Die European Banking Authority (EBA) hat jüngst verlauten lassen, dass es beim Starttermin zur Zwei-Faktor-Authentifizierung eine gewisse Flexibilität gibt. Was das für Banken und den Handel heißt, erläutert Zahlungsexperte Ralf Gladis.
springerprofessional.de: Was bedeutet "Flexibilität" hinsichtlich des Starttermins, wenn man auf die Probleme mit der SEPA-Umstellung zurückblickt?
Ralf Gladis: Die Umstellung auf SEPA-Lastschrift hatte zu ihrer Zeit eine deutliche Terminverlängerung erfahren. Es stand zwar frühzeitig fest, wie die Umstellung aussehen sollte, allerdings hatte der Handel die Umsetzung lange hinausgezögert und den Aufwand für die IT in vielen Fällen unterschätzt. Es zeichnete sich dann ab, dass zum Stichtag keine Lastschriften mehr erfolgen hätten können, wonach konsequenterweise eine Fristverlängerung eingeräumt wurde. Bei PSD2 ist die Sachlage anders.
Was heißt das konkret?
Hier waren die Fristen zwar ebenfalls frühzeitig bekannt, doch viele Details noch nicht final ausgearbeitet. Bei dem Kartenzahlungsprotokoll 3D Secure 2.0 waren einige für PSD2-Konformität wesentliche Bestandteile oder Ausnahmen erst ab Version 2.1 oder 2.2 integriert und für die Issuer und Acquirer somit erst spät zu bearbeiten. Im Falle von GICC, dem wichtigsten Kreditkartenprotokoll in Deutschland, ist das passende Protokoll erst am 20. Juni 2019 verabschiedet worden, nicht einmal drei Monate vor dem in Kraft treten der PSD2 und damit zu knapp für eine ordentliche Umsetzung. Deshalb hat sich die EBA bereiterklärt, bei Vorlage einer klaren Agenda mit Milestones einen zeitlichen Spielraum zu gewähren. Es gibt jedoch keine offizielle und eindeutig terminierte Verschiebung.
Womit tun sich die Finanzhäuser derzeit noch immer schwer und warum?
Für die Banken wird beispielsweise verlangt, dass sie Schnittstellen zur Anbindung von Third Party Providern (TPP) schaffen. Es existieren jedoch keine Standards für die Protokolle. Stattdessen wird der Markt sich selbst überlassen. Eine Konsolidierung braucht Zeit, auch wenn es vielversprechende Lösungen mit Potenzial gibt, die bereits viele Banken nutzen. Weitere Hürden: Die Banken müssen den Drittanbietern die Dokumentation für ihre Schnittstellen zur Verfügung stellen und die reibungslose und europaweite Abwicklung von Instant Payments - auch zwischen verschiedenen Banken - organisieren. Sie müssen PSD2-konforme Authentifizierungsverfahren für Händler und die eigenen Dienste bereitstellen und sich gleichzeitig die Ausnahmen der PSD2 zunutze machen, wie die Transaktionsrisikoanalyse.
Können sich Handel und Banken vielleicht enger verzahnen, um Probleme zu vermeiden?
Die Herausforderungen der beiden Akteure sind sehr unterschiedlich. Die Banken sind mit den eben genannten Punkten stark ausgelastet. Die Belastung für die Händler ist geringer, doch auch hier gilt es Voraussetzungen zu schaffen. Die Authentifizierung erfolgt im Wesentlichen über die Anbieter der Zahlarten, beispielsweise die Issuer-Bank bei Kreditkarten. Händler und deren Payment Service Provider müssen aber die passenden Prozesse und Formulare integrieren, wie beispielsweise 3D Secure 2.0 für Kartenzahlungen. Zudem müssen sie definieren, welche Kundendaten sie erheben und im Rahmen von 3DS-2.0-Transaktionen an die Issuer-Bank weiterleiten. Der Umfang der Pflichtdaten ist zwar gering und vergleichbar mit 3DS 1.0, doch mehr Daten bedeuten eine zuverlässigere Risikoanalyse und somit eine sinkende Notwendigkeit einer Zwei-Faktor-Authentisierung im Checkout. Das ermöglicht den sogenannten Frictionless Flow, bei dem die Sicherheitsabfragen für den Käufer komplett unsichtbar bleiben und das Einkaufserlebnis nicht stören.
Welche Möglichkeiten stehen den Geldhäusern offen, aus der Umsetzung vielleicht sogar monetäre Vorteile zu ziehen?
Monetäre Vorteile erzielen sie dann, wenn sie Händlern ein Produkt anbieten können, das ihnen und den Kunden einen echten Mehrwert bietet, beispielsweise Instant Payments für den POS. Sie können für den Händler die ELV-Lastschrift oder auch Electronic-Cash-Zahlungen ersetzen. Für die Händler ist das eine gute Sache, denn bei Instant Payments ist das Geld sofort verbucht und nicht mehr rückbuchbar. Die Banken halten mit einem derartig innovativen Produkt den Kontakt zum Handel aufrecht und verfügen über ein wichtiges Mittel, um sich der zunehmenden Menge alternativer Zahlungsarten wie Google Pay und Apple Pay zu erwehren, die in den Einzelhandel strömt.
Was könnten die negativen Folgen sein?
Verlieren die Banken diesen Konkurrenzkampf, drohen deutlich geringere Margen oder sogar höhere Kosten. Gleichwohl sollten sie nicht den Fehler begehen, Instant Payments als Premium-Service zu bepreisen. Vielmehr gilt es, ähnlich wie in den Niederlanden, einen neuen Standard zu etablieren. Kunden heutzutage erwarten bequeme Echtzeittransaktionen ohne Extragebühren. Die alteingesessenen Geldhäuser müssen strategisch denken, denn die Kunden werden sich mit hoher Wahrscheinlichkeit immer für die komfortabelsten und günstigsten Optionen entscheiden.