haben daran einen stetig steigenden Anteil. In Österreich stehen hierfür mehrere Verfahren mit teils unterschiedlichen Funktionalitäten zur Verfügung.

Pro Jahr erfolgen laut dem Österreichischen Transaktionsdienstleister Payment Services Austria (PSA) 83% kontaktlose Transaktionen von gesamt 1,2 Mrd. Transaktionen an unterstützten 7.534 Geldausgabeautomaten (ATMs) sowie an POS-Terminals (wie diese beispielsweise an feststehenden Verkaufsstandorten bei Supermärkten oder an Tankstellen im Kassenbereich vorzufinden sind) für die Bezahlung von Waren und Dienstleistungen. Das damit verbundene gesamte Transaktionsvolumen in Österreich betrug 46 Mrd. Euro. Die PSA erkannte ein anhaltendes Wachstum kontaktloser Transaktionsarten und besonders aus dem Bereich Mobile Payment.

Generell lässt sich beobachten, dass innovative Mobile Payment-Lösungen zur Steigerung der Transaktionszahlen beitragen. Denn es gilt: Üblicherweise passen Menschen auf ein teures Smartphone besser auf, als auf eine Plastikkarte (z.B. Bankomatkarte, Debit-Karte, Kreditkarte, Charge-Card). Der Trend zu bargeldlosen Transaktionen mittels Mobile Payment wird auch in Österreich demzufolge an Bedeutung zunehmen.

Welche Top 9 Mobile Payment-Lösungen sind in Österreich verbreitet?

Vordergründig handelt es sich bei Mobile Payment-Lösungen um kontaktlose Verfahren. Davon gibt es viele und die Landschaft ist oftmals unübersichtlich. Die Verwendung von Mobile Payment-Verfahren ist allgemein auf unterstützten Endgeräten über drei Arten möglich. Entweder erfolgt die Nutzung eines in das Endgerät integrierten NFC-Chips zumeist durch eine App oder eine Wallet sowie zum zweiten durch die Anzeige eines optischen Codes auf einem Display welcher einzuscannen ist. Bei diesen Codes handelt es sich zumeist um Strichcodes (oder Barcodes) aber immer öfter auch um QR-Codes. Die dritte Möglichkeit stellt die Bezahlung über eine Direktintegration des Bezahlverfahrens in den Internetbrowser auf einem mobilen Endgerät dar. Die folgende Abbildung zeigt einen Überblick der derzeit Top 9 Mobile Payment-Lösungen, die derzeit in Österreich verbreitet nutzbar sind.

Die oben angegebenen neun Mobile Payment-Lösungen setzen auf die Digitalisierung des Bezahlvorgangs. Je nach verwendetem Formfaktor des Endgeräts ist neben diesem Endgerät zusätzlich noch eine elektronische Geldbörse (Wallet), eine eigene Bezahl-App oder ein Internetbrowser auf dem Gerät zu installieren, wenn diese nicht schon durch den Hersteller mitgeliefert werden. Demzufolge ist für die meisten Mobile Payment-Verfahren auch ein Account beim zutreffenden Anbieter unumgänglich, um das angebotene Verfahren einsetzen zu können. Dabei handelt es sich einerseits entweder um ein Smartphone, ein Tablet, eine Smartwatch oder andererseits um passive Gegenstände mit einem integrierten NFC-Chip. Solche Gegenstände sind oftmals passive Geräte wie etwa verfügbare Quarz-Uhren oder Sticker. Ohne eine vorherige Aktivierung ist Mobile Payment nicht nutzbar.

Wie ist die Aktivierung eines Mobile Payment-Verfahrens durchführbar?

Für die Aktivierung ist eine Verknüpfung des Mobile Payment-Verfahrens mit einer von der Hausbank ausgegebenen Karte (anwendbar für: Apple Pay, Garmin Pay, Google Pay, SwatchPay) oder mit einem Bankkonto (etwa bei Bluecode) notwendig.

Die von den jeweiligen Banken unterstützten Kartenarten (z.B. Debit-Karte, Kreditkarte, Charge-Card) sowie die für Mobile Payment nutzbaren Kartentypen (z.B. American Express, Mastercard, Visa sowie die Bankomatkarte der PSA) unterscheiden sich in Österreich von Bank zu Bank. Das bedeutet je nach Bank sind entweder Kreditkarten, Debit-Karten oder beide für Mobile Payment aktivierbar. Der jeweilige Prozessablauf hängt von der kartenausgebenden Bank ab. Alternativ kann die Aktivierung durch Hinzufügen einer Karte über die Wallet des Endgeräts erfolgen. Jedoch ist auch bei diesem Schritt eine Freigabe über den Online-Banking-Account oder die damit verknüpfte Freigabe-App erforderlich. Optische Verfahren wie beispielsweise Bluecode – oder auch die in PayPal integrierte Funktion – sind direkt über die App aktivierbar, indem das Konto über die App damit verbunden wird. Nach der Aktivierung ist ein Mobile Payment-Verfahren nach sehr kurzer Zeit – fast immer sofort – verwendbar.

