Die PSD2 – ein Theaterstück

PSD2: Die Würfel sind geworfen. Gefallen sind sie noch lange nicht.

Derzeit kann man den Eindruck gewinnen, vorrangiges Ziel der europäischen Zahlungsdienste-Richtlinie (PSD2) sei es, den Berliner Taxifahren und anderen Akzeptanzstellen Gebühren für Kartenzahlungen zu verbieten. Dabei ist die seit 13. Januar europaweit geltende „No-Surcharging-Rule“ eigentlich eine Spätfolge der Interchange-Verordnung von Ende 2015. Die PSD2 dagegen will und wird (1) den Zugang zum Bankkonto für Drittdienstleister (XS2A) öffnen und (2) das bargeldlose Bezahlen revolutionieren.

Wohin die Revolution führt, darüber rätseln naturgemäß selbst Experten und Payment-Päpste noch. Wie bei jeder Revolution ist am Beginn offen, welche Kräfte sich am Ende durchsetzen und wer von der neuen Ordnung profitieren wird. Und bei der PSD2 – soviel ist gewiss – stehen wir noch ganz am Anfang.

Ein Revolutionsdrama in sechs Akten. Vorhang auf:

Darsteller: Die Bankenaufsicht, die Banken, die Kreditkartenorganisationen, die Zahlungsdienstleister, PayPal, Alibaba & die 40 FinTechs. Im Hintergrund: der Handel, die Kunden.

Die Europäische Bankaufsicht exkulpiert sich vorsorglich

Erster Akt: Andrea Enria betritt die Bühne, stampft wutentbrannt auf und schmeißt Aktenordner auf einen Berg von Papieren: „Die Kommission hat uns schändlich übergangen. Unsere Bedenken wurden ignoriert. Für das, was jetzt kommt, übernehme ich keine Verantwortung“.

In einem Brandbrief von Ende Januar an die EU-Kommission beklagt sich der Chef der Europäischen Bankenaufsicht (EBA) Andrea Enria mit ungewöhnlich scharfen Worten darüber, dass seine Behörde bei der Finalisierung der von ihr mühselig entworfenen Regulatory Technical Standards (RTS) zur PSD2 verordnungswidrig (Nr. 1093/2010) übergangen wurde. Die Aufsichtsbehörden und die Branche stehe vor einem Scherbenhaufen. Was nun komme sei weder absehbar, noch mit den bestehenden Kapazitäten zu handeln, so der EBA-Vorsitzende.

EBA: Come in and find out. (Foto: EBA)

Mit dem Schreiben distanziert sich die Bankaufsicht von den RTS zur starken Kundenauthentifizierung (SCA) und zur sicheren Kommunikation (CSC) – zwei Kernbestandteilen der PSD2. Sie sollten durch den XS2A („Access to account“) Wettbewerb und Innovation, aber mit der Zwei-Faktor-Autorisierung (2FA) auch Sicherheit in den elektronischen Zahlungsverkehr bringen. Man könnte auch sagen: Die EBA wäscht vorsorglich ihre Hände in Unschuld vor dem regulatorischen Chaos, das die EU-Kommission mit ihrem Rumgepfusche in den RTS angerichtet hat.

Die Berlin Group legt Schnittstellen-Standard „NextGenPSD2“ vor

Zweiter Akt: Ein großer Chor betritt die Bühne und singt mit einer Stimme: „Wir haben einen Standard. Seht her, wir haben uns auf eine Standard-Schnittstelle für alle geeinigt. Wir stellen uns dem Kampf“. 

Am heutigen Donnerstag hat die Berlin Group das „Volume 1.0“ des „NextGenPSD2-Framework“ veröffentlicht. Hinter dem kryptischen Kürzel verbirgt sich die sagenumwobene Schnittstelle für den Zugang zum Bankkonto (XS2A) für Drittdienstleister (TPP). Das Herzstück der PSD2 mit dem Wettbewerb und Innovation im Payment- und Bankingmarkt angefeuert werden sollen (Schlagwort: „Banking as a service“).

