Covididence 2020 im Zahlungsverkehr

Covid-19 und SCA verhelfen altbekannten Payment Features zu neuem Glanz

Die guten Vorsätze

Neujahrstag 2020. Viele kämpfen mit den wohlbekannten Spätfolgen einer durchzechten Nacht und der ein oder andere sieht vielleicht zum ersten Mal skeptisch den in der Vorwoche so mühselig zusammengesuchten guten Vorsätzen für das neue Jahr entgegen. Was dann aber im Frühjahr 2020 passiert, hat und konnte niemand in seinem Maßnahmenplan berücksichtigen. Ein kleines Virus aus dem fernen China, was auf den Namen „Covid-19“ hört, sollte sich in kürzester Zeit zur Pandemie entwickeln und ab dem Frühjahr 2020 den gesamten Globus in festem Griff halten. Die durch die Pandemie notwendig werdenden Restriktionen im öffentlichen und teils auch privaten Leben haben weltweit die Menschen in ihrem Lebenswandel stark beeinträchtigt und zwangsläufig auch verändert. Die wirtschaftlichen und gesellschaftlichen/sozioökonomischen Folgen sind selbst nach einem Jahr „Covid-Gefangenschaft“ nur schwerlich absehbar oder abschließend vorhersagbar.

Einbruch der Wirtschaftskraft (bedingt durch unterschiedliche Restriktionen und/oder verschiedenste Ausprägungen von Lockdowns), Einschränkungen in der Reisefreiheit, der besondere Schutz von Risikogruppen, mentaler Overkill des Pflegepersonals und vieles mehr sind die Auswirkungen, welche wir im Jahr 2020 alle zumindest informell wahrgenommen haben. Eine ganz besondere Aufmerksamkeit der Payment Branche lag sicherlich auf dem sich daraus resultierenden veränderten Kauf- und Zahlverhalten der so eingeschränkten Bürger.

Gleichzeitig hat aber die Payment Welt auch noch ein altes Geschwür aus 2019 mit nach 2020 hinübergerettet – die „Starke Kundenauthentifizierung“ oder auch SCA genannt, die ja laut der Europäischen Bankenaufsichtsbehörde (EBA) zum 01.01.2021 scharf geschaltet werden musste. Ein jeder Zahlungsdienstleister dürfte zu Anfang 2020 die anstehenden SCA Anpassungen in seinen Zahlungssystemen wohl eher zu den notwendigen Übeln als zu den guten Vorsätzen für das Jahr 2020 gezählt haben.

Betrachtet man nun die 12 zurückliegenden Monate, so kann man mit Gewissheit festhalten, dass das SCA Mandat in Koexistenz mit der Pandemie die Payment Welt stark verändert haben, und sogar alte Bekannte des Zahlungsverkehrs aus deren Dornröschenschlaf wieder ans Tageslicht befördert haben. Vielleicht war es in diesem Fall nicht der holde Prinz, der diese Kandidaten aus ihrem „Jahrhundertschlaf“ wachküsste, sondern vielmehr die zwei Schreckgestalten Covid-19 und SCA, welche mit ihren hässlichen Fratzen das Erwachen beschleunigten.

Die Entwicklung über das Jahr 2020

Wie uns bestens bekannt ist, hat zu Beginn 2020 die Region um die 11 Millionen Metropole Wuhan in China das Virus „exportiert“. Dieses hat dann in nie dagewesener Weise eine Missionierung des Erdballs in kürzester Zeit vorgenommen. Bei uns in Deutschland (wie auch vielen anderen europäischen Ländern) war dann mit dem ersten Lockdown am 23.03.2020 der erste Zenit erreicht. Eine weltweite Ausbreitung in nur drei Monaten kann man aus virologischer Sicht durchaus als Erfolg verbuchen.

Verglichen damit waren die SCA Maßnahmen, welche im gleichen Zeitraum durchgeführt wurden, eher gering, wenn dennoch partiell intensiviert (z.B. bei den Issuern) anzusehen. Bedingt durch Mandate der Kreditkartenorganisationen, die natürlich dem großen Masterplan der EBA folgend ihre eigenen Meilensteine passend für den 01.01.2021 definierten, hatten sicherlich die kartenherausgebenden Institute bis zum April 2020 einen deutlich höheren Implementierungsaufwand vorzunehmen, als dies in gleichem Zeitraum auf der Akzeptanzseite der Fall war – deshalb eben auch nur eine partielle Anstrengung des Ökosystems der Zahlungsdienstleister.

