Covididence 2020 im Zahlungsverkehr

Covid-19 und SCA verhelfen altbekannten Payment Features zu neuem Glanz

Die guten Vorsätze

Neujahrstag 2020. Viele kämpfen mit den wohlbekannten Spätfolgen einer durchzechten Nacht und der ein oder andere sieht vielleicht zum ersten Mal skeptisch den in der Vorwoche so mühselig zusammengesuchten guten Vorsätzen für das neue Jahr entgegen. Was dann aber im Frühjahr 2020 passiert, hat und konnte niemand in seinem Maßnahmenplan berücksichtigen. Ein kleines Virus aus dem fernen China, was auf den Namen „Covid-19“ hört, sollte sich in kürzester Zeit zur Pandemie entwickeln und ab dem Frühjahr 2020 den gesamten Globus in festem Griff halten. Die durch die Pandemie notwendig werdenden Restriktionen im öffentlichen und teils auch privaten Leben haben weltweit die Menschen in ihrem Lebenswandel stark beeinträchtigt und zwangsläufig auch verändert. Die wirtschaftlichen und gesellschaftlichen/sozioökonomischen Folgen sind selbst nach einem Jahr „Covid-Gefangenschaft“ nur schwerlich absehbar oder abschließend vorhersagbar.

Einbruch der Wirtschaftskraft (bedingt durch unterschiedliche Restriktionen und/oder verschiedenste Ausprägungen von Lockdowns), Einschränkungen in der Reisefreiheit, der besondere Schutz von Risikogruppen, mentaler Overkill des Pflegepersonals und vieles mehr sind die Auswirkungen, welche wir im Jahr 2020 alle zumindest informell wahrgenommen haben. Eine ganz besondere Aufmerksamkeit der Payment Branche lag sicherlich auf dem sich daraus resultierenden veränderten Kauf- und Zahlverhalten der so eingeschränkten Bürger.

Gleichzeitig hat aber die Payment Welt auch noch ein altes Geschwür aus 2019 mit nach 2020 hinübergerettet – die „Starke Kundenauthentifizierung“ oder auch SCA genannt, die ja laut der Europäischen Bankenaufsichtsbehörde (EBA) zum 01.01.2021 scharf geschaltet werden musste. Ein jeder Zahlungsdienstleister dürfte zu Anfang 2020 die anstehenden SCA Anpassungen in seinen Zahlungssystemen wohl eher zu den notwendigen Übeln als zu den guten Vorsätzen für das Jahr 2020 gezählt haben.

Betrachtet man nun die 12 zurückliegenden Monate, so kann man mit Gewissheit festhalten, dass das SCA Mandat in Koexistenz mit der Pandemie die Payment Welt stark verändert haben, und sogar alte Bekannte des Zahlungsverkehrs aus deren Dornröschenschlaf wieder ans Tageslicht befördert haben. Vielleicht war es in diesem Fall nicht der holde Prinz, der diese Kandidaten aus ihrem „Jahrhundertschlaf“ wachküsste, sondern vielmehr die zwei Schreckgestalten Covid-19 und SCA, welche mit ihren hässlichen Fratzen das Erwachen beschleunigten.

Die Entwicklung über das Jahr 2020

Wie uns bestens bekannt ist, hat zu Beginn 2020 die Region um die 11 Millionen Metropole Wuhan in China das Virus „exportiert“. Dieses hat dann in nie dagewesener Weise eine Missionierung des Erdballs in kürzester Zeit vorgenommen. Bei uns in Deutschland (wie auch vielen anderen europäischen Ländern) war dann mit dem ersten Lockdown am 23.03.2020 der erste Zenit erreicht. Eine weltweite Ausbreitung in nur drei Monaten kann man aus virologischer Sicht durchaus als Erfolg verbuchen.

Verglichen damit waren die SCA Maßnahmen, welche im gleichen Zeitraum durchgeführt wurden, eher gering, wenn dennoch partiell intensiviert (z.B. bei den Issuern) anzusehen. Bedingt durch Mandate der Kreditkartenorganisationen, die natürlich dem großen Masterplan der EBA folgend ihre eigenen Meilensteine passend für den 01.01.2021 definierten, hatten sicherlich die kartenherausgebenden Institute bis zum April 2020 einen deutlich höheren Implementierungsaufwand vorzunehmen, als dies in gleichem Zeitraum auf der Akzeptanzseite der Fall war – deshalb eben auch nur eine partielle Anstrengung des Ökosystems der Zahlungsdienstleister.

Aber auch der Akzeptanzseite wurden Mandate der Kreditkartenorganisationen in den Kalender eingetragen, die diese dann ab Mitte des Jahres ereilten (EMV 3DS2.1+ Mandat zum 01.07.2020 und das EMV 3DS 2.2 Mandat für Visa zum 18.10.2020). Dieses Ökosystem auf der Akzeptanzseite – bestehend aus Acquirern, deren Prozessoren, den PSPs, den Netzbetreibern und den 3DS2 Dienstleistern – war also gezwungen, sich technisch auf diese Erweiterungen fristgerecht einzustellen.