NextGenPSD2: Die Vorfreude ist die …

„Die NextGenPSD2-Schnittstellen (APIs) sollen die nach der PSD2 zulässigen Kontoinformationsdienste (AIS), Dienste von Anbietern von Zahlungsinstrumenten (PIIS) und Zahlungsauslösedienste (PIS) ermöglichen“, bekräftigt die Berlin Group in ihrer Pressemitteilung zur Veröffentlichung. In der „NextGenPSD2„-Koalition arbeiten 43 Organisationen aus dem Banken- und Zahlungsdienstleistungssektor (Europa + Schweiz(!)) in einer Art Open-Source-Initiative an der europaweiten Harmonisierung der APIs für den XS2A. Auch Mastercard wurde jüngst Mitglied der offenen, non-profit Standardisierungsorganisation Berlin Group. In der Konsultationsphase meldeten sich 53 Organisationen mit rund 1000 Kommentaren und Anregungen zu Wort, heißt es in der Pressemitteilung.

Gesucht wird: Eine Strategie für die Zwei-Faktor-Autorisierung

Dritter Akt: 6000 Herren in Anzügen rechnen, grübeln, diskutieren, telefonieren.

Mit der Vorlage bzw. der Umsetzung der „NextGenPSD2“ können die teilnehmenden Banken eine zentrale Hürden der PSD2 überspringen: Drittdienstleistern (TPP) müssen über den XS2A Kontoauskünfte und Zahlungstransaktionen ermöglicht werden. Das macht man freilich nicht gern, fürchtet Missbrauch Tür und Tor zu öffnen, sowie Kunden- bzw. Ertragsverluste aufgrund des ungeliebten Einfallstors ins eigene Reich. Doch der Gesetzgeber will es nun einmal so, also müssen die Banken liefern.

Mit der so genannten starken Kundenauthentifizierung (SCA) und der Zwei-Faktor-Autorisierung (2FA) für elektronische Zahlungstransaktionen bringt die PSD2 aber noch eine weitere Herausforderung für die rund 6000 in Europa zugelassenen Banken mit sich. Ein Thema, das tiefgreifende operationale und strategische Fragen aufwirft und bis spätestens September 2019 umgesetzt werden muss.

Aktuell rechnen die Banken erstmal ihre Betrugsschäden je nach Zahlungsart durch, um zu schauen, ob sie Ausnahmen von der 2FA beanspruchen können. Dazu hat die RTS willkürlich Betrugsquoten festgelegt, nach aus der Luft gegriffenen Zahlungsbeträgen gestaffelt (siehe Grafik). Die Berechnung ist jedoch kein banales Unterfangen, wie man hört. Was für den Silo „Kartenzahlung“ vielleicht noch relativ überschaubar ist, wird bei anderen Zahlungsarten schon unübersichtlicher – zumal die RTS nicht einmal eindeutig definiert, was mit Betrug gemeint ist. Mit wem man in diesem Schauspiel auch spricht, es gibt sehr unterschiedliche Lesarten der RTS zur SCA (siehe auch Andrea Enria).

Fraud Rate: Sag mir Deine Betrugsquoten und ich spreche Dich von der 2FA frei.

Klar ist, für einige Transaktionen wird eine 2FA notwendig. Warum dann nicht gleich für sämtliche Transaktionen diesen unbequemen aber sicheren Weg gehen? Dann gewöhnt sich der Kunde wenigstens daran. Immer wieder vor eine andere Autorisierungsanforderung gestellt zu werden, ohne am Beginn des Einkaufs zu wissen, wie am Ende bezahlt werden muss? Das führt nur zur Verwirrung und Verärgerung der Kunden. So zumindest eine These, die bei den Kartenemittenten zu der strategischen Überlegung führt: Wir fordern künftig bei jeder Online-Zahlung eine Zwei-Faktor-Autorisierung. Basta.

Ein anderer strategischer Ansatz: Ein bequemer, sicher und banknaher Log-In des Kunden für sämtliche Tätigkeiten im Internet muss her. Die Sparkassen kooperieren deshalb schon mal vorsorglich mit YES, die genossenschaftlichen Institute experimentieren mit „CAS“ herum und die Deutsche Bank ist bei Verimi mit von der Partie – zusammen mit Dickschiffen wie Allianz, Telekom, Lufthansa, Springer etc.. Warum bei der 2FA stehen bleiben, wenn man gleich das gesamte digitale Identifikationsmanagement übernehmen kann?