Aber auch der Akzeptanzseite wurden Mandate der Kreditkartenorganisationen in den Kalender eingetragen, die diese dann ab Mitte des Jahres ereilten (EMV 3DS2.1+ Mandat zum 01.07.2020 und das EMV 3DS 2.2 Mandat für Visa zum 18.10.2020). Dieses Ökosystem auf der Akzeptanzseite – bestehend aus Acquirern, deren Prozessoren, den PSPs, den Netzbetreibern und den 3DS2 Dienstleistern – war also gezwungen, sich technisch auf diese Erweiterungen fristgerecht einzustellen.

Ach ja, und dann gab es ja noch einen nicht ganz unwichtigen Teilnehmer auf der Akzeptanzseite, nämlich den Händler oder Akzeptanznehmer. Und an dieser Stelle haben wir die Schwachstelle der SCA Definition erkannt. Man kann nun nicht sagen, dass die Händler in Ihrer ureigenen Rolle eine pauschale Schwachstelle darstellen, sondern muss vielmehr festhalten, dass die SCA per Definition dieses letzte Glied der Akzeptanzwelt nicht ausreichend bei der Umsetzungs-Mandatierung berücksichtigt hat. Grund dafür ist wieder einmal die nicht abschließend und konsequent zu Ende gedachte „Befehlskette“ der Zahlungsaufsicht. Natürlich kann die Aufsicht (BaFin/EBA) nur die Beaufsichtigten (Zahlungsdienstleister) reglementieren. Aber dann blind darauf zu vertrauen, dass diese Beaufsichtigten aufgrund der diesen auferlegten Mandate den Markt in Eigenregie revolutionieren und die ihnen abverlangten Peinigungen an die „dahinterliegenden Straftäter“ weiterreichen werden, war wohl etwas zu kurz gedacht. Der Markt wird althergebracht nach dem „Henne – Ei – Prinzip“ regiert. Und diesem folgend war es den Akzeptanzgebern fast unmöglich, die Händler von den heilbringenden Wohltaten der SCA zum Einsatz derselben zu bewegen.

Ungeachtet der Querelen der SCA schrieb das Covid-19 Virus seine Erfolgsgeschichte fort und das in zunehmendem Tempo.

Die Schwächen in der SCA Umsetzung auf der Akzeptanzseite

Auf der Akzeptanznehmer-Seite trennte sich in Bezug auf die vorzunehmenden SCA Anpassungen zu Mitte des Jahres die Spreu vom Weizen. So hatten diejenigen Händler, welche über ein Direktverkaufs-Modell („Direct Sales“) ihre Ware an den Mann brachten, recht schnell zumindest einen Masterplan errechnet, der sie zum Ende das Jahres befähigen sollte, die SCA gemäß den gültigen Anforderungen umsetzen zu können.

Viel schlechter traf es diejenigen Marktsegmente, die ihre Ware über indirekte Verkaufswege veräußerten. Bedingt durch die chronologische Trennung von Bestellreservierung und Zahlungseinzug waren mitunter in den sukzessiv aufeinanderfolgenden Teilprozessen der Zahlungsdurchführung unterschiedliche technische Dienstleister – ja z.T. auch vertraglich über mehrere Akzeptanzstellen verteilte Dienstleister – mit dem Prozessing der Einzelaufgaben betraut. Das machte eine SCA konforme Abwicklung bisweilen unmöglich.

Ganz besonders betroffen war die Reise- und Autovermietungsbranche (T&H für „Travel and Hospitality“), bei welchen oftmals Reservierungen weit vor der Inanspruchnahme – und damit dem Zahlungseinzug – der jeweiligen Dienstleistungen erfolgten. Die oftmals über Online-Reiseagenturen (OTA für „Online Travel Agency“) gebuchten Reisepakete wurden von unterschiedlichen Leistungsträgern (Hotel, Fluglinie, Mietwagen, etc.) zu einem viel späteren Zeitpunkt eingezogen. Und für dieses Vorgehen nutzten schon vor SCA diese OTAs virtuelle Kreditkarten als Einmal-Zahlungsmittel. Mit diesem Instrument konnten die OTAs den Zahlungspflichtigen direkt an sich binden, ohne dass der Zahlungsvorgang zwischen Leistungserbringer und Karteninhaber direkt abgewickelt wurde. Da man aber aufgrund der SCA Definition wusste, dass virtuelle Karten von der SCA Pflicht ausgenommen sind, wurde somit die Nutzung von virtuellen Karten seitens der OTAs umso mehr als probates Mittel zum Zweck genutzt. Diese Renaissance der virtuellen Kreditkarten war sicherlich nicht im Sinne der Leistungsträger, da man damit die Bindung an den Karteninhaber nur noch mehr vom Leistungsträger entfremdete – zumal ja auch die OTAs diesen Service nicht ohne entsprechenden Obulus an den Leistungsträger erbrachten.

