Bereits im Oktober 2015 wurde die überarbeitet Richtlinie PSD2 verabschiedet. Sie soll den Online-Zahlungsverkehr in der EU sicherer machen, den Verbraucherschutz stärken, Innovationen fördern und den Wettbewerb im Markt steigern. Die Umsetzung erfolgte in zwei Stufen.
Teil eins der Richtlinie trat im Januar 2018 in Kraft und sorgte beispielsweise dafür, dass Online-Zahlungen günstiger wurden, indem das sogenannte Surcharging verboten wurde. Es hatte Online-Händlern ermöglicht, unter bestimmten Bedingungen von ihren Kunden eine Gebühr für die Verwendung bargeldloser Zahlungsmittel zu nehmen.
Noch nicht umgesetzt wurde 2018 die Verpflichtung zur starken Kundenauthentifizierung, um Betrügereien im Online-Handel zu erschweren, sowie die Öffnung der Zahlungskonten für "Dritte", insbesondere FinTechs. Beides wurde erst einmal in technischen Standards näher spezifiziert. Mehrwerte für den Verbraucher sollen beispielsweise durch neue Kontoinformations- und Zahlungsauslösedienste entstehen.
Konsumenten können sich nun Kontoinformationen von verschiedenen Banken in einer App anzeigen lassen. Um eine Überweisung zu veranlassen, müssen sich Kunden nicht mehr extra in ihr Online-Banking-Konto einloggen. Wir haben Thomas Feiler, Leiter Produkt-Management beim Finanztransaktions-Dienstleister equensWorldline gebeten, für COMPUTERWOCHE-Leser die wichtigsten Fragen zu PSD2 zu beantworten.
Worum geht es der EU mit PSD2?
Die Richtlinie zielt darauf ab, die Weiterentwicklung moderner Bezahlverfahren zu fördern. Sie soll Verbraucher besser schützen, wenn diese online bezahlen. Darüber hinaus soll sie mobile und digitale Ansätze voranbringen sowie den internationalen Zahlungsverkehr sicherer machen. Ein weiteres Ziel besteht darin, FinTech-Startups und vergleichbare
Anbieter zu stärken, indem etablierte Banken verpflichtet werden, Schnittstellen bereitzustellen, über die andere Dienstleister auf Kontodaten zugreifen können. Dieses Konzept nennt sich Open Banking.
Der EU geht es also zum einen darum, Innovationen im Finanzsektor zu fördern und mehr Wettbewerb zu schaffen. Zum anderen will sie den Verbraucherschutz stärken und die Sicherheit im Zahlungsverkehr erhöhen. Von PSD2 profitieren in erster Linie die Kunden. Standardisierte Regeln für Banken und Zahlungsdienstleister, Transparenz und fairer Wettbewerb kommen ihnen zugute.
Welche Folgen hat die PSD2-Richtlinie für Verbraucher?
Banken müssen APIs bereitstellen, so dass externe Dienste auf Kundenwunsch an die Kontodaten von Bankkunden gelangen können. Die ausdrückliche Zustimmung des Kunden für jeden einzelnen Anbieter und dessen Zertifizierung sind dabei unabdingbare Voraussetzung. Erteilen Nutzer beispielsweise einer Finanz-App die Erlaubnis, können sie sich von dieser die aggregierten Kontoinformationen von verschiedenen Bankkonten (auch von unterschiedlichen Instituten) in aufbereiteter Form anzeigen lassen. Außerdem erhalten Kunden die Möglichkeit, direkt auf der Seite des Online-Händlers oder Dienstleisters ihres Vertrauens eine Zahlung auszulösen. Sie können Geld überweisen, ohne zuvor ihr Online-Bankkonto aufsuchen zu müssen. Natürlich gilt auch hier: Ohne die Zustimmung des Kunden geht gar nichts.
Der zweite wichtige Aspekt ist die Einführung einer starken Kundenauthentifizierung (Strong Customer Authentication = SCA). Dabei handelt es sich um eine Form der Multi-Faktor-Authentifizierung (MFA), was bedeutet, dass die zweifelsfreie Identifizierung des Kunden über mehrere Merkmale erfolgen muss. Die können aus den Bereichen Wissen (PIN, Passwort), Besitz (Karte, Mobiltelefon) oder Inhärenz (biometrische Merkmale wie Fingerabdruck, Iris oder Standort) stammen. Dadurch soll mehr Sicherheit beim elektronischen Bezahlen garantiert werden. Entsprechend sind auch diese Maßnahmen verpflichtend.
Wie ist die Mehrfaktor-Authentifizierung umzusetzen?
