PSD2 und SCA – Blockierer im eCommerce?

Jahrzehntelange haben Kunden mehr Sicherheit im Onlinepayment gefordert. Nun soll sie kommen - dank PSD2

PSD2 ist die Abkürzung für „Payment Services Directive 2“, die grundlegend neue Regelung des EU-Binnenmarkts hinsichtlich digitalem Zahlungsverkehr. Mit ihr kommen Novellen von Sicherheitsrichtlinien zum Tragen, wie zum Beispiel SCA (Secure Customer Authentication). Letzteres wird im Vorfeld des Auflaufens der Frist stark diskutiert – ist in einem Zeitalter von Frictionless Payment eine Erhöhung der Reibung beim Checkout etwa wirklich geschäftschädigend?

Handelsverbände fordern Aufschub der EU-Richtlinie PSD2 (Payment Services Directive 2) – Kaufabbruchrisiken noch nicht zu beziffern – Vorweihnachtsgeschäft als kritische Phase …so und ähnlich lauteten die Meldungen und Argumente zum Thema PSD2 und SCA, dem Kürzel für die Starke Kundenauthentifizierung (Strong Customer Authentication). Vier Jahre nach der Verabschiedung der PSD2 auf EU-Ebene geschieht dasselbe, wie bei so viele EU-Verordnungen: kurz vor Ende der Übergangsfrist häufen sich die Beschwerden über zu kurze Umsetzungszeiträume. Dabei ist eigentlich nur die Bereitstellung der neuen Schnittstellen (APIs) von Banken im März 2019 recht nah am Zieldatum der Gesamtverordnung im September 2019.

Worum es eigentlich geht: Kundenvertrauen und Customer Centricity

Die PSD2 regelt jedoch bei weitem mehr, als die Hürde für unerlaubte Zugriffe auf das Onlinebanking stark zu erhöhen oder einen weiteren Sicherheitsfaktor für Onlineshops zu fordern. Sie kümmert sich um genau die Bedenken, welche Nutzer von Beginn an und berechtigterweise im Online-Bezahlen umtreibt.

Mehr Informationen: Payment Services Directive 2 (PSD2) – Grundlagen Und Erklärung Der EU-Regulation

Beispielsweise können Zahlungsdienstleister nun auf Basis der Einwilligung des Nutzers direkt auf Bankkonten zugreifen. Was sich eher nach endgültigem Kontrollverlust anhört, ist es am Ende genau nicht. Vielmehr wird der Bankkunde mit der PSD2 zum ersten Mal Herr über sein Konto und kann komplett frei entscheiden, welche Apps, Dienstleister und Onlineshops an sein Geld dürfen. Für diesen Komfort haben die Dienstleister einiges an Arbeit vor sich: Sie müssen stets beweisen, dass diese Einwilligung gegeben wurde, gültig ist und sich dabei in einem komplexen Szenario von Drittfirmen bzw. Payment Service Providern zurechtfinden.

Nur ein kurzer Exkurs hinter die Kulisse: Wer heute online mit einem Zahlungsdienstleister unter Verwendung einer Kreditkarte bezahlt, löst eine ganze Reihe an Prozessen und Dienstleisterinteraktionen aus. Der Acquirer („Kreditkartenbetreuende Händlerbank“) nimmt die Zahlung vom Merchant (Händler) entgegen. Der Acquirer sieht dann zu, wie er sich das Geld von der Bank des Kartenkunden besorgt. Dabei greifen bisher viele individuelle Szenarien – z.B. ob das Geld bei der Bank des Kartenausstellers liegt oder nicht, ob zwischen Händler und Kartenaussteller noch ein PSP (Payment Service Provider) geschaltet ist oder welche Authorisierung erforderlich ist. Kein branchenfremder Mensch kann da noch durchblicken – spätestens, wenn dann noch von 3D Secure die Rede ist und man bspw. von Mastercard eine TAN aufs Handy bekommt, hat man keinerlei Ahnung mehr, welche Firma hier eigentlich wem das Geld zu schiebt.

Standardisierung im Internet – und im Bezahlwesen

Alles neu macht die PSD2 – nicht ganz, aber doch einfacher. Ziel ist es, dass eine gegebene Zustimmung zu einer Zahlung nun einen Zahlungsdienstleiter direkt ermächtigt, das Geld von der Bank des Auftraggebers abzubuchen – und zwar per API. Ja, per Internetschnittstelle, welche die Banken im März 2019 in einer Sandbox (=Spielwiese) zum Testen bereitstellen mussten. Während also bisher der Kunde Spielball der Komplexität war, vor lauter 3D Secure, GiroPay, zwischengeschaltete Zahlungsdienstleistern und Pseudo-Vorkassesystemen nur die Augen verdrehen und klein bei geben konnte, soll nun ordentlich geregelt werden, was erlaubt ist, und was nicht – vor allem für alle Mitspieler gleich, egal ob Bank, Payment-Dienstleister, Fintech oder Onlineshop. Schlüsselelement sind hier die PISPs, Payment Inintiation Service Provider, welche nun ohne den Weg über die Kreditkartennetzwerke an das Geld der Kunden kommen. Das ist Chance und Bedenken zugleich – immerhin hat man schon ein gewisses Grundvertrauen in die gängigen Kreditkartenmarken, obwohl der ureigene Zweck „Kredit“ und „Karte“ wohl seit ApplePay und GooglePay schon längst mehr ein Akronym sein dürfte.