Mit den SCA Anforderungen wurde aber auch die Forderung nach einem interaktiven Datenaustausch zwischen den beteiligten Dienstleistern lauter (Nutzung des sog.  MIT-Frameworks [1]). Diese Forderung wiederum bedingte umfassende Anpassungen in IT-Systemen und Kommunikationsprotokollen der entsprechenden Dienstleister. Wie gesagt, bedurfte die Schaffung dieses Frameworks unterschiedlichster Anpassungen bei unterschiedlichsten Dienstleistern, was realistisch betrachtet – eine Umsetzung zum Jahreswechsel 2020/2021 unmöglich machte.

Die Kreditkartenorganisationen haben aber diesen Missstand gerade noch rechtzeitig erkannt und aufgrund der Multiplexität dieses Dienstleisteruniversums eine Möglichkeit geschaffen, die betroffenen Transaktionen ohne Nutzung von virtuellen Karten und ohne Nutzung von MIT-Frameworks durch eine entsprechende MOTO-Kennzeichnung der Transaktionen herbeizuführen. Auch das bedurfte natürlich Anpassungen im Akzeptanz-Ökosystem, war aber deutlich einfacher zu realisieren, da man diese „Um-Kennzeichnung“ zentral auf den Maschinen der Akzeptanzgeber implementieren konnte.

 

MIT-Framework als mächtiges SCA Instrument

Das zuvor beschriebene MIT Framework ist sicherlich die Ultima Ratio in der Umsetzung der SCA Anforderungen – insbesondere dann, wenn der Geschäftsvorfall über indirekte Vertriebsorganisationen, wie z.B. OTAs, realisiert wird. Allerdings sind per Definition einige Bedingungen an die Nutzung so eines Frameworks gebunden, die über die gesamte Dienstleistungskette zu beachten sind. Gleichermaßen ist aber auch zu beachten, dass die bei diesen unterschiedlichen Leistungsträgern zum Einsatz kommenden Akzeptanzwege (ECOM, MOTO, POS, etc.) mitunter in ein und demselben MIT-Vorgang Anwendung finden können.

Und genau an dieser Stelle kommt ebenfalls ein der Zahlungswelt nicht neu erscheinender alter Gefährte auf das Diskussionspodium zurück: die Schaffung einer „Omnichannel Lösung“. Der Gedanke, mit Omnichannel-Produkten Zahlungen, welche z.B. über ein ECOM Portal autorisiert wurden, später aber beim Leistungserbringer über ein POS-Device zum Einzug zu bringen und das dann idealerweise auch noch SCA konform – also z.B. unter Zuhilfenahme eines MIT-Frameworks, ist somit die logische Konsequenz aus der Suche nach einer Dienstleister- und Plattformübergreifenden Lösung eines gesamtheitlichen MIT-Framworks.

Prädestiniert für die Realisierung einer solchen Lösung wären Netzbetreiber (die ja i.d.R. auch ECOM- und MOTO-Lösungen anbieten) oder aber PSPs, da beide Parteien heute schon Teile dieser Omnichannel-Lösung auf ihren Plattformen verarbeiten. Es bleibt abzuwarten, wer hier in 2021 den Staffelstab als erster aufnimmt.

In 2019 und 2020 haben wir bereits zwei renommierte PSPs in Deutschland gesehen (Computop und Unzer), die ihre ECOM/MOTO Plattformen um das Präsenzgeschäft erweiterten. Sicherlich ist dieser Schritt in erster Linie vor dem Gedanken der Erweiterung des Leistungsportfolios und der dazugehörigen Marktsegmente zu sehen. Allerdings bietet er auch die perfekte Absprungbasis für die Realisierung einer Omnichannel-Lösung. Die Netzbetreiber sollten also jetzt gewarnt sein, ihre Plattformen in Richtung Omnichannel zu erweitern. Nur so können deren Plattformen alle Geschäftsvorfälle mittel- bis langfristig SCA-konform abwickeln. Dazu kommt die steigende Anzahl an ECOM Transaktionen, die nicht zuletzt bedingt durch die Covid-19 Pandemie ausgelösten Veränderungen im Kaufverhalten der Bürger zum Umdenken bei den Netzbetreibern auffordert. Es bleibt also abzuwarten, wer hier in 2021 den Staffelstab als erster aufnimmt.

 

Fazit ist: Covid-19 und SCA in Kooperation haben den Zahlungsverkehr in Richtung der digitalen Zahlungsvorgänge verlagert (das inkludiert auch die Reduzierung des Bargeldgeschäftes) und verlangen ebenfalls Plattformübergreifende Lösungen im Sinne des Omnichannel-Ansatzes. Auch, wenn also die SCA augenscheinlich in vollem Umfang in Kraft getreten ist [2], so wird sie dennoch die Entwicklung im Zahlungsverkehr auch in 2021 maßgeblich mitbestimmen.

