Inside Regis24
Demo

PSD2: Chancen und Risiken

Matthias Nowak
19. September 2019

Mit der Payment Services Directive 2 (PSD2) ist Anfang 2018 eine EU-Richtlinie zu Zahlungsdiensten in die deutsche Gesetzgebung aufgenommen worden, die für einiges Aufsehen sorgt. Kein Wunder, eine ähnlich tiefgreifende Änderung gab es lange nicht.

Bis zum 14. September 2019 dauerte die Übergangsperiode, innerhalb derer Finanzinstitute, Zahlungsdienstleister, E-Commerce und FinTechs sich (und ihre Kunden) auf die PSD2-Änderungen einstellen und technische wie rechtliche Anpassungen vornehmen konnten.

Und Änderungen, davon gibt es einige.  

Wir fassen zusammen, was sich durch die PSD2 für Banken, für FinTechs, für Payment Provider und für User bzw. Kunden ändert.

PSD2: Was sich ändert

Mit der neuen Zahlungsdiensterichtlinie ändert sich zweierlei: Erstens ist nun die starke Kundenauthentifizierung (oft SCA genannt, für strong customer authentification) Pflicht. Das gilt sowohl für Onlinekäufe als auch für Überweisungen im Onlinebanking. 

Zweitens müssen nun Banken eine Schnittstelle zur Verfügung stellen, über die sowohl andere Banken als auch Drittanbieter – de facto Payment Services – auf die Konten der Kunden zugreifen können – solange diese ihre Erlaubnis dazu gegeben haben. Das Ganze hier noch einmal ausführlich:

PSD2-Änderung #1: Zwei Faktoren für stärkere Kundenauthentifizierung

War bisher zum Beispiel bei Onlinekäufen die Angabe der Kreditkartendaten ausreichend (also Kreditkartennummer, Gültigkeitsdatum und Prüfcode), reicht das nun nicht mehr aus.  

Online-Shops müssen für eine solche Zahlungsart als zusätzliche Authentifizierung ein weiteres Merkmal verlangen, beispielsweise einen kurzen Zahlencode, der per SMS oder WhatsApp verschickt oder in einer App generiert wird. 

Auch beim Onlinebanking wird eine stärkere Zwei-Faktor-Authentifizierung (2FA) vorgeschrieben, als sie die bekannten, gedruckten TAN-Listen leisten konnten. Diese gehören der Vergangenheit an und verlieren ihre Gültigkeit. 

Zwei-Faktor-Authentifizierung (2FA)

2FA steht für: 2-Faktor-Authentifizierung. Das bezeichnet den Identitätsnachweis eines Nutzers mithilfe der Kombination zweier verschiedener und unabhängiger Komponenten. 

Die erhöhte Sicherheit bei der 2FA wird durch zwei Maßnahmen gewährleistet: Zunächst müssen Authentifizierungs-Codes für jeden Zugriff neu generiert werden, und außerdem muss der User sich auf mindestens zwei dieser drei verschiedenen Arten identifizieren:

  1. Wissen – PIN/Geheimnummer, die im Kopf des Users gespeichert ist 
  2. Haben – beispielsweise ein Smartphone 
  3. Sein – Fingerabdruck, Gesichtserkennung, Iris-Scan etc. 

Die ebenfalls kursierende Abkürzung SCA steht letztlich für dasselbe: Strong Customer Authentification, also starke Kundenauthentifizierung.

 

 

 

 

 

In der Praxis, so hat es sich schon längst herauskristallisiert, wird die Mischung aus persönlicher Geheimzahl und dynamisch generiertem Code angewendet. Dieser besteht entweder aus einer alphanumerischen Zeichenfolge, die per Kurznachricht an den User gesendet oder vom Kunden mit einem Extra-Gerät generiert wird. Die Banken setzen inzwischen auf verschiedene Verfahren:

  • PhotoTAN: Im Online-Banking(-Browser) des Kunden wird ein Barcode angezeigt, der mit dem Handy abfotografiert wird. Daraufhin wird eine TAN generiert und die Buchung nach Freigabe durch den Kunden abgewickelt. 
  • MobileTan: Die TAN wird per SMS wird auf eine bei der Bank hinterlegte Handynummer gesendet. 
  • ChipTAN: Hierbei kommt ein TAN-Generator zum Einsatz. Das kleine Gerät kann bei der Bank bestellt werden. Es wird per USB oder Bluetooth mit dem Rechner verbunden. Führt man seine Bankkarte ein, erzeugt das Gerät eine TAN fürs Online-Banking. 