Wo ist die Verwendung von Mobile Payment-Verfahren in Österreich möglich?

Nach erfolgter Aktivierung sowie der Verknüpfung zum Bankkonto oder zur ausgegebenen Karte ist die Nutzung eines Mobile Payment-Verfahrens an einem unterstützten Geldausgabeautomaten oder an einem POS-Terminal bzw. in einem Online-Shop einfach. Dafür ist generell neben der Unterstützung der Kartentypen (z.B.: Mastercard, Visa) ein NFC-tauglicher Geldausgabeautomat sowie ein POS-Terminal notwendig oder der Online-Shop muss das Mobile Payment-Verfahren akzeptieren.

Das mobile Endgerät ist für einen Bezahlvorgang sehr nahe an das POS-Terminal der Kassa oder an den Geldausgabeautomaten hinzuhalten. In einem Online-Shop kann es noch leichter sein, denn dort ist eigentlich nur die Auswahl der Bezahlmethode erforderlich und eine Freigabe mit der festgelegten Freigabeoption abzuschließen. Je nach kartenausgebender Bank oder genütztem Online-Shop aber auch abhängig vom Betrag der zugrundeliegenden Transaktion, sowie je nach verwendetem Endgerät ist eine Authentifizierung zur Freigabe einer Transaktion nötig. Dabei ist eine Unterscheidung zwischen der Authentifizierung von Nutzerinnen sowie Nutzern am POS-Terminal (etwa über einen PIN-Code) bzw. am Geldausgabeautomaten (etwa über einen PIN-Code oder einen QR-Code) oder direkt über das genützte Endgerät (etwa über einen PIN-Code, ein Muster oder mit biometrischen Verfahren) vollziehbar.

Die Verwendung von Mobile Payment-Verfahren ist nicht nur auf Österreich begrenzt. Sofern ein Geldausgabeautomat oder das POS-Terminal die kontaktlose Zahlung sowie den Kartentyp akzeptiert, ist damit auch weltweites bezahlen im Rahmen festgelegter Betragslimits möglich.

Welche Limits gibt es in Österreich für kontaktloses Bezahlen und wie ist die Freigabe einer Bezahlung möglich?

Derzeit sind einmalige Einzelzahlungen bis zur Höhe von 50 Euro ohne Authentifizierung möglich. Darüber hinaus ist bei spätestens fünf hintereinander folgenden Zahlungen oder nach überschreiten von 150 Euro als zusätzliche Schutzmaßnahme die Authentifizierung des Nutzers bzw. der Nutzerin notwendig. Ausgenommen sind Mobile Payment-Verfahren, die bei jeder Transaktion eine Authentifizierung fordern oder ausgewählte Kleinstbetragszahlungen. Manche Anbieter (wie etwa Apple Pay) fordern wie zuvor genannt bei jeder Zahlung – das bedeutet unabhängig vom Transaktionsbetrag – eine Authentifizierung zu deren Freigabe. Die Authentifizierung und eine damit verbundene Auslösung einer Transaktion ist mittels aktivierter Verfahren entweder über Biometrie durch Gesichtserkennung oder durch einen Fingerabdruck möglich. Alternativ ist eine Freigabe durch den Gerätesperrcode (bei manchen Geräten auch durch ein Muster) durchführbar. Die Aktivierung eines Freigabeverfahrens ist üblicherweise in den Geräteeinstellungen definierbar.

Welche Top 8 Tipps helfen Anwenderinnen und Anwendern Mobile Zahlungsverfahren besser abzusichern?