 

 

 

[1] MIT steht für „Merchant Initiated Transaction“. Dieser Transaktionstyp ist von der SCA befreit und kann dann angewandt werden, wenn ein Händler Zahlungen ohne Anwesenheit des Karteninhabers einziehen will. Die Nutzung eines MIT-Frameworks in Verbindung mit „indirect sales“-Vorgängen ist eine präferierte Vorgehensweise der Kreditkartenorganisationen für die T&H Branche, bedingt aber Anpassungen in den Systemen aller betroffenen Dienstleister dieser Prozessing-Kette und bedingt gleichermaßen die SCA konforme Kommunikation dieser betroffenen Dienstleister untereinander mit zusätzlichen SCA Werten.

[2] „in vollem Umfang“ inkludiert hier die EWG weiten „Ramp Up“ Pläne der nationalen Aufsichten, welche teils in monatlichen Schritten bis Ende März 2021 die 100%-ige Anwendung der SCA vorsieht

„Die SCA-Einführung: eine 5-Minuten Terrine?“

Am 14.09.2019 hat das Martyrium der europäischen Zahlungsvielfalt im elektronischen Zahlungsverkehr begonnen

Was bisher geschah …

Als die Europäischen Kommissionäre sich seinerzeit Gedanken über eine Novellierung der PSD1 machten, die am 01. November 2009 in Kraft getreten ist, war damals neben dem Gedanken der Wettbewerbsgleichheit auf dem Zahlungsverkehrsmarkt auch der Wunsch nach höherer Sicherheit im elektronischen Zahlungsverkehr einer der treibenden Faktoren. Sehr noble und auch herausfordernde Ziele, die sicherlich dem Marktgeschehen im elektronischen Zahlungsverkehr geschuldet waren.

Die strake Kundenauthentifizierung (SCA: Strong Customer Authentication) als einer der treibenden Faktoren in der PSD2 sollte das Problem des unkontrollierten Missbrauchs im elektronischen Zahlungsverkehr eindämmen, indem man elektronische Zahlungsvorgänge (Payments) mittels voneinander unabhängiger Authentifizierungsverfahren doppelt absichern lässt. Bis hierin, ein wirklich lobenswerter Ansatz, der helfen sollte, das Fraud Problem in den Griff zu bekommen.

Für die Umsetzung war aber nun eine Definition eines Anforderungskataloges gefordert, der genau diese sog. Zwei-Faktor-Authentifizierung (2FA) in die Zahlungssysteme der EWR-Zahlungsdienstleister beschreiben musste. Ganz nach dem Motto „viele Köche verderben den Brei“, setzte man seinerzeit in Europa die Sterneköche der Europäischen Bankenaufsichtsbehörde (EBA) vor den Herd, die genau dieses Süppchen mit den Ingredienzien der Strong Customer Authentication (SCA) köcheln sollten. Die EBA stellte wiederum sehr bald fest, dass ihm die Zutaten zur Zubereitung gar nicht klar waren und befragte erst einmal seine Hilfsköche – die Zahlungsdienstleister (Payment Service Provider) – wie denn die Zusammensetzung der Suppe zu erfolgen habe. Als dann diese Befragung und das Sammeln von Informationen abgeschlossen war, hatten unser Sterneköche ihr Rezept in den „Regulatory Technical Standards“ (RTS) niedergeschrieben.

Und nun begann das große Köcheln…

Vom Wassertopf zur fertigen Suppe …

Am 27. November 2017 verabschiedete die BaFin die „Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366“, die deutsche Umsetzung der RTS. Die RTS manifestierten also jetzt die technischen Grundregeln im deutschen Gesetzestext, die das SCA Süppchen zum Kochen bringen sollte – und das möglichst mit einem für alle angenehmen Geschmack. Gleichzeitig wurde der 14. September 2019 als Zieltermin genannt, zu welchem alle EWR-Zahlungsdienstleister ihre elektronischen Transaktionen nach „neuer Lesart“ zu authentifizieren haben.

Der kartengestützte Zahlungsverkehr stützt sich aber auf die Netzwerke der großen Kredit- und Debitkartenorganisationen (VISA, MasterCard, American Express, JCB, Diners, DK, etc.). Genau diesen Scheme-Betreibern wurde nun auferlegt, ein Regelwerk zu entwerfen, welches die Information zu den in den RTS geforderten Anpassungsmaßnahmen in die Prozesse der einzelnen Parteien integriert. Diese Umsetzung in den einzelnen Gesellschaften wurde zentral mit Einführung des neuen 3D Secure 2.0 (3DS2) Protokolls realisiert. Dummerweise gab es aber pro Gesellschaft ein ganzes Kochbuch von Regeln, die mit der Nutzung von 3DS2 zu beachten waren bzw. sind. Und wie bei Kochbüchern so üblich, sind diese niemals flächendeckend kongruent – allenfalls ähnlich – was natürlich zu einer deutlichen Erhöhung der Anforderungskriterien an die technische Umsetzung führte.

