Neuer EBA-Draft zur PSD2

Ein Faktor ist nicht genug: Die PSD2 soll die Zwei-Faktor-Autorisierung bringen.

(Vorbemerkung: Dieser Beitrag wurde nach Veröffentlichung des „finalen Entwurfs“ der EBA aktualisiert, siehe am Ende).

Dem Brüsseler Korrespondenten der Süddeutschen Zeitung ist offenbar der neue EBA-Entwurf zu den Regulatory Technical Standards (RTS) für die Zwei-Faktor-Autorisierung im Rahmen der PSD2 auf den Tisch geleakt worden. „EU-Bankenaufsicht blockiert strengere Regeln bei Online-Zahlungen“, titelt die SZ vergangene Woche.

Wenn die Informationen im Artikel stimmen, nimmt die EBA Abstand von ihrem zur Konsultation gestellten Entwurf. Ursprünglich wollte die Europäische Bankenaufsicht für jede elektronische Zahlung über 10 Euro eine sogenannte Zwei-Faktor-Autorisierung (2FA) als Sicherheitsüberprüfung vorschreiben. Das hätte die ePayment-Welt in Europa auf den Kopf gestellt und das Zahlen im Internet für Konsumenten sehr unbequem gemacht, wie ich in diesem Blogpost kritisierte. Doch davon ist nun offenbar keine Rede mehr.

Laut dem SZ-Beitrag soll die 2FA erst ab Zahlungstransaktionen über einem Wert von 500 Euro obligatorisch sein. Unterhalb dieser Schwelle kann mit einem risikobasierten Ansatz (Socring, etc.) überprüft und entschieden werden, ob eine starke Kundenauthentifizierung (SCA) mit 2FA erforderlich ist oder nicht. Für Beträge unter 30 Euro – vormals 10 Euro – ist auch dies nicht erforderlich. Es wird also auch weiterhin kontaktlose Kartenzahlungen per Tap&Go in Europa geben können.

Das wäre – meiner bescheidenen Meinung nach – zwar immer noch überregulierter Mist, weil sämtlichen elektronischen Zahlverfahren ohne Not per Gesetz eine starre Sicherheitsüberprüfung vorgeschrieben wird, über die die Betreiber in eigener Verantwortung entscheiden sollten. Es wäre aber schon mal ein Stück weit weniger Unfug als ursprünglich geplant. Und es wäre ein deutliches Einlenken der EBA aufgrund der zahllosen Stellungnahmen, die im Rahmen der Konsultation eingingen. Gestern noch hielt man in London die 2FA nach dem Wortlaut der PSD2 als Standardweg für zwingend vorgegeben.

In dieser Woche wissen wir vielleicht schon mehr. Die Vorlage der RTS zur 2FA durch die EBA ist überfällig.

Die Bankenlobby und der böse Wolf

Die Bewertung des SZ-Artikels geht meines Erachtens BTW allerdings völlig fehl. Die EBA ist nicht vor der bösen Bankenlobby eingeknickt und „blockiert“ nun sicheres Zahlen für Kunden im Internet. Bei der PSD2 geht es nicht um Sicherheitsfeatures zugunsten des Kunden, sondern es geht um die Sicherheit der Zahlungsverfahren aus dem Blick der Bankenaufsicht, es geht der EBA um systemische Sicherheit.

Wer als Konsument mit sicheren Zahlungsmitteln im Internet zahlen will, wird auch künftig nicht von der EBA, der PSD2 oder „den Banken“ daran gehindert. Jeder kann sich bei PayPal oder Amazon & Co. freiwillig eine 2FA als Default einstellen, wenn er das denn will. Niemand muss aber jedwede Online-Zahlung auf einem zweiten Weg bestätigen.

Die Betrugs- und Missbrauchskosten trägt das jeweilige Zahlungssystem selbst, bzw. wälzt sie mit den Gebühren auf die Händler und Akzeptanten ab. Wenn die Betrugskosten zu sehr steigen, muss sich das jeweilige Verfahren eben 3D-Secure etwas Neues einfallen lassen. Das ist kein Thema, das der europäische Gesetzgeber regeln müsste.

