Das neuste Stück im PSD2-Theater heißt „Was ihr wollt“. Inszeniert hat es die Europäische Bankenaufsicht (EBA). Sie hat am 21. Juni eine Opinion veröffentlicht, die den nationalen Aufsichtsbehörden eine „flexible Überwachung“ bei der Einführung der sogenannten Zwei-Faktor-Autorisierung nach dem Stichtag 14. September erlaubt. In jedem Mitgliedsstaat kann die jeweilige Finanzaufsicht mit den relevanten Marktakteuren nun einen eigenen Migrationsplan vereinbaren, um ein Payment-Chaos zum Jahresende abzuwenden. Die Zahlungsdienstleister drängen derweil auf eine einheitliche, europäische Lösung – und fordern mindestens 18 Monate Zeit, bis „EMV 3DS 2.2.“ flächendeckend eingeführt ist.
Wenige Tage nachdem der europäische Handelsverband EuroCommerce in einem Brandbrief vor „erheblichen Störungen“ im Onlinehandel durch die neuen Autorisierungsvorgaben warnte, räumt die EBA ein, dass einige Spieler in der Paymentkette noch nicht auf die „starke Kundenauthentifizierung“ (SCA) vorbereitet sind – trotz der 18-monatigen Vorbereitungszeit. Daher erlaubt die Bankaufsicht nun Fristverlängerungen, wenn im Gegenzug eine Roadmap zur Umsetzung vorgelegt wird.
Britische Aufsichtsbehörde verschiebt Deadline
Die britische Financial Conduct Authority (FCA) reagierte umgehend und kündigte vergangenen Freitag an, von der Möglichkeit der Deadline-Verschiebung Gebrauch zu machen und „in enger Abstimmung mit der Branche“ einen Migrationsplan zu erarbeiten.
„We aim to quickly agree a plan with stakeholders across the industry that encompasses a blueprint for compliance and readiness, a timetable for achieving this, and key milestones and targets to deliver improved security of customer authentication and fraud reduction along the way.“
Mit europäischer Gesetzgebung und dem Ziel einer Harmonisierung der Payment-Regularien hat das „Was ihr wollt“-Schauspiel freilich wenig zu tun. Zahlungsverkehrsexperte Frank Müller kritisierte in einem Tweet folgerichtig: „Wenn die anderen Aufsichtsbehörden nicht mitziehen, dann herrscht noch größeres Chaos. Unterstellt die BaFin macht nicht mit, dann muss der dt. Issuer die Transaktion eines Akquirers aus UK ablehnen. Ob der dt. Kunde das dann versteht … was für ein Irrsinn“.
Um solche Probleme zu vermeiden, hatte EuroCommerce im Brandbrief eine länderübergreifende, einheitliche Regelung gefordert, was für eine europäische Aufsichtsbehörde ja auch eigentlich eine Selbstverständlichkeit sein sollte.
Wem soll die jetzige Lösung helfen, selbst wenn die EBA verspricht, vor Jahresende Deadlines zu kommunizieren? Oder mal aus der Perspektive der Praxis gefragt: Werden Mastercard und Visa nun ein weiteres Flag in die Transaktionsdaten aufnehmen, damit der PSP des Händlers seine Transaktion (Trx) gegenüber dem Issuer flaggen kann, wenn er über eine Regelung mit der BaFin verfügt und daher „berechtigt“ ist, 3DS erst später live zu schalten, damit der Issuer davon Kenntnis erhält und daher die Trx dieses Händlers auch ohne „3DS 2.x“ durchlassen darf?!
Telco zwischen Kommission und EPSM
Nach Informationen von BargeldlosBlog fand am vergangenen Freitag eine Telefonkonferenz zwischen Vertretern der EU-Kommission und dem Verband der europäischen Zahlungsdienstleistern EPSM statt. Die Zahlungsdienstleitster wiesen unter anderem darauf hin, dass ihrer Einschätzung nach erst 60 bis 70 Prozent der Issuer auf den 14. September vorbereitet sind. Kleine und mittelständische Onlinehändler eher überhaupt nicht. Die „EMV 3DS 2.2.“-Version stehe darüber hinaus nicht vor dem 3. Quartal 2020 bereit.
Besondere Kopfzerbrechen bereitet den Payment-Diestleistern zudem die restriktive Auslegung der RTS durch die EBA bei Kartentransaktionen im Fernabsatz mit Einmalpasswort (OTP), 3DS und Kartendaten. Hier hält die Aufsichtsbehörde einen zweiten Faktor (Biometrie oder ein zusätzliches Passwort) für erforderlich, obwohl EMV 3DS 2.x nach Auffassung der Branche bereits einen hohen Sicherheitsstandard gewährleistet. Diese strenge Auslegung würde laut EPSM zu „signifikanten Marktverwerfungen“ führen. Die Dienstleister drängen daher auf eine europaweite Klarstellung bzw. Lösung. Entweder soll es eine längere Übergangsperiode mit Fall-Back-Möglichkeiten geben oder OTP (Wissen), Kartendaten (Besitz) und EMV 3DS (Inhärenz) sollen von der Aufsicht als SCA-Methode anerkannt werden.
