Indiens Zahlungsverkehr setzt auf Biometrie: PIN-freies Bezahlen wird Standard

April müssen digitale Zahlungen mit mindestens einem dynamischen Authentifizierungsfaktor abgesichert werden. Die ICICI Bank hat nun als eines der ersten großen Institute die biometrische Autorisierung für UPI-Zahlungen bis 5.000 Rupien (etwa 55 Euro) eingeführt.

Kunden der Bank können seit Ende April Überweisungen und Händlerzahlungen per Fingerabdruck oder Gesichtserkennung freigeben – der klassische PIN-Code entfällt für alltägliche Kleinbeträge. Die Reserve Bank of India (RBI) hatte die neuen Sicherheitsrichtlinien bereits 2025 verabschiedet.

Moderne Bezahlverfahren per Fingerabdruck oder Gesichtsscan bieten viel Komfort, erfordern aber auch eine optimal abgesicherte Hardware. Dieser kostenlose Ratgeber zeigt Ihnen, welche fünf Einstellungen IT-Experten für jedes Smartphone empfehlen, um Banking und Apps wirklich abzusichern. Jetzt gratis herunterladen und WhatsApp, PayPal & Co. endlich sicher nutzen

Hardware-Sicherheit statt Passwort-Memorieren

Die biometrischen Daten verbleiben dabei ausschließlich auf dem Smartphone des Nutzers. Die Bank greift auf die bereits vorhandenen Fingerabdrücke oder Gesichtsscans zurück, die in der sogenannten „Secure Enclave“ des Geräts gespeichert sind. Voraussetzung ist Android Version 30 oder iOS Version 28.2.

Die Aktivierung erfolgt über die UPI-Einstellungen der iMobile-App. Nach einmaliger Bestätigung mit der alten PIN können Nutzer künftig per „Ein-Touch“-Verfahren bezahlen. Das entspricht dem, was Fintechs wie PhonePe und CRED bereits seit Monaten anbieten. PhonePe hatte seine biometrische Suite schon Anfang des Jahres für Android-Nutzer gestartet.

Auch Paytm zog nach und ermöglicht neben biometrischen UPI-Zahlungen inzwischen auch kartellose Bargeldabhebungen am Automaten. Der Ablauf verkürzt sich von „App öffnen > PIN eingeben > Bezahlen“ auf „App öffnen > Scannen > Erledigt“.

Die neue Sicherheitsarchitektur

Die RBI-Richtlinien von 2025 schreiben für alle digitalen Inlandszahlungen zwei getrennte Authentifizierungsfaktoren vor – mindestens einer davon muss dynamisch sein. Das bedeutet: Er muss sich bei jeder Transaktion neu beweisen. Biometrische Merkmale erfüllen diese Anforderung, weil sie untrennbar an den Nutzer gebunden sind.

Die National Payments Corporation of India (NPCI) hatte den Rahmen für die biometrische Authentifizierung bereits Ende 2025 geschaffen. Die 5.000-Rupien-Grenze gilt als Startwert, der je nach Erfahrungswerten und Betrugszahlen angepasst werden kann.

Digitaler Betrug als Treiber der Entwicklung

Die Dringlichkeit der Umstellung zeigt ein Blick auf die Schadenszahlen: Im Fiskaljahr 2024 überstieg der Schaden durch digitale Zahlungsbetrug die Marke von 1.400 Crore Rupien (rund 155 Millionen Euro). Betrüger setzen zunehmend auf Phishing, SIM-Swapping und Device-Spoofing, um SMS-TANs und statische PINs zu umgehen.

Sicherheitsexperten betonen: Ein PIN-Code kann weitergegeben, gestohlen oder erraten werden. Ein Fingerabdruck oder Gesichtsscan ist an die physische Anwesenheit des Nutzers gebunden. Die neuen Systeme setzen auf „risikobasierte Authentifizierung“ – sie lernen aus Nutzerverhalten, Standort und Transaktionshöhe. Bei ungewöhnlichen Zahlungen wird zusätzlich geprüft, bei Routinevorgängen reicht der Fingerabdruck.

Finanzielle Inklusion als Nebeneffekt

Die Vereinfachung hat auch eine soziale Dimension: Millionen älterer Menschen und Bewohner ländlicher Regionen scheuen digitale Zahlungen, weil sie sich PIN-Codes nicht merken können oder mit der Bedienung überfordert sind. Ein biometrischer Bezahlvorgang senkt die Einstiegshürde drastisch.

Parallel zur UPI-Entwicklung haben Flipkart, Axis Bank und PayU im Frühjahr biometrische Authentifizierung für Kartenzahlungen eingeführt – ebenfalls ohne SMS-TAN. Die Branche bewegt sich auf einen einheitlichen Standard zu: Die digitale Identität liegt künftig auf dem Gerät, nicht mehr in einer externen SMS.

Während biometrische Merkmale die Sicherheit erhöhen, nutzen Kriminelle weiterhin gezielt Schwachstellen in veralteten Systemen aus. Erfahren Sie in diesem kostenlosen Expertenreport, wie Sie Datenverlust und finanzielle Schäden durch fünf einfache Schutzmaßnahmen effektiv verhindern können. 5 Schutzmaßnahmen gegen finanzielle Schäden entdecken

Gigantische Dimensionen

Die Umstellung betrifft gewaltige Volumina. Laut RBI-Zahlenspiegel erreichten die UPI-Transaktionen im Juni 2025 ein Volumen von 18,39 Milliarden Transaktionen mit einem Gesamtwert von rund 24,03 Lakh Crore Rupien (etwa 267 Milliarden Euro). Jede noch so kleine Reibungsreduzierung pro Transaktion führt zu massiven Effizienzgewinnen im Gesamtsystem.

Seit dem 1. Mai 2026 ist die Compliance-Frist für die neuen Authentifizierungsrichtlinien abgelaufen. Banken und Zahlungsdienstleister müssen nun regelmäßig Nachweise über ihre Sicherheitsarchitektur vorlegen. Die NPCI überwacht die Systemintegrität unter anderem durch technische Regeln – etwa zur Begrenzung nicht-finanzieller API-Abfragen, die in der Vergangenheit zu Störungen während Spitzenzeiten führten.

Ausblick: Die PIN wird zur Ausnahme

Branchenexperten erwarten eine kontinuierliche Ausweitung biometrische Anwendungen. Erste Pilotprojekte testen Gesichtserkennung per Datenbrille und Aadhaar-basierte Authentifizierung für die Kontoeröffnung. Die klassische PIN dürfte sich langfristig auf hochwertige Transaktionen zurückziehen – während der Fingerabdruck oder der Gesichtsscan zum neuen Standard für den indischen Alltagsverbraucher wird.

de | wissenschaft | 69269632 |