Für das Online Banking gibt es zwei gängige, weit verbreitete Verfahren. Viele Bankkunden bekommen schon heute eine transaktionsgebundene TAN auf ihr Mobiltelefon gesandt. Das geschieht entweder per SMS oder via Push-Nachricht über die App ihres Geldhauses. Nutzer, die kein Mobiltelefon besitzen oder es nicht dafür nutzen wollen, können ein Kartenlesegerät nutzen, das sie an ihren PC anschließen.
Die PSD2 legt hier lediglich den Rahmen fest. Bei der Ausgestaltung der Details lässt sie den Unternehmen Spielraum - etwa in der Frage, welche Merkmale in Kombination abgefragt werden sollen. Auf diese Weise bleibt ein Wettbewerb um die besten und nutzerfreundlichsten Lösungen gewährleistet. In Zukunft könnte dieser Umstand biometrischen Verfahren einen deutlichen Schub geben. Aber auch der zukünftige Einsatz von elektronischen Identitäten stellt ein großes Potenzial dar.
Warum ist die Mehrfaktor-Authentifizierung sicherer?
Bei der Zwei-Faktor-Authentifizierung müssten Angreifer nicht nur die Zugangsdaten ihres Opfers stehlen oder hacken, sie müssten auch etwas Physisches wie das Handy oder die Karte in ihren Besitz bringen. Außerdem sind die TANs transaktionsgebunden - im Gegensatz zu den früheren TAN-Listen. Kommt Biometrie zum Einsatz, wird es für Kriminelle noch schwieriger.
Muss ich als Händler/Anbieter zwingend eines dieser Verfahren nutzen?
Prinzipiell können Händler auch eine Zertifizierung erlangen, die es ihnen erlaubt über die Schnittstellen der Banken auf Kontodaten zuzugreifen. Eine Verpflichtung dazu besteht allerdings nicht. In diesem Fall läge allerdings tatsächlich auch die Verantwortung für die starke Kundenauthentifizierung in den Händen des Händlers. Es ist jedoch davon auszugehen, dass die wenigsten Händler diesen Schritt anstreben, da sich der damit verbundene Aufwand nicht lohnen wird.
Ansonsten liegt die Verantwortung dafür, die PSD2-Konformität der Zahlungen sicherzustellen, bei den Zahlungsdienstleistern. Zunächst würden sich also diese strafbar machen. Dennoch empfiehlt es sich für Händler darauf zu achten, dass die Dienste, mit denen sie zusammenarbeiten, die Vorgaben der PSD2 erfüllen.
Kunden können Händler, bei denen sie häufig einkaufen, auf eine sogenannte Whitelist setzen. Diese Liste wird von der Bank des Kunden verwaltet und die darin eingetragenen Händler als vertrauenswürdig erachtet. In diesem Fall kann auf eine starke Kundenauthentifizierung bei jedem Kauf verzichtet werden. Verbraucher können damit genauso bequem shoppen, wie bisher.
Gibt es Strafen für diejenigen, die nicht PSD2-ready sind?
Unternehmen, die keine PSD2-konformen Zahlungen anbieten, müssen prinzipiell mit Strafen und Bußgeldern rechnen. Das gilt auch, wenn sie mit Dienstleistern kooperieren, die ihrerseits die Richtlinien nicht erfüllen und nicht über die Lizenz einer europäischen Aufsichtsbehörde verfügen. Die Missachtung der PSD2 stellt außerdem einen Wettbewerbsverstoß dar, was zu Abmahnungen führen könnte.
Gibt es Fälle, in denen die Verfahren gemäß PSD2 nicht verbindlich sind?
Transaktionen mit geringem Wert oder geringem Risiko sind von der Pflicht zur starken Kundenauthentifizierung ausgenommen. Dazu zählen Transaktionen mit einem Volumen von weniger als 30 Euro - solange der innerhalb von 24 Stunden SCA-frei gezahlte Gesamtbetrag 100 Euro nicht übersteigt. Außerdem wird nach jeder fünften Transaktion ebenfalls eine starke Kundenauthentifizierung angefordert.
So bleibt sichergestellt, dass sich ein Angreifer nicht durch viele kleine Transaktionen einen hohen Gesamtbetrag verschaffen kann. Auch Transaktionen mit geringem Risiko können ohne SCA abgewickelt werden. Die Einstufung erfolgt anhand der Betrugsraten des Kartenausstellers und des Drittdienstleisters, der den Bezahlvorgang abwickelt.
Was verändert sich für Verbraucher durch PSD2 konkret?
Sie müssen sich im Rahmen von Zahlungsvorgängen regelmäßig mit mehreren Faktoren identifizieren. Da die neuen Verfahren die alten ersetzen, müssen Verbraucher jedoch nicht selbst aktiv werden. Die ausgedruckte TAN-Liste gehört nun endgültig der Vergangenheit an. Wer sie bisher benutzt hat, muss auf ein anderes Verfahren wechseln: Push-TAN per App, SMS-TAN oder ein Kartenlesegerät.