Laut EPSM gebe es aus 12 EU-Ländern – darunter Frankreich, Italien, UK und Polen – positive Signale für eine solche Lösung.
Die Kommissionvertreter nahmen das Feedback aus dem Markt wohl dankbar entgegen, verwiesen jedoch auch darauf, dass die EBA nun die zuständige Stelle für Fragen zur Umsetzung der Regulatory Technical Standards zur SCA ist. Man will der EBA die angeführten Punkte jedoch übermitteln.
Bleibt also zu hoffen, dass die europäische Bankenaufsicht sich besinnt und doch eine europaweit einheitliche, marktgerechte Umsetzung der europäischen Zahlungsdiensterichtlinie (PSD2) ermöglicht. Der 14. September wird jedenfalls nicht der Stichtag zur europaweiten Einführung der Zwei-Faktor-Autorisierung im Zahlungsverkehr. Das steht nach der Mitteilung der FCA schon mal fest. Andere nationale Aufsichtsbehörden werden mit Sicherheit nachfolgen. Die BaFin steht einer Deadline-Verschiebung laut LZ ja ebenfalls nicht unaufgeschlossen gegenüber.
Leseempfehlungen
Die Sparkassen und die Volksbanken haben sich bekanntlich der Übermacht von Apple unterworfen und kündigen nun froh und stolz an, ihren Kunden bis zum Jahresende ApplePay anbieten zu können. Heinz-Roger Dohms bringt es auf den Punkt: „Apple Pay hat gewonnen, die Sparkassen verloren“. Dem ist nichts hinzuzufügen. Meinen Senf zu „ApplePay als digitale Wegelagerei“ dazu gab es hier.
Andreas Mundt, Präsident des Bundeskartellamts, wurde auf der Jahrespressekonferenz vergangene Woche um eine Einschätzung zu Facebooks Libra-Projekt befragt: „Die Kryptowährungen der Internetgiganten beschäftigen zunächst mal die Bankenaufsicht und die Zentralbanken. Ich bin aber überzeugt, dass das auch ein Thema für die Wettbewerbsbehörden werden kann“, sagte Mundt. Solche Projekte könnten zur Kundenbindung genutzt werden. „Wir sprechen nicht über einen Markt bei der Digitalisierung. Es geht um das hineinsickern in andere Märkte“, betonte der Wettbewerbshüter und verwies auf eine herausragende Bedeutung des Zahlungsverkehrs in diesem Zusammenhang. Deshalb habe man das Thema nun in der 9. Beschlussabteilung aufgehängt. Leiterin der B9 ist Birgit Krüger, vormalig Leiterin der Grundsatzabteilung des Amtes. Die Bank für internationalen Zahlungsausgleich (BIZ) – Bank der Zentralbanken – hat zum Thema „BigTech in finance“ einen aktuellen Report veröffentlicht.
Update 1.8.2019
Es gibt also doch noch einen gemeinsamen Aufschrei gegen den EBA-Irrsinn: Die „European Payment Institutions Federation“ (EPIF) schickte heute ein gemeinsames Statement an die EU-Kommission und die EBA. Darin fordern EPIF, Visa, Mastercard, die Händlerverbände EuroCommerce und E-Commerce Europe, die „European Association or Payment Service Providers for Merchants“ (EPSM), das „European Hotel Forum“ und die European Tourism Association einen europaweit einheitlichen Fahrplan zur Implementierung der „starken Kundenauthentifizierung“ (SCA).
„Um Störungen im E-Commerce und des europäischen Zahlungsverkehrs zu vermeiden, geht die Branche davon aus, dass die EBA weitere Klarheit über eine neue Übergangsfrist schafft“. 18 Monate wünschen sich die Unterzeichner. Das „Joint Industry Statement“ findet sich hier.
Die Dreistheit der EPSM lässt einen schon staunen. Die Verschiebung der 2FA Pflicht auf die angeblich nur zu 2/3 fertigen Issuer zu schieben, um vom eigenen Versagen abzulenken, ist aber auch durchaus transparent und verfängt hoffentlich nicht.
Welche Acquirer oder PSPs haben denn heute schon überhaupt in der ganzen Breite ihre Händler (auch die zitierten kleinen und mittleren) informiert, dass sie ein verpflichtendes Update ihres Paymentmoduls vornehmen müssen? Bei welchen deutschen Acquirern findet man dazu als Händler zB Infos auf deren Homepage?
Die von den Issuern aufgeschalteten Systeme und die informierten Kunden drehen derweil im Leerlauf, weil ihnen die 3DS Verfahren nirgends am Checkout begegnen.
Das wird ein heißer Herbst, fürchte ich, und wenn nun über 20 nationale Aufsichtsbehörden wieder aus lokalem Interesse Regulierungs-Arbitrage erlauben, ist das Durcheinander perfekt.
Ich finde das langsam echt unverschämt. Die Banken rackern sich mometan wegen der PSD2 richtig ab und der Handel schläft mal wieder. Jetzt mag ich ein kleines Licht am Ende der Nahrungskette sein, aber was da aus Brüssel kommt ist so frühzeitig kommuniziert worden, dass dies nicht unmöglich war.
Pingback: Die Fintech News der KW 27 im FinTech Podcast #214