Die PSD2 als Chance, verlorenes Terrain zurückzuerobern und die Kunden wieder an sich zu binden. Auch im Hinblick auf die drohende ePrivacy-Verordnung ein interessantes Spielfeld. Allerdings auch ein sehr ambitionierter Ansatz. Keiner will den globalen GAFA-Playern Google, Apple, Facebook, Amazon, Alibaba & You-name-it das Feld kampflos überlassen. Aber ein nationales Identitätsmanagement im World Wide Web? ToiToiToi.

Das Thema „Whitelist“ als Ausnahme von der SCA und Rettung vor dem Conversion-Rate-Killer 2FA sieht man in den Banktürmen dagegen bislang wohl nicht wirklich als strategische Option aus der Misere an. Aber andere Player versuchen derweil, die Wedding List Whitelist zu pushen.

I´ll put him on the Whitelist – I’ll get him and I will not miss

Vierter Akt: Vertreter von Visa, Mastercard und PayPal in Hermelin-Mänteln werden auf prunkvollen Thronsessel von der Decke herabgelassen und verlesen würdevoll Bulletins und Nutzungsbedingungen. Alle schauen gebannt nach oben und lauschen.

Lesehilfe – MfG: Kleines PSD2 Abkürzungsverzeichnis.

Visa und Mastercard wollen bei Zahlungen im Internet mit Kreditkarten künftig Abfrageroutinen etablieren. „Soll der [Webshop, Dienstleister, Anbieter] auf Deine Whitelist gesetzt werden?“. Eine solche Abfrage soll automatisch nach jeder Kartenzahlung im Netz erfolgen. Banken und Acquirer möchten die entsprechende Technik in den Markt drücken bitteschön implementieren, um die Whitelists im Online Banking anzufüllen.

„Mit dem neuen Whitelisting-Konzept können Banken ‚regelmäßige Käufer‘ erkennen, um das Bezahlerlebnis zu vereinfachen und das Kundenerlebnis zu verbessern. Gleichzeitig bietet das Konzept eine besonders hohe Sicherheit für Kunden. Visa wird verschiedene Möglichkeiten prüfen, um dies zu unterstützen“, bestätigt die Kartenorganisation gegenüber BargeldlosBlog entsprechende Pläne. Und weiter: „Die Einführung von Verified by Visa 2.0 wird kartenausgebende Banken, Acquirern und Händlern zusätzlich unterstützen. Die Lösung vereinfacht die Authentifizierung mit umfassenderen Daten für genauere Risikoeinschätzungen und ein besseres Kundenerlebnis auf allen Geräten.“

Auch Mastercard bestätigt auf „Whitelisting“ als einen Baustein zur Erleichterung der starken Kundenauthentifizierung zu setzen. „Darüber hinaus werden aber auch die Wege zur Authentifikation deutlich verbessert, etwa durch biometrische Verfahren wie Fingerprint oder andere Verfahren, die der Kunde aus seinem Onlinebanking kennt“, erläutert Carsten Mürl, Direktor für Enterprise Security Solutions bei Mastercard, gegenüber BargeldlosBlog. Mürl sieht keinen Trend zu einer generellen Zwei-Faktor-Autorisierung für jede Transaktion. Die Bedeutung der Transaction risk analysis (TRA) werde dagegen zunehmen – für Banken, aber auch für Acquirer. „Die Markteilnehmer werden die Ausnahmen von der Zwei-Faktor-Autorisierung nutzen und gleichzeitig werden die Identifikationsprozesse kundenfreundlicher gestaltet“, prognostiziert Mürl. Am Ende könnte die Kartenzahlung im Internet von der Regulierung profitieren, so der Mastercard-Experte.  

Karte und PIN: Ein zweiter Faktor macht die Autorisierung sicherer.

Wie PayPal sich die neue Welt der Zwei-Faktor-Autorisierung vorstellt, bleibt unklar. Auch hier prüft man noch, jedenfalls hält man sich bedeckt: „Wie der Rest der Branche, prüfen wir derzeit die verschiedenen neuen Sicherheitsbestimmungen, die im nächsten Jahr im Rahmen der PSD2 eingeführt werden. Unsere europäischen Kunden werden auch weiterhin schnell, sicher und bequem mit PayPal zahlen können, wenn die neuen Standards Ende 2019 in Kraft treten“, teilt eine Sprecherin mit.

