„Die SCA-Einführung: eine 5-Minuten Terrine?“

Am 14.09.2019 hat das Martyrium der europäischen Zahlungsvielfalt im elektronischen Zahlungsverkehr begonnen

Was bisher geschah …

Als die Europäischen Kommissionäre sich seinerzeit Gedanken über eine Novellierung der PSD1 machten, die am 01. November 2009 in Kraft getreten ist, war damals neben dem Gedanken der Wettbewerbsgleichheit auf dem Zahlungsverkehrsmarkt auch der Wunsch nach höherer Sicherheit im elektronischen Zahlungsverkehr einer der treibenden Faktoren. Sehr noble und auch herausfordernde Ziele, die sicherlich dem Marktgeschehen im elektronischen Zahlungsverkehr geschuldet waren.

Die strake Kundenauthentifizierung (SCA: Strong Customer Authentication) als einer der treibenden Faktoren in der PSD2 sollte das Problem des unkontrollierten Missbrauchs im elektronischen Zahlungsverkehr eindämmen, indem man elektronische Zahlungsvorgänge (Payments) mittels voneinander unabhängiger Authentifizierungsverfahren doppelt absichern lässt. Bis hierin, ein wirklich lobenswerter Ansatz, der helfen sollte, das Fraud Problem in den Griff zu bekommen.

Für die Umsetzung war aber nun eine Definition eines Anforderungskataloges gefordert, der genau diese sog. Zwei-Faktor-Authentifizierung (2FA) in die Zahlungssysteme der EWR-Zahlungsdienstleister beschreiben musste. Ganz nach dem Motto „viele Köche verderben den Brei“, setzte man seinerzeit in Europa die Sterneköche der Europäischen Bankenaufsichtsbehörde (EBA) vor den Herd, die genau dieses Süppchen mit den Ingredienzien der Strong Customer Authentication (SCA) köcheln sollten. Die EBA stellte wiederum sehr bald fest, dass ihm die Zutaten zur Zubereitung gar nicht klar waren und befragte erst einmal seine Hilfsköche – die Zahlungsdienstleister (Payment Service Provider) – wie denn die Zusammensetzung der Suppe zu erfolgen habe. Als dann diese Befragung und das Sammeln von Informationen abgeschlossen war, hatten unser Sterneköche ihr Rezept in den „Regulatory Technical Standards“ (RTS) niedergeschrieben.

Und nun begann das große Köcheln…

Vom Wassertopf zur fertigen Suppe …

Am 27. November 2017 verabschiedete die BaFin die „Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366“, die deutsche Umsetzung der RTS. Die RTS manifestierten also jetzt die technischen Grundregeln im deutschen Gesetzestext, die das SCA Süppchen zum Kochen bringen sollte – und das möglichst mit einem für alle angenehmen Geschmack. Gleichzeitig wurde der 14. September 2019 als Zieltermin genannt, zu welchem alle EWR-Zahlungsdienstleister ihre elektronischen Transaktionen nach „neuer Lesart“ zu authentifizieren haben.

Der kartengestützte Zahlungsverkehr stützt sich aber auf die Netzwerke der großen Kredit- und Debitkartenorganisationen (VISA, MasterCard, American Express, JCB, Diners, DK, etc.). Genau diesen Scheme-Betreibern wurde nun auferlegt, ein Regelwerk zu entwerfen, welches die Information zu den in den RTS geforderten Anpassungsmaßnahmen in die Prozesse der einzelnen Parteien integriert. Diese Umsetzung in den einzelnen Gesellschaften wurde zentral mit Einführung des neuen 3D Secure 2.0 (3DS2) Protokolls realisiert. Dummerweise gab es aber pro Gesellschaft ein ganzes Kochbuch von Regeln, die mit der Nutzung von 3DS2 zu beachten waren bzw. sind. Und wie bei Kochbüchern so üblich, sind diese niemals flächendeckend kongruent – allenfalls ähnlich – was natürlich zu einer deutlichen Erhöhung der Anforderungskriterien an die technische Umsetzung führte.

Nun begann das große Rätselraten. Der Zahlungsverkehrsmarkt ist ein sehr heterogenes System, in welchem sehr viele Dienstleister die unterschiedlichsten Aufgaben und Verantwortlichkeiten innehaben. Die EBA als Initiator der Novelle sprach und spricht aber nur mit den regulierten Zahlungsdienstleistern und schreibt diesen die neu verabschiedeten Verfahrensweisen vor. Weitere in der Dienstleistungskette involvierte Dienstleister (wie z.B. MPI/3DS2 Betreiber, GDS (Global Distribution Systeme) wie Amadeus oder Sabre, etc.) sind bzw. waren also von der SCA Forderung nicht direkt betroffen, tragen aber mitunter einen gravierenden Anteil im technisch/operativen Processing zur Ausführung einer Authentifizierung bei. Der reine Authentifizierungsprozess ist demnach ein regulierter Vorgang, der aber mitunter durch nicht regulierte Dienstleister implementiert werden sollte – ein Widerspruch in sich.

