PSD2 (Payment Services Directive) – Neue Regelung im Zahlungsverkehr
Daten- und Zahlungssicherheit rücken in Europa immer mehr in den Vordergrund. Dies zeigen auch die Regelungen der Zahlungsdienstrichtline der EU, die seit Januar 2018 in Kraft getreten und bis zum 14. September 2019 für alle verpflichtend umzusetzen ist.
Schon 2007 wurde mit der PSD ein rechtlicher Rahmen für Zahlungsdienste geschaffen, welcher durch Regulierung und Vereinheitlichung dem Finanzwesen im europäischen Raum viele Vorteile brachte.
Der Antrag für eine Neufassung der PSD erfolgte bereits 2013. Zwei Jahre später wurde dieser von der EU verabschiedet und die Mitgliedsstaaten aufgefordert, die Umsetzung bis Januar letzten Jahres vorzunehmen und die neue Richtlinie in ihre Gesetze aufzunehmen. Ziel dieser überarbeiteten Richtlinie ist es, den Wettbewerb zwischen Banken und Finanzdienstleistern zu fördern und gleichzeitig den Zahlungsverkehr sicherer zu machen. Die Sicherheitsvorschriften bei online Bezahlvorgängen werden vereinheitlicht und Schnittstellen im Finanzsektor eingeführt.
Die konkrete Umsetzung dieser Richtlinie und was sowohl für Händler, als auch Kunden wichtig ist:
Zwei-Faktor-Authentifizierung / 2FA ab 14. September 2019
Eine Maßnahme um die Betrugsraten zu senken ist die zweifache Authentifizierung des Käufers beim Bezahlen. Vor der Zahlungsabwicklung müssen Kunden künftig über zwei verschiedene, von einander getrennte Verfahren ihre Identität verifizieren.
Dabei werden zwei von den folgenden drei Kategorien abgefragt:
Wissen: wie zum Beispiel PIN oder Passwort
Besitz: wie zum Beispiel Kreditkarte, Smartphone etc.
Inhärenz: wie zum Beispiel Fingerabdruck, Gesichtserkennung, Stimme
Dies ist einerseits ein Schutz für Shop Betreiber und Banken vor Betrügern, auf der anderen Seite aber auch eine Absicherung für Käufer, da sichergestellt wird, dass kein Fremder ihr Konto missbraucht.
Um dabei die Bequemlichkeit des Onlineeinkaufs weiterhin zu gewährleisten und die Kaufabbruchraten durch den erhöhten Verifizierungsaufwand gering zu halten, wurden ein paar Ausnahmen und Sonderregelungen vereinbart.
Kleinbeträge
Bei einem geringen Einkaufswert unter 30 Euro muss vorerst keine verstärkte Authentifizierung vorgenommen werden. Nach fünf Zahlungen ohne 2FA bzw. wenn sich die Einkäufe auf mehr als 100 Euro summieren, muss wieder ein Nachweis erbracht werden.
Bei einem geringen Einkaufswert unter 30 Euro muss vorerst keine verstärkte Authentifizierung vorgenommen werden. Nach fünf Zahlungen ohne 2FA bzw. wenn sich die Einkäufe auf mehr als 100 Euro summieren, muss wieder ein Nachweis erbracht werden.
Whitelist
Die Zahlenden können bei ihrer Bank eine Empfängerliste hinterlegen, die sie für vertrauenswürdig halten. Wenn diese von der Bank genehmigt wurde, kann bei Transaktionen an diese Empfänger auf eine zweifache Authentifizierung verzichtet werden.
Transaktionen außerhalb der EU
Von dieser Richtlinie betroffen sind bloß Kaufabwicklungen bei denen sowohl der Käufer, als auch der Verkäufer in Europa ansässig ist.
B2B
Ebenfalls ausgenommen von der verstärkten Authentifizierungs-Maßnahme sind Transaktionen zwischen zwei Unternehmen, wenn dort eigene Vereinbarungen festgelegt werden.
3D- Secure Verfahren
Das 3D Secure Verfahren für die Kreditkarte ist eine Absicherung, um dem Missbrauch bei Diebstahl vorzubeugen. Die Kreditkartenbesitzer können bei ihrer Bank ein Passwort hinterlegen, dass bei Zahlungsabwicklungen abgefragt wird. Da dieses Passwort jedoch gerne vergessen wird, hat man schnell ein dynamischeres 3D Secure 2.0 etabliert. Anstatt des hinterlegten, statischen Passwortes werden Einmal-Passwörter bzw. Codes per SMS geschickt, wodurch die zusätzliche Sicherheitsabfrage über ein zweites unabhängiges Gerät stattfindet und gleichzeitig kein Passwort mehr gemerkt werden muss.
April 2019 – Seit ein paar Wochen ist gesetzlich festgelegt, dass Banken, die auf Anfrage der Händler kein 3D Secure Verfahren anbieten können, im Betrugsfall automatisch die Haftung übernehmen müssen.
Der Aspekt des Wettbewerbs im Finanzsektor wird durch das Prinzip des „open banking“ geregelt. In diesem Zuge profitiert der Kunde doppelt: es vereinfacht die Zahlungsabwicklung und steigert das Dienstleistungsangebot.
Open Banking (=API Banking)
Banken sind durch diese Richtlinie verpflichtet Drittanbietern bzw. Finanzdienstleitern über Schnittstellen den Zugang zu Bankdaten zu ermöglichen. Dadurch sind Banken nicht mehr die einzigen Anbieter für Zahlungsabwicklungen.
Was heißt das im Konkreten?
Durch die Bereitstellung von Daten und Funktionen (wie Onlinebanking) der Banken können Drittanbieter Finanzdienstleistungen gebündelt in einer Anwendung anbieten. Das führt zu einem einfacheren und komfortablen Banking für Kunden und einer gleichzeitigen Dezentralisierung der Finanzverwaltung.
Die Tatsache, dass nun für Nichtbanken die Möglichkeit besteht den Banken ihr unanfechtbares Monopol streitig zu machen, führt auf kurz oder lang dazu, dass der Kunden von neuen, attraktiven Angeboten profitieren werden. Um an dieser Stelle einem Missbrauch von sensiblen Daten vorzugreifen, müssen sich alle neuen Marktteilnehmer im Voraus von der BaFin prüfen und zertifizieren lassen.
Zusammenfassung
Zusammenfassend lässt sich wohl sagen, dass uns einige Veränderungen im Finanzsektor erwarten. Inwiefern durch die erhöhten Sicherheitsabfragen Kaufraten beeinflusst werden wird sich zeigen, wobei die technischen Möglichkeiten für eine bequeme Authentifizierung bereits vorhanden sind. Durchaus kritische Aspekte sind, trotz Sicherheitsvorkehrungen, der Datentransfer von kundenbezogenen Bankdaten und die Gefahr, dass durch Regelungen wie z. B. einer Whitelist besonders großen und umsatzstarke Onlinehändler, wie z. B. Amazon, profitieren, wohingegen die kleineren mit unbequemen Verifizierungsverfahren gebremst werden. Banken werden ebenfalls vor große Herausforderungen gestellt. Sie sind zukünftig nicht nur die, die im Betrugsfall haften sondern zudem potentiellen Konkurrenten Schnittstellen zur Datenbereitstellung anbieten müssen. Was mit dieser Richtlinie letztendlich gewonnen ist und welche Punkte in der nächsten Richtlinie überarbeitet werden wird sich in den nächsten Jahren zeigen.