Von Alipay hörte man schon vor längerer Zeit, „wir schauen uns das 2FA-Thema in Europa genau an, befürchten aber, dass es die PSD2 am Ende in 27 verschiedenen Lesarten gibt“. Unweigerlich muss man dabei an die Zeilen im Brandbrief von EBA-Chef Enria denken.

Das „Whitelist“-Konzept der PSD2 stößt bei den Banken jedoch bislang offenbar auf wenig Begeisterung. Nicht RTS-konform seien die Ansinnen der Kreditkartenorganisationen, heißt es hier und da gar. Unklar also, wer mitzieht. Welches Interesse sollten Banken haben, Amazon oder PayPal auf eine Whitelist zu setzen? Sich den Feind ins eigene Bett holen und ihm noch ein Betthupferle bereitlegen?

Die Payment Service Provider stehen in den Startlöchern

Fünfter Akt: Eine Gruppe von muskulösen Arbeitern in ölverschmierten Overalls, Ingenieuren mit Klemmbrettern und Vermessungstechniker betritt die Bühne. „Wir wollen mitspielen und übernehmen gerne auch in eine größere Rolle“

Die Zahlungsdienstleister – Acquirer und Payment Service Provider – sitzen bislang im Maschinenraum der Paymentwelt – an der Schnittstelle zwischen Handel und Banken, die nun ins Zentrum rückt. Durch die neuen Möglichkeiten zum Kontozugang per XS2A können sie als PSP auch auf die Kommandobrücke kommen. Als Herausgeber von Karten, mit App-Lösungen oder was auch immer der zahlungsauslösende Dienst sein mag. Hier wird ein Spielfeld entstehen, das sich heute noch gar nicht absehen lässt (Wettbewerb und Innovation).

XS2A: Drei Dienste für den Dritten. (Quelle: NextGenPSD2, Volume 0.99, Berlin Group)

Eine Hürde auch hier: die SCA. Einige PSP hätten die 2FA gerne in die eigene Hand genommen. Das geht aus den Vorschlägen hervor, die im Rahmen der Konsultation zum NextGenPSD2-Standard eingereicht wurden. Doch im „Volume 1.0“ ist es noch nicht vorgesehen, dass der Drittdienstleister (TPP) die SCA in eigener Regie und auf eigenes Risiko durchführt. Die PSD2 würden dies zulassen (Art. 73). Doch die Banken fürchten wohl unter anderem, dass TPPs ihren Zugang zum Bankkonto anderen „Viert- und Fünftdienstleistern“ zur Verfügung stellen und das Ausfallrisiko dann um ein Vielfaches größer wird, als das Haftungskapital, das der TTP der BaFin nachweisen muss. Gegenüber Mastercard und Visa, die nicht über die NextGenPSD2-SchnittstelleEngstelle hüpfen müssen, fühlen sich die PSP diskriminiert. MC und Visa können ihren Acquirern sagen, beantrage die SCA-Ausnahme bei der BaFin, in Luxemburg, Dublin oder wo Du magst.

In dieser Diskussion ist offenbar noch Musik drin. Einige Banken sind nicht abgeneigt, sich der Haftungsrisiken an dieser Flanke zu entledigen, andere nicht. Es wird sich zeigen, ob eine nächste Fassung der NextGenPSD2 den Punkt aufgreift.

Die FinTechs kommen mit neuen Möglichkeiten und neuem Schwung

Sechster Akt: Eine bunte Schar von unterschiedlichen Typen flutet die Bühne von allen Seiten. Junge, Alte, Arme, Reiche, Dumme, Schlaue, Schnelle, Lahme. Einige schauen den Bänkern auf ihre Rechner, andere nehmen den Ingenieuren ihre Klemmbretter aus der Hand. Hier und da kommt es zu Rangeleien, anderswo tauscht man sich aus. Andrea Enria wird angerempelt, gerät aufgrund des Andrangs ins Taumeln, droht zu stürzen – da fällt der Vorhang.