Was müssen Händler auf der technischen Seite tun?
Die Verantwortung für die technischen Systeme liegt bei den jeweiligen Zahlungsdienstleistern, also den Anbietern von Kreditkarten, Drittdienstleistern und Online-Bezahllösungen wie PayPal. Nutzen Händler einen Payment Service Provider als Dienstleister zur zentralen Verwaltung der verschiedenen Zahlungsoptionen, stellt dieser sicher, dass nur PSD2-konforme Bezahlarten angeboten werden.
Mit PSD2 müssen Banken offene APIs für Dritte anbieten. Ist das ein Wettbewerbsnachteil?
Zu Beginn haben manche Banken ihre Geschäftsmodell bedroht gesehen, da sie erhebliche Kosten bei zunächst keinem sichtbaren Profit befürchteten. Inzwischen dürften aber die Chancen der erzwungenen Öffnung in den Blickpunkt geraten sein. Einer Umfrage von Accenture zufolge erwartet die Mehrheit der rund 100 befragten Großbanken sogar Ertragssteigerungen um bis zu zehn Prozent durch Open Banking. Sie setzt auf plattformbasierte Services beziehungsweise kostenpflichtige Mehrwertdienste und hoffen überdies, durch maßgeschneiderte APIs die heute üblichen Wege der Bankanbindung durch Host-to-Host, Swift oder Ebics zu ersetzen.
Offene APIs öffnen die Türen zu einer engeren Zusammenarbeit der Banken mit ihren Kunden und schaffen die Voraussetzung für die Automatisierung von Prozessen im Corporate Banking. Dazu müssen allerdings nicht nur Banken und ihre Kunden, sondern auch ERP-Anbieter, Dienstleister und auch Fintechs mitmachen. In enger Zusammenarbeit mit den Kunden lassen sich im besten Falle ganz neue Angebote rund um die Auswertung und Übermittlung von Daten schnüren.
Wie werden sich die Finanzinstitute durch PSD 2 verändern?
Eine Prognose grenzt an Kaffeesatzleserei. Die IT-Berater von Deloitte weisen in ihrem Beitrag "'Schreckgespenst PSD2' und Open Banking" auf die Chance hin, dass die einfache Umsetzung von PSD2 mit dem einzigen Motiv, regulatorischen Anforderungen zu genügen, zu kurz greife. Ein solcher Ansatz könne den Verlust von Kundenkontaktpunkten bedeuten und langfristig zu Einbußen von Marktanteilen sowie Erträgen führen. Es komme jetzt darauf an, die Chancen von Open Banking entschlossen zu nutzen.
Diese lägen in neuen Geschäftsmodellen und Mehrwertdiensten, die sich aus einer engen Zusammenarbeit mit Kunden, aber auch mit Zahlungsdienstleistern, FinTechs sowie Payment-Dienstleistern wie Apple, Google oder Alibaba ergäben. Banken sollten sich demnach an Unternehmen abseits der Kreditwirtschaft orientieren, die teilweise einen jahrelangen Erfahrungsvorsprung in Sachen Datenauswertung und Customer Experience Management hätten. "Vom Kunden aus gedachte Lösungen schaffen Innovationen und - bei entsprechender Kundenakzeptanz - lukrative Aussicht auf Erträge", heißt es bei Deloitte. Diese Fähigkeiten könnten sich etablierte Kreditinstitute zu eigen machen, "indem sie adaptieren und nachahmen, einkaufen oder kooperieren".
Laut Deloitte bedeutet PSD2 den Einstieg in eine Open-API-Economy. Die bereits durch die Niedrigzinsphase gebeutelten Kreditinstitute stünden vor immensen Herausforderungen, weil der Wettbewerb intensiver werde uns traditionelle Wertschöpfungsketten in Auflösung seien. Das alles führe zu einem neuen "Geschäftsmodell Bank", bei dem die Tradionstinstitute aber einiges in die Waagschale zu werfen hätten: Markterfahrung etwa, ihre bei Fintechs begehrte Bankenlizenz, einen oft treuen Kundenstamm, eine funktionierende Infrastruktur und eine Kapitalausstattung, die auch Zukäufe zulasse.
In Sachen Digitalkompetenz, Geschwindigkeit, Innovation, schlanke Organisation und Kundenzulauf hätten aber Drittanbieter und Fintechs die besseren Karten. Für die traditionelle Kreditwirtschaft gilt es also spätestens jetzt, das Ruder umzuwerfen, sich für Dritte zu öffnen, die eigene Kultur zu hinterfragen und Innovation in den Vordergrund zu schieben.