Nun begann das große Rätselraten. Der Zahlungsverkehrsmarkt ist ein sehr heterogenes System, in welchem sehr viele Dienstleister die unterschiedlichsten Aufgaben und Verantwortlichkeiten innehaben. Die EBA als Initiator der Novelle sprach und spricht aber nur mit den regulierten Zahlungsdienstleistern und schreibt diesen die neu verabschiedeten Verfahrensweisen vor. Weitere in der Dienstleistungskette involvierte Dienstleister (wie z.B. MPI/3DS2 Betreiber, GDS (Global Distribution Systeme) wie Amadeus oder Sabre, etc.) sind bzw. waren also von der SCA Forderung nicht direkt betroffen, tragen aber mitunter einen gravierenden Anteil im technisch/operativen Processing zur Ausführung einer Authentifizierung bei. Der reine Authentifizierungsprozess ist demnach ein regulierter Vorgang, der aber mitunter durch nicht regulierte Dienstleister implementiert werden sollte – ein Widerspruch in sich.

Viele Köche verderben den Brei …

Das Payment-Processing-Imperium besteht aus vielen Parteien. Da gibt es die

Alle diese Parteien und Beteiligten sind in die Umsetzung der SCA Anforderungen involviert, verfolgen aber mitunter ganz unterschiedliche Ziele und Interessen.

Dadurch bedingt, werden bestimmte Anwendungsfälle bei der ein oder anderen Partei gar nicht oder nur peripher berücksichtigt. Mindestens genau so irritierend für das Ökosystem Zahlungsverkehr ist aber der Tatbestand, dass unterschiedliche Stakeholder vermeintlich gleiche Tatbestände unterschiedlich auslegen und implementieren – und das in Ermangelung klarer regulativer oder definierter Vorgaben der Schemes.

Ein sehr prominentes Beispiel hierfür ist der in den letzten Wochen in der Reise- bzw. Tourismus Branche sehr heiß diskutierte Umgang mit den sog. „key entry“-Transaktionen. Bei diesem Transaktionstyp werden Kartendaten manuell in das Bezahlterminal am Point-of-Sale oder eine Online-Eingabemaske eingegeben (z.T. ohne Anwesenheit des Karteninhabers). Da weder der Regulator diese Transaktionen als „elektronische Zahlungen“ beschreibt, noch die Kartenorganisationen selbst eine Alternative zur SCA Verpflichtung aufzeigen, schürt das die Kreativität der Händler (und somit der den Händler bedienenden Dienstleister, den PSPs sowie den Acquirern), was die Umgehung der SCA-Pflicht angeht.

Eine homogene und mit allen Parteien abgestimmte Vorgehensweise bzw. -Vorgabe zur Implementierung der SCA-Logik gibt es bislang leider nicht.

Die versalzene Suppe: nicht nur ein bitterer Beigeschmack

Seit dem 14.09.2019 ist die PSD2 und damit auch die starke Kundenauthentifizierung offiziell in Kraft getreten und viele offene Fragen haben nach wie vor keine Antwort. Ganz besonders davon betroffen sind die Geschäftsvorfälle in der zuvor zitierten Reise- und Tourismusindustrie.

Die Ignoranz der Regulatoren – sei das nun die EBA oder der jeweilige nationale Regulator (BaFin) – haben durch ihre Entscheidungsunwilligkeit in den vergangenen Wochen die Unsicherheit im Markt eher befeuert, als diese zu entkräften.

Das Resultat ist daher leider nicht ganz unerwartet. Große und namhafte Player im Payment-Ökosystem wie z.B. Amadeus oder Galileo haben bereits ihre Kunden informiert, dass deren Systeme zum 14. September 2019 nicht vollumfänglich die SCA-Anforderungen bedienen werden können. Nun ist das zwar nur eine einschränkende Aussage, aber sie lässt dennoch erkennen, dass der Zeitraum zur Implementierung der noch ausstehenden Fragestellungen nicht ausreichend war. Und genau das hat (zumindest die BaFin) bislang nicht berücksichtigen wollen, trotz der immer lauter werdenden Signale aus dem Markt und auch seitens der durch die BaFin regulierten Unternehmen.

Das zuvor erwähnte 3DS2 Protokoll bringt im Vergleich zu 3DS1 einen ganz entscheidenden Vorteil mit, welcher die begründete Hoffnung regt, dass ein Einbruch der Conversion Rate zumindest vermieden werden kann: die sog. „frictionless Authentifizierung“.