Es wird bunter in der Payment-Welt, so viel ist gewiss. Am Dienstag dieser Woche veranstaltete die Europäische Zentralbank (EZB) den „#TipsApp Challenge“. Fünfzehn Unternehmen – etwa ACI Worldwide, Ingenico, GS1 Germany, equensWorldline, Giesecke+Devrient Mobile Security, SIA, Mastercard und andere – präsentieren dort Lösungen für die Initiierung und das Processing von Instant Payments. Wenn es eine Revolution im Payment in Europa geben wird, dann konnte man bei der EZB vielleicht erste Ansätze sehen. Denn die PSD2 muss auch oder vor allem im Zusammenhang mit den Bemühungen von EU-Kommission und EZB gesehen werden, eine Infrastruktur für Instant Payment in Europa zu etablieren – sekundenschnelle, finale Zahlungstransaktionen – ohne Rückkehr und doppelten Boden.

Ercan Kilic präsentiert das IP-Konzept der Branchenorganisation GS1 Germany bei der EZB.

Michael Steinbach, CEO von equensWorldline, empfahl den Banken in einer Panel-Diskussion einen „neuen Mindset und neue Businessmodelle“. Payments werden nach seiner Auffassung in Zukunft global „instant“ erfolgen – basierend auf einem Standard und ohne Processing-Gebühren. Auf die Frage aus dem Publikum, wer in der Werttschöpfungkette denn an Instant Payments verdiene könne, entgegnete Pascal Spittler von Ikea: „Das ist die falsche Frage. Die Frage für uns ist, bieten wir den Service, den der Kunde erwartet?“. Soviel zum Thema „Mindset“.

Vielleicht werden aber die Kreditkartenorganisationen (global, ein Standard, interoperabel) und PayPal (EU-Banklizenz, Zahlungen innerhalb eines „Instituts“), Alipay oder WeChat auch die Könige des erst langsam anbrechenden „Instant Payment“-Zeitalter. Möglicherweise muss „das Ende der Kreditkarte“ vertagt werden. Bislang hat in Deutschland nur die HVB ein Telefon. 600 Sparkassen wollen bis Ende Juni „ready for instant“ sein. 62 Prozent der #TipsApp Challenge-Teilnehmer glauben der „takeup“ für die neue Technologie werde rund 5 Jahren in Anspruch nehmen. BTW: Vor lauter „White Label“-Lösungen sah man bei den 15 Präsentationen den Issuer, die Marke (Brand), den Verantwortlichen (Call-Center, Anbindung) mitunter gar nicht mehr. Manch weißes Blatt bleibt unbeschrieben.

Vielleicht zahlen wir ab Ende 2019 im Internet aber auch einfach vermehrt per Rechnung. Man darf die konterrevolutionären Kräfte nicht unterschätzen. Womit ich freilich nicht sagen möchte, dass die Rechnungskauf-Spezialisten auf der Seite der Konterrevolution stehen.

Und so sehen wir betroffen, den Vorhang zu und alle Fragen offen.

Disclaimer: Dieser Text ist nur ein Versuch sich dem Thema „PSD2“ von außen anzunähern und die kommenden Veränderung bzw. Herausforderungen einigermaßen unterhaltsam darzustellen. In Wirklichkeit habe ich nicht den blassesten Schimmer von der Materie und mag hier und da vollkommen falsch liegen. Kritik, Anmerkungen, Richtigstellungen und eigene Einschätzungen in den Kommentaren willkommen.

Leserservice: Da ich aus der Abonnentenliste von BargeldlosBlog weiß, wie viele Mitarbeiter aus Zahlungsinstituten hier mitlesen: Bitte denken Sie bitte daran, bis Ende dieser Woche eine neue ZAG-Lizenz nach PSD2 zu beantragen, sonst gehen bei Ihrem Arbeitgeber am 13. Juli die Lichter aus.

Leserservice II: Die 15 Präsentationen von derTipsApp-Challenge der EZB sind auf der Seite als PDF verlinkt (gut versteckt).

8 Gedanken zu „Die PSD2 – ein Theaterstück

  1. bitte den link zu
    „Am heutigen Dienstag hat die Berlin Group das „Volume 1.0“ des „NextGenPSD2-Framework“ veröffentlicht.“
    posten.
    Ich finde es nicht

  2. Pingback: EU macht Onlinebanking weit komplizierter › Vorunruhestand

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert