Die Zeit läuft. Nachdem die Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung am 13. März von der EU-Kommission veröffentlicht wurden. Muss die sogenannte Zwei-Faktor-Autorisierung (2FA) bis zum 14. September 2019 für alle elektronischen Zahlungen in Europa umgesetzt werden – soweit kein Ausnahmetatbestand greift. Zu den Folgen der 2FA bzw. der PSD2 für Zahlverfahren, Paymentmarkt und Payment Service Provider befragte BargeldlosBlog Ralf Gladis, Gründer und Geschäftsführer von Computop.
Herr Gladis, wie beurteilen Sie die Pläne von Mastercard und Visa zur Erleichterungen der Zwei-Faktor-Autorisierung (2FA) – etwa durch biometrische Authentifikation oder obligatorische Whitelist-Abfrage in Webshop?
Dass Mastercard die Banken ab April 2019 verpflichtet, biometrische Authentisierung für Kreditkartenzahlungen anzubieten, wird zu einer Steigerung der Sicherheit im Zahlungsverkehr führen, wie sie auch die EU mit der PSD2 im Sinn hat. Es ist aber auch richtig, Ausnahmen von der 2FA zuzulassen, zum Beispiel für Kleinbeträge oder unter Berücksichtigung des tatsächlichen Risikos.
Das „White Listing“ sehen wir allerdings in dieser Form als nicht praktikabel an. De facto gibt es dafür kein wirklich funktionierendes Verfahren, denn das White Listing bezieht sich nach § 13 RTS immer auf den Zahlungsempfänger, nicht auf das verwendete Zahlungsmittel. Die White List ist außerdem beim kontoführenden Zahlungsdienstleister zu führen, also der Hausbank des Kunden, und das ist problematisch.
Inwiefern?
Befreit ein Kunde einen Händler von der 2FA, müsste dieser für sämtliche angebotenen Zahlarten befreit werden, was jedoch ohne Angabe der zugehörigen Kartennummern, IBAN oder Login-Daten nicht möglich ist. Dies wird auch nicht unbedingt im Interesse von Mastercard und Visa liegen, die mit der Befreiung von der 2FA einen Vorteil gegenüber anderen Zahlarten erzielen wollen. Eine Befreiung nur für bestimmte Zahlarten wäre auch für den Kunden nicht praktikabel, denn wie soll er sich merken, für welchen Händler er welche Zahlart von der Verpflichtung entbunden hat? Zudem müsste bei einer Befreiung eines Händlers gegenüber der Hausbank des Kunden diese Bank eine eindeutige Identifizierung des Händlers hinterlegen können – bei potenziell ca. 750.000 professionellen Händlern allein in Deutschland (Berechnung: iBusiness) keine Kleinigkeit.
An dieser Stelle im Prozess könnten PSPs wertvolle Hilfe leisten. Als Manager der Zahlarten im Handel könnten sie eine übergreifende Befreiung von der 2FA beim jeweiligen Händler organisieren, idealerweise eingebunden in einen komfortablen Zugang zum Kundenkonto. Und das sogar verbunden mit empirisch unterlegten Empfehlungen dank der Auswertung von Transaktionsdaten und vorhandener Tools zur Betrugsprävention.
So, wie das White Listing derzeit konstruiert ist, ist allerdings damit zu rechnen, dass es in der Praxis allenfalls für eine vordefinierte Auswahl von Shops möglich sein wird. Und wer wird auf diese Liste kommen? Hier ist einer weiteren Handelskonzentration Tür und Tor geöffnet, weil der Konsument große Händler wie Amazon, Otto oder Rakuten, bei denen er regelmäßig einkauft, zuerst freistellen wird. Das ist das Gegenteil dessen, was die PSD2 ursprünglich intendiert: mehr Wettbewerb.
Wie wird der Payment-Markt Ihrer Einschätzung durch die 2FA verändern?
Wir sehen eine stärkere Konzentration auf mobiles Bezahlen. Die heutigen Smartphones bringen die Technologie für biometrische Verfahren schon mit, und die Verwendung etwa des Fingerabdrucks für die Authentisierung ist vom Anwender gelernt. Die Übertragung auf das Payment ist also nur ein kleiner Schritt, den mehr Zahlverfahren unter der 2FA künftig gehen werden. Auch die Verpflichtung, die Übertragung von TAN von der SMS auf Push-TAN Apps zu verlagern, wird ihren Beitrag leisten. So kommt das lange erwartete Mobile Payment nun endlich durch die Hintertür in den Markt, weil unsere Smartphones biometrische Authentisierung und 2FA unterstützen.
Glauben Sie, dass Drittdienstleister (TPP) und insbesondere PSPs eine neue Rolle im Paymentmarkt spielen werden? Mit welchen Produkten und welchen Features?