Ach ja, und dann gab es ja noch einen nicht ganz unwichtigen Teilnehmer auf der Akzeptanzseite, nämlich den Händler oder Akzeptanznehmer. Und an dieser Stelle haben wir die Schwachstelle der SCA Definition erkannt. Man kann nun nicht sagen, dass die Händler in Ihrer ureigenen Rolle eine pauschale Schwachstelle darstellen, sondern muss vielmehr festhalten, dass die SCA per Definition dieses letzte Glied der Akzeptanzwelt nicht ausreichend bei der Umsetzungs-Mandatierung berücksichtigt hat. Grund dafür ist wieder einmal die nicht abschließend und konsequent zu Ende gedachte „Befehlskette“ der Zahlungsaufsicht. Natürlich kann die Aufsicht (BaFin/EBA) nur die Beaufsichtigten (Zahlungsdienstleister) reglementieren. Aber dann blind darauf zu vertrauen, dass diese Beaufsichtigten aufgrund der diesen auferlegten Mandate den Markt in Eigenregie revolutionieren und die ihnen abverlangten Peinigungen an die „dahinterliegenden Straftäter“ weiterreichen werden, war wohl etwas zu kurz gedacht. Der Markt wird althergebracht nach dem „Henne – Ei – Prinzip“ regiert. Und diesem folgend war es den Akzeptanzgebern fast unmöglich, die Händler von den heilbringenden Wohltaten der SCA zum Einsatz derselben zu bewegen.

Ungeachtet der Querelen der SCA schrieb das Covid-19 Virus seine Erfolgsgeschichte fort und das in zunehmendem Tempo.

Die Schwächen in der SCA Umsetzung auf der Akzeptanzseite

Auf der Akzeptanznehmer-Seite trennte sich in Bezug auf die vorzunehmenden SCA Anpassungen zu Mitte des Jahres die Spreu vom Weizen. So hatten diejenigen Händler, welche über ein Direktverkaufs-Modell („Direct Sales“) ihre Ware an den Mann brachten, recht schnell zumindest einen Masterplan errechnet, der sie zum Ende das Jahres befähigen sollte, die SCA gemäß den gültigen Anforderungen umsetzen zu können.

Viel schlechter traf es diejenigen Marktsegmente, die ihre Ware über indirekte Verkaufswege veräußerten. Bedingt durch die chronologische Trennung von Bestellreservierung und Zahlungseinzug waren mitunter in den sukzessiv aufeinanderfolgenden Teilprozessen der Zahlungsdurchführung unterschiedliche technische Dienstleister – ja z.T. auch vertraglich über mehrere Akzeptanzstellen verteilte Dienstleister – mit dem Prozessing der Einzelaufgaben betraut. Das machte eine SCA konforme Abwicklung bisweilen unmöglich.

Ganz besonders betroffen war die Reise- und Autovermietungsbranche (T&H für „Travel and Hospitality“), bei welchen oftmals Reservierungen weit vor der Inanspruchnahme – und damit dem Zahlungseinzug – der jeweiligen Dienstleistungen erfolgten. Die oftmals über Online-Reiseagenturen (OTA für „Online Travel Agency“) gebuchten Reisepakete wurden von unterschiedlichen Leistungsträgern (Hotel, Fluglinie, Mietwagen, etc.) zu einem viel späteren Zeitpunkt eingezogen. Und für dieses Vorgehen nutzten schon vor SCA diese OTAs virtuelle Kreditkarten als Einmal-Zahlungsmittel. Mit diesem Instrument konnten die OTAs den Zahlungspflichtigen direkt an sich binden, ohne dass der Zahlungsvorgang zwischen Leistungserbringer und Karteninhaber direkt abgewickelt wurde. Da man aber aufgrund der SCA Definition wusste, dass virtuelle Karten von der SCA Pflicht ausgenommen sind, wurde somit die Nutzung von virtuellen Karten seitens der OTAs umso mehr als probates Mittel zum Zweck genutzt. Diese Renaissance der virtuellen Kreditkarten war sicherlich nicht im Sinne der Leistungsträger, da man damit die Bindung an den Karteninhaber nur noch mehr vom Leistungsträger entfremdete – zumal ja auch die OTAs diesen Service nicht ohne entsprechenden Obulus an den Leistungsträger erbrachten.

Mit den SCA Anforderungen wurde aber auch die Forderung nach einem interaktiven Datenaustausch zwischen den beteiligten Dienstleistern lauter (Nutzung des sog.  MIT-Frameworks [1]). Diese Forderung wiederum bedingte umfassende Anpassungen in IT-Systemen und Kommunikationsprotokollen der entsprechenden Dienstleister. Wie gesagt, bedurfte die Schaffung dieses Frameworks unterschiedlichster Anpassungen bei unterschiedlichsten Dienstleistern, was realistisch betrachtet – eine Umsetzung zum Jahreswechsel 2020/2021 unmöglich machte.