Viele Köche verderben den Brei …

Das Payment-Processing-Imperium besteht aus vielen Parteien. Da gibt es die

Alle diese Parteien und Beteiligten sind in die Umsetzung der SCA Anforderungen involviert, verfolgen aber mitunter ganz unterschiedliche Ziele und Interessen.

Dadurch bedingt, werden bestimmte Anwendungsfälle bei der ein oder anderen Partei gar nicht oder nur peripher berücksichtigt. Mindestens genau so irritierend für das Ökosystem Zahlungsverkehr ist aber der Tatbestand, dass unterschiedliche Stakeholder vermeintlich gleiche Tatbestände unterschiedlich auslegen und implementieren – und das in Ermangelung klarer regulativer oder definierter Vorgaben der Schemes.

Ein sehr prominentes Beispiel hierfür ist der in den letzten Wochen in der Reise- bzw. Tourismus Branche sehr heiß diskutierte Umgang mit den sog. „key entry“-Transaktionen. Bei diesem Transaktionstyp werden Kartendaten manuell in das Bezahlterminal am Point-of-Sale oder eine Online-Eingabemaske eingegeben (z.T. ohne Anwesenheit des Karteninhabers). Da weder der Regulator diese Transaktionen als „elektronische Zahlungen“ beschreibt, noch die Kartenorganisationen selbst eine Alternative zur SCA Verpflichtung aufzeigen, schürt das die Kreativität der Händler (und somit der den Händler bedienenden Dienstleister, den PSPs sowie den Acquirern), was die Umgehung der SCA-Pflicht angeht.

Eine homogene und mit allen Parteien abgestimmte Vorgehensweise bzw. -Vorgabe zur Implementierung der SCA-Logik gibt es bislang leider nicht.

Die versalzene Suppe: nicht nur ein bitterer Beigeschmack

Seit dem 14.09.2019 ist die PSD2 und damit auch die starke Kundenauthentifizierung offiziell in Kraft getreten und viele offene Fragen haben nach wie vor keine Antwort. Ganz besonders davon betroffen sind die Geschäftsvorfälle in der zuvor zitierten Reise- und Tourismusindustrie.

Die Ignoranz der Regulatoren – sei das nun die EBA oder der jeweilige nationale Regulator (BaFin) – haben durch ihre Entscheidungsunwilligkeit in den vergangenen Wochen die Unsicherheit im Markt eher befeuert, als diese zu entkräften.

Das Resultat ist daher leider nicht ganz unerwartet. Große und namhafte Player im Payment-Ökosystem wie z.B. Amadeus oder Galileo haben bereits ihre Kunden informiert, dass deren Systeme zum 14. September 2019 nicht vollumfänglich die SCA-Anforderungen bedienen werden können. Nun ist das zwar nur eine einschränkende Aussage, aber sie lässt dennoch erkennen, dass der Zeitraum zur Implementierung der noch ausstehenden Fragestellungen nicht ausreichend war. Und genau das hat (zumindest die BaFin) bislang nicht berücksichtigen wollen, trotz der immer lauter werdenden Signale aus dem Markt und auch seitens der durch die BaFin regulierten Unternehmen.

Das zuvor erwähnte 3DS2 Protokoll bringt im Vergleich zu 3DS1 einen ganz entscheidenden Vorteil mit, welcher die begründete Hoffnung regt, dass ein Einbruch der Conversion Rate zumindest vermieden werden kann: die sog. „frictionless Authentifizierung“.

Bei diesem Vorgang übermittelt der Händler dem Issuer einen ganzen Bausatz zusätzlicher, Risiko-relevanter Informationen, die der Issuer selbst bewerten kann und dann ohne Interaktion mit dem Karteninhaber eine Genehmigung der Transaktion bzw. Zahlungen erteilen kann. Dieses Vorgehen nimmt einerseits die Haftung des Schadensfalls vom Händler und überträgt diese auf den Issuer, und erfordert anderseits keine weitere Interaktion mit dem Karteninhaber, die ggf. zu einem Transaktionsabbruch führen könnte.

Da aber – Stand heute – weder die Issuer genau wissen, welche Parameter für die Bewertung in ihren Fraud-Prevention-Systemen wirklich einen positiven Effekt in Hinsicht auf eine reibungslose Transaktionsverarbeitung beeinflussen werden, noch die Händler flächendeckend in der Lage sind, die für die Issuer notwendigen optionalen Felder in der Authentifizierungsnachricht zu übermitteln, läuft der Markt Gefahr, genau dieses so mächtige Instrument gar nicht zu nutzen. Dabei sollten die PSD2-Richtlinien genau dies vermeiden.

Und genau an dieser Stelle bedürfte es wieder einmal einer regulativen Vorgabe durch die entsprechenden Schemes, die die Issuer in einen einheitlich definierten Zustand versetzen würde.

Abschmecken der Suppe und die Nachbesserung

Letztlich hat aber die BaFin nun am 21. August doch eingelenkt – zumindest für den E-Commerce- Bereich – und mit ihrer Erklärung einen (bislang noch) unbefristete Duldung nicht SCA-authentifizierter E-Commerce-Transaktionen bekundet. Damit wurde aber keineswegs die SCA-Pflicht zum 14 September 2019 aufgehoben. Ganz gemäß unserem Sternekoch, wird die BaFin ihre SCA-Suppe niemals aufgeben, sondern vielmehr versuchen, diese durch geschicktes Abschmecken auch für den Konsumenten „erträglich“ zu gestalten.

Die BaFin darf aber beim „Abschmecken“ nicht vergessen, dass sie nur einer der Hilfsköche der SCA-Suppe ist. Ein inhomogener Umgang im EWR mit der zuvor beschriebenen Duldungsregelung erzeugt eher ein noch größeres Unsicherheitsbefinden als sowieso schon vorhanden. National voneinander abweichende Regelungen würden den Händler und auch den Karteninhaber maximal verwirren. Um genau diese Situation zu vermeiden, wäre eine deutlich klarer formulierte Vorgabe der EBA sehr viel hilfreicher.

In wie weit das aber genau gelingt bzw. umgesetzt wird, bleibt abzuwarten.

Resümee des Kochkurses

Die Unsicherheit am Markt im Umgang mit der SCA-Nutzung hat aufgrund der akuten Dringlichkeit vor der Umsetzung zum 14.09.2019 – wie schon erwähnt – die Kreativität der Händler deutlich angeregt. Das geht teilweise so weit, dass in Ermangelung passender SCA-Alternativen die sog. „alternativen Zahlarten“ (wie z.B. PayPal, Paydirekt, Wallet-Systeme etc.) den Vorzug vor der SCA-pflichtigen Kartentransaktion erhalten. Die Betreiber dieser alternativen Bezahlmethoden beobachten diesen für sie äußerst günstigen Effekt mit einem breiten Schmunzeln, profitieren Sie doch ohne extensive Marketingausgaben von der Unkoordiniertheit und den Schwächen der Regulatorik ohne eigene Anstrengung von den Konkurrenten. Und das war – und kann auch nicht – im Sinne des Regulators gewesen sein, als die SCA-Pflicht ausgestaltet wurde (wir erinnern uns an das Ziel der Steigerung des Wettbewerbs).

Selbst wenn nun am 14. September 2019 die SCA Verpflichtung – wenn auch in abgeschwächter bzw. verzögerter Form – in Kraft getreten ist, sollte man die Duldungsperiode bezüglich der PSD2-Richtlinien sinnvoll nutzen. Vor allen Dingen sollte man aus den Fehlern seit Veröffentlichung der RTS lernen. Und dieser Lerneffekt muss bei allen beteiligten Parteien ansetzen, damit nach Ablauf der Duldungsperiode nicht wieder ein D-Day ansteht und niemand weiß, wie und wann er sich darauf vorzubereiten hat. Die Alarmzeichen für eine derartige Situation stehen bereits jetzt auf Rot, da schon jetzt Händler angekündigt haben, dass sie die SCA-Pflicht erst mit Ablauf der Duldungsperiode scharf schalten werden, um nicht selbst vorschnell einen Wettbewerbsnachteil zur Konkurrenz zu erleiden.

Zurückkommend auf das initiale Anliegen der SCA-Verpflichtung – nämlich der Reduzierung des Fraud-Aufkommens und somit zur Sicherung der Karteninhaber-Integrität – kann man an dieser Stelle nur festhalten, dass die EBA mit ihren Hilfsköchen, den nationalen Regulatoren, mangels klar definierter Vorgaben das „Unternehmen SCA“ aufs Glatteis geführt hat. Bleibt zu hoffen, dass die Regulatoren aus den vergangenen Monaten gelernt haben.

Nur ein gemeinschaftlicher Ansatz unter Einbeziehung aller Beteiligten des Payment-Ökosystems kann den gewünschten Erfolg hinsichtlich einer regelkonformen SCA-Nutzung garantieren. Es wäre schade, wenn die sich mit der SCA öffnenden Möglichkeiten einer deutlichen Sicherheit und auch eines Kunden und Karteninhaber-freundlicheren Authentifizierungsverfahrens aufgrund von Ausnahmen und der Ignoranz bzw. Entscheidungs-Faulheit der zuständigen Instanzen nicht genutzt werden könnten.