PIN Eingabe bei der Kreditkarte, CVM Liste
Um etwas grundsätzliches dazu zu sagen, wie beim EMV System festgelegt wird, ob der Kunde die PIN eingeben muß oder unterschreiben: Das bestimmt der Kartenherausgeber. Und zwar nur er, also so Aussagen wie „Wegen einer neuen EU Richtlinie werden jetzt auch bei Kreditkartenzahlungen die PIN verlangt“ und was mir so an Schildern bei Händlern zugetragen wurde, ist totaler Unsinn!
Wie passiert das ganze?
Sowohl die Karte als auch das Terminal tragen eine sogenannte CVM Liste (Cardholder Verification Method) mit Prioritäten. Wenn also die EMV Karte in ein EMV Terminal gesteckt wird, „unterhalten“ die beiden sich kurz und schauen, auf welche Methode für die Freigabe der geplanten Zahlung sie sich einigen können.
„Sendung mit der Maus“ mäßig würde dieser Dialog dann z.B. so aussehen:
Karte zum Terminal: Good morning, ich bin eine englische Visa Kreditkarte, international einsetzbar und ich wickle Zahlungen am liebsten mit PIN Eingabe ab, notfalls machs ich aber auch im Handel mit Unterschrift“
Terminal zur Karte: „Tagchen, ich bin ein deutsches POS Terminal, akzeptiere Visa, aber habe leider keine PIN Tastatur, aber einen Drucker habe ich.“
Worauf die Karte sich dann damit einverstanden erklärt, die Transaktion halt ausnahmsweise mit Unterschrift abzuwickeln.
Terminal zur Karte: „Bonjour, ich bin ein französischer Tankautomat und bei mir gibt es Sprit auf Kreditkarte nur mit PIN Eingabe“
Karte zum Terminal: „Wie blöd, ich kann im Handel nur mit Unterschrift arbeiten, so ist das Standard bei uns in Deutschland.“
Terminal zur Karte: „Wie soll ich denn als Automat eine Unterschrift prüfen? Du kriegst hier keinen Sprit.“
Anders gesagt: Die CVM Liste der Karte wird von Priorität 1 bis n abgearbeitet und die höchstmögliche Übereinstimmung mit dem, was das Terminal auch unterstützt, bestimmt die Abwicklung der Zahlung.
Hat also ein Terminal sowohl eine PIN Tastatur als auch einen Drucker, kann die Karte A mit PIN abgewickelt werden (wenn der Herausgeber das im Chip an die erste Stelle gesetzt hat), Karte B aber mit Unterschrift (wenn Herausgeber B die Unterschrift als präferierte Methode gesetzt hat).
Gängige Kartenpersonalisierungen in Deutschland sind:
- Unterschrift
- Keine Überprüfung
oder bei einigen neuen Karten (PIN bevorzugend)
- PIN Eingabe
- Unterschrift
- Keine Prüfung
oder Unterschrift an der Kasse, aber PIN an zB Tankautomaten
- Unterschrift
- PIN Eingabe
- Keine Prüfung
„Keine Prüfung“ heißt hier, daß lediglich die Echtheit der Karte (CAM – Card Authentication Method) geprüft wird, nicht aber die Anwesenheit des berechtigten Karteninhabers (CVM), so zB an Automaten.
Wer einen Chipkartenleser zur Hand hat, kann z.B. mit CardPeek seine Chipkarte anschauen, inkl. der CVM-Liste. Deren mögliche Einträge sind, sehr technisch, zB hier nachzulesen.
Akzeptanzprobleme
Zu Mißverständnissen führt das gerne zB bei Reisen nach Großbritannien. Dort wurde im Februar 2006 mit großem Kommunikationsaufwand die Abwicklung aller innerbritischen Transaktionen auf Chip und PIN umgestellt. So kommt, es, daß auch deutsche Karteninhaber denken, sie brauchen in UK zwingend eine Karte mit PIN-Unterstützung im Handel oder britische Händler fragen den Kunden schon vor Einstecken der Karte, ob er seine PIN weiß. Aus eigener Erfahrung kann ich versichern, daß auch Unterschriftstransaktionen weiter problemlos funktionieren, wenn das Gerät einen Drucker hat (manche Automaten wie zB in der Londoner Underground lassen auch Chiptransaktionen ohne PIN und ohne Unterschrift zu).
Dann gibt es noch Länder, in denen sich die Terminals nicht EMV-konform verhalten, sondern pauschal immer erstmal nach der PIN fragen. Häufig liegt das daran, daß dort die nationalen Karten auch mit PIN funktionieren und man nichts anderes erwartet. Hier kann die PIN Abfrage oft durch Drücken der Eingabetaste übersprungen werden (bekannt aus Dänemark, Australien, Schweden), es soll aber auch Länder geben, wo die Terminals auf der PIN beharren, selbst wenn die Karte klargemacht hat, daß sie diese gar nicht unterstützt (Berichte aus Russland). Hier empfiehlt sich dann ein alternatives Zahlungsmittel als Backup in der Geldbörse.