Die Kreditkartenorganisationen haben aber diesen Missstand gerade noch rechtzeitig erkannt und aufgrund der Multiplexität dieses Dienstleisteruniversums eine Möglichkeit geschaffen, die betroffenen Transaktionen ohne Nutzung von virtuellen Karten und ohne Nutzung von MIT-Frameworks durch eine entsprechende MOTO-Kennzeichnung der Transaktionen herbeizuführen. Auch das bedurfte natürlich Anpassungen im Akzeptanz-Ökosystem, war aber deutlich einfacher zu realisieren, da man diese „Um-Kennzeichnung“ zentral auf den Maschinen der Akzeptanzgeber implementieren konnte.

MIT-Framework als mächtiges SCA Instrument

Das zuvor beschriebene MIT Framework ist sicherlich die Ultima Ratio in der Umsetzung der SCA Anforderungen – insbesondere dann, wenn der Geschäftsvorfall über indirekte Vertriebsorganisationen, wie z.B. OTAs, realisiert wird. Allerdings sind per Definition einige Bedingungen an die Nutzung so eines Frameworks gebunden, die über die gesamte Dienstleistungskette zu beachten sind. Gleichermaßen ist aber auch zu beachten, dass die bei diesen unterschiedlichen Leistungsträgern zum Einsatz kommenden Akzeptanzwege (ECOM, MOTO, POS, etc.) mitunter in ein und demselben MIT-Vorgang Anwendung finden können.

Und genau an dieser Stelle kommt ebenfalls ein der Zahlungswelt nicht neu erscheinender alter Gefährte auf das Diskussionspodium zurück: die Schaffung einer „Omnichannel Lösung“. Der Gedanke, mit Omnichannel-Produkten Zahlungen, welche z.B. über ein ECOM Portal autorisiert wurden, später aber beim Leistungserbringer über ein POS-Device zum Einzug zu bringen und das dann idealerweise auch noch SCA konform – also z.B. unter Zuhilfenahme eines MIT-Frameworks, ist somit die logische Konsequenz aus der Suche nach einer Dienstleister- und Plattformübergreifenden Lösung eines gesamtheitlichen MIT-Framworks.

Prädestiniert für die Realisierung einer solchen Lösung wären Netzbetreiber (die ja i.d.R. auch ECOM- und MOTO-Lösungen anbieten) oder aber PSPs, da beide Parteien heute schon Teile dieser Omnichannel-Lösung auf ihren Plattformen verarbeiten. Es bleibt abzuwarten, wer hier in 2021 den Staffelstab als erster aufnimmt.

In 2019 und 2020 haben wir bereits zwei renommierte PSPs in Deutschland gesehen (Computop und Unzer), die ihre ECOM/MOTO Plattformen um das Präsenzgeschäft erweiterten. Sicherlich ist dieser Schritt in erster Linie vor dem Gedanken der Erweiterung des Leistungsportfolios und der dazugehörigen Marktsegmente zu sehen. Allerdings bietet er auch die perfekte Absprungbasis für die Realisierung einer Omnichannel-Lösung. Die Netzbetreiber sollten also jetzt gewarnt sein, ihre Plattformen in Richtung Omnichannel zu erweitern. Nur so können deren Plattformen alle Geschäftsvorfälle mittel- bis langfristig SCA-konform abwickeln. Dazu kommt die steigende Anzahl an ECOM Transaktionen, die nicht zuletzt bedingt durch die Covid-19 Pandemie ausgelösten Veränderungen im Kaufverhalten der Bürger zum Umdenken bei den Netzbetreibern auffordert. Es bleibt also abzuwarten, wer hier in 2021 den Staffelstab als erster aufnimmt.

Fazit ist: Covid-19 und SCA in Kooperation haben den Zahlungsverkehr in Richtung der digitalen Zahlungsvorgänge verlagert (das inkludiert auch die Reduzierung des Bargeldgeschäftes) und verlangen ebenfalls Plattformübergreifende Lösungen im Sinne des Omnichannel-Ansatzes. Auch, wenn also die SCA augenscheinlich in vollem Umfang in Kraft getreten ist [2], so wird sie dennoch die Entwicklung im Zahlungsverkehr auch in 2021 maßgeblich mitbestimmen.

[1] MIT steht für „Merchant Initiated Transaction“. Dieser Transaktionstyp ist von der SCA befreit und kann dann angewandt werden, wenn ein Händler Zahlungen ohne Anwesenheit des Karteninhabers einziehen will. Die Nutzung eines MIT-Frameworks in Verbindung mit „indirect sales“-Vorgängen ist eine präferierte Vorgehensweise der Kreditkartenorganisationen für die T&H Branche, bedingt aber Anpassungen in den Systemen aller betroffenen Dienstleister dieser Prozessing-Kette und bedingt gleichermaßen die SCA konforme Kommunikation dieser betroffenen Dienstleister untereinander mit zusätzlichen SCA Werten.

[2] „in vollem Umfang“ inkludiert hier die EWG weiten „Ramp Up“ Pläne der nationalen Aufsichten, welche teils in monatlichen Schritten bis Ende März 2021 die 100%-ige Anwendung der SCA vorsieht