Bei diesem Vorgang übermittelt der Händler dem Issuer einen ganzen Bausatz zusätzlicher, Risiko-relevanter Informationen, die der Issuer selbst bewerten kann und dann ohne Interaktion mit dem Karteninhaber eine Genehmigung der Transaktion bzw. Zahlungen erteilen kann. Dieses Vorgehen nimmt einerseits die Haftung des Schadensfalls vom Händler und überträgt diese auf den Issuer, und erfordert anderseits keine weitere Interaktion mit dem Karteninhaber, die ggf. zu einem Transaktionsabbruch führen könnte.

Da aber – Stand heute – weder die Issuer genau wissen, welche Parameter für die Bewertung in ihren Fraud-Prevention-Systemen wirklich einen positiven Effekt in Hinsicht auf eine reibungslose Transaktionsverarbeitung beeinflussen werden, noch die Händler flächendeckend in der Lage sind, die für die Issuer notwendigen optionalen Felder in der Authentifizierungsnachricht zu übermitteln, läuft der Markt Gefahr, genau dieses so mächtige Instrument gar nicht zu nutzen. Dabei sollten die PSD2-Richtlinien genau dies vermeiden.

Und genau an dieser Stelle bedürfte es wieder einmal einer regulativen Vorgabe durch die entsprechenden Schemes, die die Issuer in einen einheitlich definierten Zustand versetzen würde.

Abschmecken der Suppe und die Nachbesserung

Letztlich hat aber die BaFin nun am 21. August doch eingelenkt – zumindest für den E-Commerce- Bereich – und mit ihrer Erklärung einen (bislang noch) unbefristete Duldung nicht SCA-authentifizierter E-Commerce-Transaktionen bekundet. Damit wurde aber keineswegs die SCA-Pflicht zum 14 September 2019 aufgehoben. Ganz gemäß unserem Sternekoch, wird die BaFin ihre SCA-Suppe niemals aufgeben, sondern vielmehr versuchen, diese durch geschicktes Abschmecken auch für den Konsumenten „erträglich“ zu gestalten.

Die BaFin darf aber beim „Abschmecken“ nicht vergessen, dass sie nur einer der Hilfsköche der SCA-Suppe ist. Ein inhomogener Umgang im EWR mit der zuvor beschriebenen Duldungsregelung erzeugt eher ein noch größeres Unsicherheitsbefinden als sowieso schon vorhanden. National voneinander abweichende Regelungen würden den Händler und auch den Karteninhaber maximal verwirren. Um genau diese Situation zu vermeiden, wäre eine deutlich klarer formulierte Vorgabe der EBA sehr viel hilfreicher.

In wie weit das aber genau gelingt bzw. umgesetzt wird, bleibt abzuwarten.

Resümee des Kochkurses

Die Unsicherheit am Markt im Umgang mit der SCA-Nutzung hat aufgrund der akuten Dringlichkeit vor der Umsetzung zum 14.09.2019 – wie schon erwähnt – die Kreativität der Händler deutlich angeregt. Das geht teilweise so weit, dass in Ermangelung passender SCA-Alternativen die sog. „alternativen Zahlarten“ (wie z.B. PayPal, Paydirekt, Wallet-Systeme etc.) den Vorzug vor der SCA-pflichtigen Kartentransaktion erhalten. Die Betreiber dieser alternativen Bezahlmethoden beobachten diesen für sie äußerst günstigen Effekt mit einem breiten Schmunzeln, profitieren Sie doch ohne extensive Marketingausgaben von der Unkoordiniertheit und den Schwächen der Regulatorik ohne eigene Anstrengung von den Konkurrenten. Und das war – und kann auch nicht – im Sinne des Regulators gewesen sein, als die SCA-Pflicht ausgestaltet wurde (wir erinnern uns an das Ziel der Steigerung des Wettbewerbs).

Selbst wenn nun am 14. September 2019 die SCA Verpflichtung – wenn auch in abgeschwächter bzw. verzögerter Form – in Kraft getreten ist, sollte man die Duldungsperiode bezüglich der PSD2-Richtlinien sinnvoll nutzen. Vor allen Dingen sollte man aus den Fehlern seit Veröffentlichung der RTS lernen. Und dieser Lerneffekt muss bei allen beteiligten Parteien ansetzen, damit nach Ablauf der Duldungsperiode nicht wieder ein D-Day ansteht und niemand weiß, wie und wann er sich darauf vorzubereiten hat. Die Alarmzeichen für eine derartige Situation stehen bereits jetzt auf Rot, da schon jetzt Händler angekündigt haben, dass sie die SCA-Pflicht erst mit Ablauf der Duldungsperiode scharf schalten werden, um nicht selbst vorschnell einen Wettbewerbsnachteil zur Konkurrenz zu erleiden.