Die böse Bankenlobby ist hier nur ein typischer Reflex des möchtegern-kritischen Wirtschaftsjournalismus, oder nicht? Das stelle ich hier gerne mal zur Diskussion.

Update 21.2.2017: Andrea Enria, Chef der EBA, hat heute eine Rede auf dem Westminster Forum gehalten, in der er die Konsultation zur PSD2 leicht weinerlich schildert und inhaltlich deutlich gegenüber dem ursprünglichen RTS-Draft zurückrudert. Die Verschiebung der Kleinbetragsschwelle von 10 auf 30 Euro, über die die SZ berichtete, wird demnach kommen. Den Rest von Enrias Rede zu weiteren Ausnahmemöglichkeiten von der 2FA und zum „risikobasierten Ansatz“ muss ich nochmal in Ruhe nachlesen. Oder man wartet auf den endgültigen neuen Entwurf der EBA.

Update 23.2.2017: Und hier nun der finale Entwurf der EBA zur starken Kundenauthentifizierung von elektronischen Zahlungen im Rahmen der Payment Service Directive (PSD2). Kommentierungen, Einschätzungen, Lob und Kritik erwünscht. Auf dem Internetportal Finextra wird bereits ein wenig dazu diskutiert. Das kann die deutsche Payment-Community doch auch, oder?! 🙂

7 Gedanken zu „Neuer EBA-Draft zur PSD2

  1. Sehr gut geschrieben Hanno! Vielen Dank für die (einmal mehr) sehr gute Zusammenfassung!

    Ich unterstreiche Deine Argumentation, dass hier ein Banken-Bashing wg. der Lobby-Arbeit völlig fehl am Platz ist. Dass die EBA „überrascht“ von 280+ Einsprüchen zur RTS war, liegt NICHT daran, dass die Banken so starkes Lobbying machten, sondern eine komplette Industrie sich gegen eine unnötige (Über-)Regulierung wehrt. Wenn operativ marktfremde Zentralbanken und Aufsichten wg „nur“ 0,038% Betrugsniveau (Quelle EZB-Pressemitteilung) glauben massiv in den Zahlungsprozess eingreifen zu müssen und somit das Wachstum unnötig bremsen, muss man sich nicht wundern, dass die komplette Industrie aufschreit.

    Ich würde sogar noch einen Schritt weiter gehen. In Deutschland habe zumindest ich den wenigsten Widerspruch GERADE von dem einen oder anderen Vertreter der Banken und Bankenverbände gehört.

    VG

    Jochen

    • >Wenn operativ marktfremde Zentralbanken und Aufsichten wg „nur“ 0,038% Betrugsniveau (Quelle EZB-Pressemitteilung) glauben massiv in den Zahlungsprozess eingreifen zu müssen und somit das Wachstum unnötig bremsen, muss man sich nicht wundern, dass die komplette Industrie aufschreit.
      Dagegen spricht folgendes Zitat aus dem SZ-Artikel:
      „Der Europäischer Zentralbank zufolge ist der Betrug bei elektronischen Zahlungen in den vergangenen Jahren massiv gestiegen. 2015 waren 71 Prozent aller Betrugsfälle mit Kreditkarten in der EU mit Internetzahlungen verknüpft. Allein in Großbritannien, wo das Bezahlen mit Kreditkarte besonders verbreitet ist, wurden 2015 fast 1,2 Millionen Kunden Opfer eines Betrugs als sie online einkauften – ein Anstieg von 20 Prozent im Vergleich zum Vorjahr.“
      Diese Zahlen fordern zum Handeln auf.

      • Hallo A!

        Unlogisch 1: Risikokosten sind bei vielen Paymentransaktionen eingepreist und nur grob fahrlässige Nutzung muss vom Endkunden übernommen werden.

        Unlogisch 2: Warum werden manche Zahlverfahren vom Regulier gebremst zugunsten von anderen. Die 2FA wird Online-Rechnungskauf noch viel mehr fördern, was zulasten kompletter Kundengruppen geht, die mangels guter Bonität dann nicht mehr bequem einkaufen dürfen. Ist das im Sinne der Verbraucher???