Die Sicherheit eines Mobile Payment-Verfahrens beruht im Wesentlichen auf der Sicherheit der zugrundeliegenden Technologie (NFC, Host Card Emulation, verschlüsselte Datenübertragung, Secure Elements) und der verwendeten Hardware sowie der eingesetzten Software (Wallet/App und Betriebssystem) und dem Zahlungsdiensteanbieter (z.B. Mastercard, Visa – bei Kreditkarten auch als Card-Schemes bezeichnet). Dennoch haben Anwenderinnen und Anwender acht ausgewählte Möglichkeiten die Sicherheit selbst zu verbessern:

• Aus der Entfernung löschen, wenn das Gerät verloren geht. Geht ein Gerät auf dem Mobile Payment aktiviert ist verloren, dann ist rasches agieren hilfreich. Es gilt: Trotz umfangreicher Sicherheitsvorkehrungen sollte ein verloren gegangenes Gerät rasch aus der Entfernung gelöscht werden. Dadurch haben Angreiferinnen bzw. Angreifer weniger Möglichkeiten Angriffsversuche zu starten, um an sensible Daten zu gelangen oder unautorisierte Zahlungen vorzunehmen.
• Sperrcode des Geräts nicht teilen. Wird der Sperrcode eines Geräts mit anderen Personen geteilt, ist die Authentifizierung für die Auslösung eines Bezahlvorganges durch jede Person möglich, die im Besitz des gültigen Sperrcodes ist. Gleichzeitig ist nicht nachvollziehbar wer tatsächlich den Bezahlvorgang ausgelöst hat. Es gilt: Niemals den Sperrcode des eigenen Geräts teilen.
• Auswählen eines schwer zu erratenden Sperrcodes. Einfache Sperrcodes sind von Angreiferinnen bzw. Angreifern oftmals leicht zu erraten. Es gilt: Keine simplen Sperrcodes wie etwa „000000“ oder „012345“ verwenden sowie vermeiden von vergleichbar einfachen Sperrcodes.
• Aktivieren von biometrischen Verfahren zur Authentifizierung. Da in ungünstigen Fällen ein händisch über das Display eingegebener (beispielsweise numerischer) Sperrcode durch „über die Schulter schauen“ ausgespäht werden kann, ist damit ein höheres Risiko verbunden. Dieses kann durch die Aktivierung biometrischer Verfahren (etwa Fingerabdruck oder Gesichtserkennung) reduziert werden. Es gilt: Biometrische Authentifizierung ist der Authentifizierung mit einem Sperrcode – sofern das möglich ist – vorzuziehen.
• Nur biometrische Daten des Eigentümers bzw. der Eigentümerin verwenden. Ebenso wie Sperrcode nicht geteilt werden sollten, ist es hilfreich die biometrischen Daten (etwa Fingerabdruck oder für die Gesichtserkennung) mehrerer Personen nicht auf demselben Gerät zu aktivieren. Genauer sollten keine fremden biometrischen Daten auf dem für Mobile Payment-Verfahren genützten Gerät gespeichert werden. Es gilt: Teilen biometrischer Daten von mehreren Benutzerinnen und Benutzern und speichern auf demselben Gerät erhöht das Risiko, dass unautorisierte Bezahlvorgänge ausgelöst werden und nicht nachvollziehbar ist, wer tatsächlich eine Bezahltransaktion ausgelöst hat.
• Nur notwendige Karten zur Wallet-App hinzufügen. Eine Karte, die nicht digitalisiert wurde kann nicht gleichzeitig mit dem verwendeten Gerät verloren gehen. Die Hürde für die Auslösung eines Bezahlvorgangs bleibt der Sperrcode oder das aktivierte biometrische Verfahren. Jedoch ist der Code für jede auf dem Gerät digitalisierte Karte identisch (bei Plastikkarten sind die PINs für im Idealfall unterschiedlich). Demzufolge sollten die zwei zuvor genannten Tipps ganz besondere Berücksichtigung finden. Es gilt: Nur Karten, die im Alltag notwendig sind, digitalisieren und nicht mehr verwendete Mobile Payment-Verfahren bewusst deaktivieren.
• Hinzufügen von digitalisierten Karten nur bei einer vertrauenswürdigen Internetverbindung. Kompromittierte Netzwerke erhöhen die Risiken, dass schutzwürdige Daten abgefangen werden. Es gilt: Nur auf sichere WLAN-Netzwerke setzen oder eine vertrauenswürdige Internetverbindung verwenden, wenn ein neues Mobile Payment-Verfahren aktiviert wird.
• Funktion „Geräte finden“ einschalten. Aktivieren der gerätespezifischen Funktionen das Gerät bei Verlust aufzufinden (beispielsweise auf Android: „Mein Gerät finden“ auf iOS: „Mein iPhone suchen“ sowie „Wo ist?“); sowohl auf dem betreffenden Gerät als auch auf einem anderen Gerät. Solche Funktionen helfen bei der entfernten Löschung. Es gilt: Funktionen, die das Auffinden von Geräten erlauben, aktivieren und die entfernte Löschung des Geräts mitberücksichtigen.