Funktionalitäten im On- und Offline Geschäft können ab September 2019 über APIs direkt und sicherer abgewickelt werden, anstelle für jede Funktion einen weiteren Dienstleister dazwischen zu schalten. Anstelle 5 Dienstleister für 5 Bezahlmethoden im Onlineshop anzubieten, kann nun ein Dienstleiter mehr oder weniger alles anbieten. Gleichzeitig kann die vielseits gepriesene Customer Centricity, die Kundenzentrierung deutlich erhöht werden, wie folgendes Beispiel zeigt: Ein Kunde bestellt bei einem Onlinshop einen Artikel und gibt dem Betreiber die Einwilligung, die Zahlung durchzuführen. Im Bestellstatus sieht der Kunde nun nicht nur seine Customer Journey (Ich möchte etwas, ich suche es aus, ich kaufe es) sondern auch seine Consent Journey: Ich habe zugestimmt, mit meinen Daten dies oder jenes zu tun, diese Unternehmen sind daran beteiligt, das sind die Gründe und aktuell befindet sich der gesamte Bestell- und Bezahlvorgang an Position X in der Prozesskette. Dabei wird durch PSD2 nun klar geregelt, wie sich alle Mitspieler zu verhalten haben – man könnte noch tiefer gehen und die Rollen, Verantwortung und Pflichten von Kontoinformationsdienste (AISP), Zahlungsauslösedienste (PISP), Third Party Provider (TPP) genauer und umfassender beschreiben. Gut, dass hier nun klare Spielregeln entstanden sind, die von Onlineshops im idealfall zur Schaffung maximaler Kundenzentriertung und Transparenz genutzt werden.

Muss es wirklich so kompliziert sein?

Wo die Grenzen des Onlineshops aufhörten, und der Zuständigkeitsbereich des Zahlungsdienstleisters begann, war die Grauzone groß und der Kunde im Zweifel sein eigener Anwalt. Hinzu kamen mehrere Accounts und Passwörter, Datenschutzerklärungen und Haftungsabgrenzungen – weil eben jeder nur seine eigene Dienstleistung im Blick hatte. Am Horizont warten neue Chancen: „Frictionless“ die reibungslose Zahlungsabwicklung und die Maximierung der Einfachheit sollen Kunden anziehen und binden. Convenience is King. Und damit die Sicherheit nicht auf der Strecke bleibt, ist es gut und richtig, dass starke Kundenauthentifizierung in Form von SCA zum Standard wird.

Konkret bedeutet dies für Onlinehändler, in Zukunft eine 2-Faktor Authentifizierung anbieten zu müssen. Genau das wünschen sich Kunden schliesslich schon lange: Eine höhere Standardisierung beim Onlineshopping bei gleichzeitig höherer Sicherheit, als einfach nur ein (übertragbares) Passwort eingeben zu müssen. Was für viele trotzdem nach Reibung und Mehraufwand klingt, lässt sich technisch jedoch smart lösen. Eine Benachrichtigung auf dem Handy, die den Karteninhaber fragt, ob eine soeben getätigte Zahlung tatsächlich authorisiert werden soll, verhindert wirksam den Missbrauch von Nutzeraccounts mit fest hinterlegter Bezahlmethode. Mit SCA und PSD2 wird der auf fragmentiertem Vertrauen aufgebaute Flickenteppich rund um Kreditkarten und ePayment also sauber geregelt und der eigentliche Bezahlvorgang für den Endkunden nachvollziehbarer. Ein gutes Beispiel sind hier auch die jüngsten Änderungen im Onlinebanking, wo durch die eingeführte Gerätebindung weniger Missbrauch möglich ist – eine sinnvolle Entwicklung, welche durch die Regulatorischen Technischen Standards (RTS) der PSD2 entstand.

Auf dem Silbertablett der DSGVO

Die PSD2 kann daher als Meilenstein der EU Verordnungen gesehen werden. Als eine der ersten Regulierungen, welche direkt auf das „Consent“- bzw. Einwilligungs-Prinzip der DSGVO aufbaut und das Thema Verbraucherrechte klar in den Vordergrund stellt, wird nun ein über die letzten Jahrzehnte kompliziert gewordenes Finanzumfeld sauber geregelt – ePayment und alles was dazu gehört. Und das Thema Bargeld? Nun, dass wir in 100 Jahren sicher keines mehr nutzen werden, lässt sich heute schon mit höchster Wahrscheinlichkeit vorhersagen. Ganz gleich, ob man das gut findet oder nicht: Die Generation, welche heute geboren wird, erlebt mit Sicherheit keine florierende Münzwirtschaft mehr. Was in 10-20 Jahren im DACH Raum tastächlich geschehen wird, lässt sich wiederum nur spekulativ erörtern. Dass wir ohne saubere Regulierung eines rein datenbasierenden Finanzsystems einen GAU erleben würden, ist jedoch glasklar – und ein weiterer Aspekt, warum wir vielleicht sogar auf eine PSD3 hoffen sollten. Denn Technologie entwickelt sich stets weiter, nicht zurück.

Doch werden Banken jetzt zu reinen Geld-Vorhalte-Instituten? Wurden sie bereits von den Zahlungsdienstleistern überholt? Werden die Commodity-Banken den Run auf NeoBanks überhaupt überleben? Genau wie in der Automotive-Branche, wo sich innovative Technologiefirmen nun als Automobilhersteller behaupten und etablierte Automobilmarken versuchen, sich rasch zu innovativen Technologiefirmen zu transformieren, bleibt es auch hier in jedem Fall spannend.

Philipp Schneidenbach ist Experte auf den Gebieten Enterprise Architecture, Governance, Risk und Compliance. In seiner derzeitigen Position bei Materna vereint er die Erfahrung aus mehr als 25 Jahren Beratung und Linienverantwortung in verschiedenen Industriezweigen und Märkten. Als Autor, Researcher und Speaker engagiert er sich unter anderem in Organisationen und Berufsverbänden wie der IEEE, ISACA und MoreThanDigital.

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More