Während Banken also beinahe schon traditionelle Mittel für die 2FA nutzen, sieht das bei technischer orientierten Playern ein wenig anders aus: So bieten beispielsweise Alexa und Google Home optionale Freigabeprozesse per Fingerabdruck (Google Home) oder vierstelligem Code (Amazon Echo). Auch Apple Pay überprüft per biometrischer Erkennung.

Bei den Kreditkartenunternehmen wiederum hat sich eine Technologie namens 3D Secure 2.0 etabliert. Sie kann in Online-Shops zur Kaufabwicklung integriert werden. Hierbei handelt es sich um ein Protokoll, das dank einer größeren Zahl verfügbarer Datenpunkte und der Möglichkeit, Prüfregeln einzurichten, größere Sicherheit verspricht als die bisher übliche Eingabe der Kreditkartendaten über eine Online-Maske.

Keine Regeln ohne Ausnahme

Nicht ALLE Online-Zahlungen benötigen die starke Kundenauthentifizierung. 

  • Kleinbeträge von unter 30 Euro sind von der 2FA ausgenommen.
  • Whitelisting möglich: Kunden können ihre “Lieblings-Shops” auf eine Whitelist bei ihrer Bank setzen, sodass bei der Zahlungsautorisierung keine 2FA notwendig ist.
  • Es sind nur Online-Zahlungen innerhalb der EU von der PSD2 betroffen

 

 

 

 

PSD2-Änderung #2: Schnittstellenkompetenz für die Harmonisierung

Die Payment Services Directive 2 verfügt außerdem, dass Banken eine Schnittstelle zur Verfügung stellen müssen, mit denen andere Banken und Drittanbieter auf die Kundendaten zugreifen können. Jedenfalls solange diese dies wünschen und erlauben. Diese Schnittstellen-Regelung sorgt also, sofern sie funktioniert, für eine massive Öffnung des Bankenmarkts in Richtung FinTechs.

PSD2: Was sich für Verbraucher ändert

  1. Für das Online-Banking ändert sich das Authentifizierungsverfahren beim Login bzw. bei Überweisungen. Ausgedruckte TAN-Listen sind nicht mehr gültig, stattdessen muss eins der von der Bank angebotenen TAN-Verfahren genutzt werden, also Chip-TAN, PhotoTAN oder Mobile-TAN.
    Die Kosten für die Verfahren werden von den Banken natürlich an die Kunden weitergegeben. Die ChipTAN-Geräte kosten meist einen niedrigen zweistelligen Betrag. Für die Einmal-TANs, die per SMS verschickt werden, wird meist ein zweistelliger Centbetrag fällig.

  2. Bei Onlinekäufen wird ebenfalls eine 2-Faktor-Authentifizierung notwendig, wenn z.B. per Kreditkarte oder PayPal gezahlt wird. Dies geschieht meist durch eine per Smartphone-App gepushte oder per Kurznachricht verschickte TAN.

  3. Lastschrift, Rechnungskauf und Vorkasse sind naturgemäß nicht von diesen Änderungen betroffen.

PSD2: Was sich für E-Commerce und Online-Shops ändert

  1. Die Vorgaben der PSD2 richten sich eigentlich nicht an Online-Händler oder andere eCommerce-Service-Anbieter, sondern an die Zahlungsdienstleister – also Kreditkartenunternehmen wie PayPal, Klarna und so weiter sowie Banken. 
     
    Nichtsdestotrotz müssen Online-Händler darauf achten, dass die von ihnen eingesetzten Payment-Dienste mit PSD2 kompatibel sind und die entsprechenden Plugins einbinden.