Das Bezahlen ist der letzte Eindruck eines Einkaufserlebnisses. Mit PSD2 wird der Zahlungsverkehr anfangs komplizierter, und als PSP müssen wir die Händler von dieser Last befreien. Das tun wir heute schon in anderen Bereichen wie Debitorenmanagement, Reconciliation oder Betrugsprävention. Wegen der PSD2 gehen wir bei Computop davon aus, dass die Biometrie einen großen Aufstieg erleben wird. Wir haben daher für unsere Kunden einen Biometrie-Dienst auf dem FIDO-Standard entwickelt, der nicht nur den Zahlungsverkehr sicherer macht, sondern auch in ganz anderen Bereichen einsetzbar ist – zum Beispiel zum Öffnen von Türen, Fahrzeugen oder zum Login im Shop. Der neue Kontoinformationsdienst bietet neue Möglichkeiten, und wir erfahren jetzt schon Interesse der Händler an Instant Payments. Hier kommen die PSPs ins Spiel, die einen kombinierten Service aus biometrischer Zugangskontrolle, zum Beispiel ins Kundenkonto, und Zahlungsauslösung für den Handel anbieten können – und das sogar händlerübergreifend.
Anmerkung der Redaktion: Es handelt sich um ein „kaltes Interview“ – also ein schriftliches Interview – Fragen hin, Antworten zurück, ohne Rückfragen. Anlass des Interviews war insbesondere das Bekanntwerden der Whitelisting-Pläne von Mastercard und Visa zu dem ich in diesem Theaterstück (Vierter Akt) etwas geschrieben habe.
Lesetipps:
Auch der Bank Blog führte kürzlich ein lesenswertes Interview mit Ralf Gladis zum Thema PSD2/RTS.
Im IT-Finanzmagazin schreiben die Paymentexperten von KPMG zur Problematik der Umsetzung der RTS zur Strong Customer Authentication.
Laura de la Motte hat für das Handelsblatt ein Abschiedsinterview mit Bundesbankvorstand Carl-Ludwig Thiele geführt. Thiele war bis Ende April für den Zahlungsverkehr zuständig und äußert sich (hinter der Paywall) zur der angeblich so besonderen Bargeldliebe der Deutschen („Wir wissen jetzt offiziell, dass das gar nicht stimmt.“), zur beinahe Bargeldknappheit während der Finanzkrise („so dass uns sogar kurzfristig andere Notenbanken im Euro-System mit Banknoten aushelfen mussten.“) zu Instant Payments („Für den Handel vor Ort und im Onlinegeschäft können sich neue Zahlmethoden entwickeln.“) und anderen spannenden Dingen („Ich halte es beispielsweise für nicht akzeptabel, wenn manche Anbieter von Smartphones ihre Schnittstellen nicht für andere Anbieter öffnen. Dies gilt ebenso für die Hersteller von Sprachassistenten.“).
Das Letzte:
Apropos Sprachassistenten: Ich hatte neulich das Vergnügen und die Ehre das „Forum Handel 4.0“ zum Thema „Alexa, Google Assistant & Co. – Wie werdet ihr den Handel revolutionieren?“ zu moderieren. Was ich mitgenommen habe u.a. aus den Ausführungen von Christian Bärwind, der bei Google Deutschland für die strategischen Partnerschaften und den Einzelhandel zuständig ist:
Es geht nicht um Vocie Commerce, sondern um das „Age of Assistant“. Künftig wird Dich ein digitaler (individualisierter) Assistent begleiten, in Deinem Smartphone, Auto, Kühlschrank, TV, Stereoanlage und was immer Dein Smart-Home oder Leben zu bieten hat. Er tut das vielleicht jetzt schon hier und da, aber das ist nur ein zarter Anfang dessen, was kommen wird. (Mercedes lässt Alibaba einsteigen, BMW Alexa, Google setzt sich ins Nest, etc…) Bei Google und Apple steckt der Assistant sozusagen im Betriebssystem. Payment interessiert da keinen mehr. Die erste Shopping-Anwendung des Google Assistant in Deutschland: Flixbus Tickets kaufen. Nachdem Google die passende Busverbindung per Sprachsteuerung (oder wie auch immer) herausgesucht hat. Nach der Bezahllösung fragt der Assistent nicht. (Brauche ich eine 2FA, wenn meine Stimme erkannt wird?)
Dr. Robert Zores, CTO von Rewe Digital, schilderte im Basecamp wie die Rewe das Thema „Alexa & Co.“ sieht. Zusammen mit anderen Big Playern des deutschen Marktes versuchen die Kölner gemeinsam mit der Telekom den „Smart Speaker“ als Konkurrenz zu Alexa und Google aufzubauen bzw. ins Spiel zu bringen. Neben bei experimentiert die Rewe aber auch gleichzeitig mit dem Google Assistant, etwa mit „Caro„.
Ob solche Kooperationen von Erfolg gekrönt sein werden? Was wurde aus Paydirekt? Was wird aus Verimi? In der aktuellen Ausgabe des Manager Magazins wird das Scheitern des Projekts „Zandra“ nacherzählt. Es sollte eine Art „Alexa“ von Otto, Lidl, Media-Saturn, Rewe und IBM werden. Nicht nur Watson war der Sache aber offenbar nicht gewachsen.
Während die GAFA + Alibaba Ökosysteme um die Kundenbedürfnisse herumbauen, versuchen die Old-School-Player hier und da mit aus der Not geborenen Kooperationen hinterherzulaufen. Derweil wird aus der Plattform-Ökonomie ein Wettbewerb der Ökosyteme, oder?!