        • 1a. Betrug muss zuerst vom Kunden bemerkt werden.
          Es ist einfacher eine Transaktion in Echtzeit zu genehmigen als einen Monat später mehrere, wenn der Kontext nicht mehr klar ist
          1b. Solange deutsche Gerichte den Anscheinsbeweis der groben Fahrlässigkeit von Banken zulassen und der Kunde dann das Gegenteil beweisen darf, ist dies nicht im Sinne des Kunden.
          1c. Bei einer betrügerischen wilden Lastschrift (ELV) hilft Dir deine Bank nicht. Nachdem Du die Lastschrift zurückgegeben hast, kommt das Inkassobüro dank der Auskunft Deiner Bank dennoch zu Dir und will es.
          2. Kann ich nicht folgen.
          Es gelten gleiche Regeln für alle.
          Dass die Bank gewisse Kunden mangels Bonität von Onlinezahlungsvorgängen ausschliessen könnte ist sehr wahrscheinlich nicht mit dem Rechtsanspruch auf ein Basiskonto vereinbar.

          • Hallo B!

            zu 1a-c alles richtig, das sind aber alles absolute Nischenfälle, kein Standard für Kunde und Handel und Ihre Argumentation kommt von einem typisch deutschen Ansatz einer „Überbeschützung“ des Kunden. Wegen einiger weniger schwarzen Schafe soll der Zahlvorgang für alle Kunden und Handel signifikant unbequemer gestaltet werden was zu höheren Abbruchquoten im Zahl- und somit Kaufprozess führt. Wenn diese Fälle Alltag wären, stimmte ich Ihnen zu. So wird aber mit Atombomben auf Spatzen geschossen.

            zu 2) Sie schauen mit der Scheuklappe Banken auf das Thema. Rechnungskauf und die Entscheidung ob der Kunde mit Rechnung zahlen darf, hat nichts mit der Bank zu tun, sondern ausschliesslich dem Händler. Nur dieser entscheidet welchem Kunden man diese Zahlung anbietet. Wenn 1Click-Shopping bei Karte, ELV etc. wg der „Atombombe“ Überregulierung nicht mehr möglich sein sollte, wird der Handel statt dessen mehr Transaktionen über Rechnungskauf abwickeln um Einbrüche auf der Zahlungsseite und somit Umsatzrückgang zu vermeiden. Nur der Händler bzw seine Rechungskauf-Dienstleister entscheiden wer und bis zu welchem Betrag diese Zahlung nutzen darf. Ergo werden bonitätsschwache Kunden darunter leiden „abgelehnt“ zu werden und dann komplexere „2FA“ Verfahren nutzen zu müssen, weil die Scoringmodelle des Handels „schlechtere“ Kunden vom Rechnungskauf ausschliessen. „Bequemes Shopping nur noch für Reich wegen der EU/Zentralbanken/Aufsichten“ ist eine mögliche Zeitungsüberschrift!

  2. >Die Betrugs- und Missbrauchskosten trägt das jeweilige Zahlungssystem selbst, bzw. wälzt sie mit den Gebühren auf die Händler und Akzeptanten ab.
    Gibt es hierzu verlässliche Zahlen?
    Ansonsten scheint es nicht ausgeschlossen, dass der Verbraucher dank Anscheinsbeweis der groben Fährlässigkeit die Kosten in den meisten Fällen trägt.

    >Wer als Konsument mit sicheren Zahlungsmitteln im Internet zahlen will, wird auch künftig nicht von der EBA, der PSD2 oder „den Banken“ daran gehindert.
    PayPal ist ein anderes Banken-unabhängiges Zahlungsmittel dessen 2FA zweifelhaft ist. [1] Außerdem ist PayPal nicht überall verfügbar.
    Amazon sein 2FA ist nur für den Login und nicht an eine Zahlung gebunden, womit fraglich ob das PSD2 gerecht würde.

    [1] https://krebsonsecurity.com/2015/12/2016-reality-lazy-authentication-still-the-norm/

  3. Pingback: FinTech Podcast #89 - MPE2017 - Paymentandbanking

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.