Zurückkommend auf das initiale Anliegen der SCA-Verpflichtung – nämlich der Reduzierung des Fraud-Aufkommens und somit zur Sicherung der Karteninhaber-Integrität – kann man an dieser Stelle nur festhalten, dass die EBA mit ihren Hilfsköchen, den nationalen Regulatoren, mangels klar definierter Vorgaben das „Unternehmen SCA“ aufs Glatteis geführt hat. Bleibt zu hoffen, dass die Regulatoren aus den vergangenen Monaten gelernt haben.

Nur ein gemeinschaftlicher Ansatz unter Einbeziehung aller Beteiligten des Payment-Ökosystems kann den gewünschten Erfolg hinsichtlich einer regelkonformen SCA-Nutzung garantieren. Es wäre schade, wenn die sich mit der SCA öffnenden Möglichkeiten einer deutlichen Sicherheit und auch eines Kunden und Karteninhaber-freundlicheren Authentifizierungsverfahrens aufgrund von Ausnahmen und der Ignoranz bzw. Entscheidungs-Faulheit der zuständigen Instanzen nicht genutzt werden könnten.

3D Secure 2.0 – Facelift oder Quantensprung?

Die neue Generation der Karteninhaber-Authentifizierung „3D Secure 2.0“
3D Secure wurde (und wird auch noch) oftmals als das magische Wundermittel propagiert, welches das Elend des Zahlungsausfalls auf der Händler-Seite heilen sollte. In den frühen Jahren dieses Jahrtausends von VISA ins Leben gerufen und als besagtes Wundermittel prominent platziert, zeigten sich allerdings alsbald die Kinderkrankheiten – an erster Stelle die Probleme mit der „Conversion Rate“ bei den 3D nutzenden Händlern. Der Einsatz von 3D Secure verursachte ungewollte Zahlungsabbrüche durch die Karteninhaber und minderte somit den Umsatz der betroffenen Händler. Die Conversion Rate beschreibt dabei das Verhältnis der Besucher einer Online-Shops auf Basis von Klicks zu den erzielten Conversions, also der Umwandlung von Interessenten in Käufer.

Die Problematik, einerseits das Zahlungsausfallrisiko durch Chargebacks minimieren zu wollen aber gleichzeitig maximal potentiellen Umsatz bei den teilnehmenden Händlern zu ermöglichen, lies sich also nicht in der genutzten Variante des 3D-Verfahrens (Version 1.0) lösen. Als dann noch die Europäischen Zahlungsaufseher mit der PSD2 die starke Kundenauthentifizierung für einen Großteil des bekannten Karten-Zahlungsverkehrs in Europa forderten, hatte man ein Erbarmen mit den Händlern. Die großen Kreditkartenorganisationen (Visa, MasterCard, AmericanExpress und JCB) formierten sich und definierten innerhalb des Gemeinschaftsunternehmens „EMVCo“, welches sich heute maßgeblich um die EMV Standards kümmert, einen neuen Authentifizierungsstandard „3D Secure 2.0“. Dieser sollte aus dem einstigen Wundermittel ein Heilmittel machen, welches flächendeckend die Leiden der Händler eliminieren sollte und gleichzeitig regulatorischen Anforderungen genügen musste.

3D Secure 2.0 ist aber auch die Antwort der Kartenorganisationen auf die Vorgaben der starken Kundenauthentifizierung (der PSD2), die ja bereits zum September 2019 umzusetzen ist. Mit der neuen Spezifikation ist weiterhin gewährleistet, dass die internationalen Schemes einen einheitlichen Standard für Konsumenten, Händler, Issuer und Acquirer anbieten.

Im Oktober 2016 war es dann soweit und die Spezifikation des neuen Standards wurde durch EMVCo veröffentlicht. Betrachtet man die operativen Schritte des neuen Verfahrens aus der Helikopterperspektive, so lassen sich gravierende Veränderungen im Vergleich zum alten Verfahren nicht direkt erkennen. Der Teufel liegt aber wie immer im Detail. Und genau diese Details lassen Hoffnung aufkommen, dass man mit der Version 2.0 tatsächlich ein Heilmittel gefunden haben könnte. Das neue Verfahren hat verschiedene Prozessschritte auf neue (oder zumindest modifiziert wirkende) Rollen definiert. Die klassische, wohl bekannteste Rolle aus Sicht der Händler war im alten Verfahren die Rolle des Merchant Plug-In-Betreibers (MPI). Diese wird in der neuen Spezifikation explizit nicht mehr genutzt. Es bleibt also abzuwarten, wie die heutigen MPI-Betreiber zukünftig mit einer technischen Lösung im 3D Secure 2.0 Verfahren operieren werden (z.B. als technischer Dienstleister eines „3DS Servers“).