  2. Die starke Kundenauthentifizierung wird weitläufig als Conversion-Killer betrachtet, weil dem Kunden beim Check-out ein neuer, weiterer Schritt aufgebürdet wird. Hier wird insbesondere der Online-Handel versuchen, die Nutzerführung so elegant wie unter den gegebenen regulatorischen Umständen möglich zu realisieren. 

PSD2: Was sich für Banken ändert

Banken sind nun verpflichtet, eine PSD2-konforme Datenschnittstelle anzubieten, und die entsprechende Dokumentation für die Implementierung für Payment Service Provider auch gleich mitzuliefern. 

Eine einheitliche Lösung gibt es zwar nicht im Sinne eines Industriestandards, da aber lediglich eine Handvoll Softwarehäuser für Realisierung der API-Anbindungen infrage kommt, wird ein Defacto-Standard wahrscheinlich das Ergebnis sein, auch wenn beispielsweise der HDE-Experte Ulrich Binnebößel auf etailment.de kritisiert, es gebe “zu viele Lösungen oder gar keine oder aber verschiedene Dialekte”. 

Auch beim Bundesverband deutscher Banken ist man wenig begeistert und warnt vor einem Gewinnrückgang von bis zu 40 Prozent im Privatkundengeschäft durch die Folgen der PSD2. 

PSD2: Was sich für FinTechs und Payment-Anbieter ändert

Die APIfizierung des Open Bankings eröffnet FinTechs natürlich eine Fülle von Möglichkeiten für Geschäftsmodelle für Apps und Services.

Falls denn alles funktioniert, wie es soll. Momentan sieht es noch danach aus, als blockierten sich diverse Player mindestens auf technischer Ebene dermaßen, dass die Bafin gar mit Duldung der europäischen Aufsichtsbehörde die Umsetzungs-Deadline aufweicht, um Banken und FinTechs hinter den Kulissen noch ein wenig Zeit zu verschaffen. Ausführlich ist das nachzulesen auf Finanz-Szene.de.

Für FinTechs und Payment-Anbieter gilt es, eine Lizenz der BaFin zu halten, die die Zugriffsrechte auf Kontodaten über die Banken-APIs bestimmen. Außerdem müssen die Zugriffe mit einem oder mehreren Zertifikaten identifiziert werden. Banken wiederum weisen sich beim automatisierten Zugriff ebenso (also per digitalem Zertifikat) bei den Payment-Dienstleistern aus. Nach der PSD2 müssen qualifizierte Zertifikate von einem in der EU gelisteten Trust Service Provider genutzt werden.

Die beiden Lizenztypen, die es gibt, AISP (Kontoinformationen) und PISP (Zahlungsauslösung), und die Liste von FinTechs, die diese beantragt oder bereits zugebilligt bekommen haben, illustrieren eine ganze Bandbreite von digitalen Banking-Geschäftsmodellen, die nun entstehen oder bereits entstanden sind: Multibanking-Apps sind genauso im Entstehen wie Bancassurance-Lösungen, Konto-Assistenten, Analyse-Tools, Wechsel-Services, Bonitäts- und Risiko-Prüfungen, Vermögensverwaltungen und mehr.

PSD2: Nebenwirkungen

Die dürfen nicht fehlen. Der Vollständigkeit halber hier also Dinge, die (neben dem Implementierungs- und Umsetzungschaos aufseiten der Banken) schief laufen:

Phishing-Betrüger nutzen die Thematik und die Unsicherheit der Verbraucher, um ihnen ihre Kontodaten abzuphishen. Die Verbraucherzentrale und das LKA Rheinland-Pfalz warnen jedenfalls vor betrügerischen Mails, in denen Bankkunden oder PayPal-Nutzer dazu aufgefordert werden, ihre Daten zu bestätigen, vorgeblich wegen der PSD2-Einführung. Die Portale, auf denen die Nutzer landen und ihre Daten preisgeben sollen, sind aber ebenso gefälscht wie die Mails, die dorthin verweisen. 

Fragen?
Immer her damit!

 

Lesen Sie auch

diese Beiträge der Kategorie eCommerce