Außerdem haben die Produktverantwortlichen bei der EMVCo eine neue Ingredienz beigemischt, die den Zahlungsabbruch im alten 3D Verfahren mindern – ja, wenn nicht sogar abstellen könnte. Der sog. „Frictionless Flow“ erlaubt nämlich im neuen Verfahren eine Authentifizierung ohne zusätzliche Interaktion mit der zu authentifizierenden Person.

Nachdem dann mit dem Herbst-Release 2017 auch die Reglements der beiden größten Kreditkartenorganisationen (VISA und MasterCard) in Bezug auf das neue 3D Secure 2.0 Verfahren adaptiert wurden, gilt es nun, die Umsetzung von 3D Secure 2.0 in den (z.T. neuen) operativen Instanzen voranzutreiben.

Um aber das neue Verfahren nutzen zu können, muss jede teilnehmende Instanz technische Änderungen in ihren Systemen vornehmen, da das Prozedere im Vergleich zur alten Authentifizierung einige Veränderungen mit sich bringt.

Spätestens aber zum 01.01.2020 sollen nach dem jetzigen Plan der MasterCard alle Authentifizierungen nur noch nach dem 3D Secure 2.0 Verfahren durchgeführt werden. Die Visa hat aber schon ihren für April 2018 geplanten Rollout (nur durch Händler initiierte Authentifizierungen) auf den April 2019 verschoben. Der Zeitplan scheint also offensichtlich sehr ambitioniert geplant und wird dann durch die Realität bestätigt werden müssen.

Entscheidend für den Erfolg ist aber die zukünftige Nutzung des Verfahrens durch die E-Commerce Gemeinde – sprich, das Transaktionsaufkommen mittels 3D Secure 2.0 authentifizierter Zahlungsvorgänge. Setzt man also voraus, dass das „3D Secure Räderwerk“ (bestehend aus Access Control Server und Directory Server) durch die operativen Vorgaben und Deadlines der Kreditkartenorganisationen implementiert wird (bzw. werden muss), so bleibt – genau wie im alten Verfahren – der Händler das Zünglein an der Waage des Erfolgs dieser Neuerung. Und genau diese kennen ja die Kinderkrankheiten des alten „Wundermittels“ aus eigener, schmerzlicher Erfahrung und dürften daher ein eher gemäßigtes Interesse an einer (aus deren Sicht ihnen aufgedrängten) Renovierung zeigen.

Der Acquirer als haftende Instanz im 4-Parteien Modell muss zwangsläufig ein immenses Interesse am Einsatz des neuen Verfahrens haben, denn nur über diesen Weg kann er sich flächendeckend von der Haftung im Falle eines Chargeback Fall mittels einer Haftungsumkehr („Liability-shift“) in Richtung der Issuer entledigen. Damit also der Acquirer das neue Verfahren bei den ihm angeschlossenen Händlern effektiv zum Einsatz bringen kann, muss das Problem der „Conversion Rate“ behoben werden. Das wiederum kann per Definition im neuen Verfahren nur dann eliminiert werden, wenn der Großteil der authentifizierten Transaktionen über den neu definierten „Frictionless Flow“ abgearbeitet wird, in welchem eine zusätzliche Sicherheitsabfrage im Authentifizierungsvorgang beim Karteninhaber überflüssig wird. Dieser „Frictionless Flow“ bedingt allerdings, dass der Händler ausreichend viel Informationen über den Karteninhaber und die zu autorisierende Transaktion im Authentifizierungsvorgang an den Issuer leitet, der dann „wohlwollend“ auf Basis eigener Risikobewertungen dieser Authentifizierung ohne weitere Nachfrage beim Karteninhaber zustimmt.

Es besteht also durchaus Unklarheit darüber, zu welchem Prozentanteil am Ende des Tages eine Authentifizierung im „Frictionless Flow“ abgearbeitet wird. Und genau an dieser Stelle lassen bislang die Kreditkartenorganisationen ihre Acquirer im Regen stehen, da sie einerseits keine bindenden Vorgaben an die Issuer hinsichtlich der Risiko-Bewertung im eigenen Haus machen, andererseits den Acquirern aber auch keinerlei Förderung zum Einsatz des neuen Verfahrens beisteuern.

Operativ betrachtet bringt 3D Secure 2.0 viele neue Features mit sich und ist auch aus regulatorischen Aspekten bestens gerüstet. Den Status eines „Facelifts“ dieses Tools kann man also unbedenklich attestieren. Soll 3D Secure 2.0 aber einen „Quantensprung der Authentifizierung“ auslösen – und das Potenzial dazu ist durch die neue Spezifikation gegeben –, so bedarf es weiterführender Definitionen oder aber auch Restriktionen, um die alte Kinderkrankheit der „Conversion Rate“ für immer loszuwerden.