Zwei Faktor Unsinn

Auch als überzeugter Europäer könnte man aktuell mal wieder am Brüsseler Regulierungsunfug verzweifeln. Mit der EU-Zahlungsdienste-Richtlinie (PSD2) wollte der europäische Gesetzgeber Wettbewerb und Innovation in den Zahlungsverkehrsmarkt bringen.

Stattdessen droht ein bürokratisches Monster zu entstehen, mit drastischen Auswirkungen auf Online-Bezahlverfahren und den dahinterstehenden Anbietermarkt. Am Ende wird der Verbraucher (1) die Chose voraussichtlich über höhere Kontoführungsgebühren bezahlen und (2) womöglich mehr Aufwand bei Zahlungen im Internet betreiben müssen. Als Nebeneffekt dürfte die PSD2 die Konzentrationstendenz im E-Commerce befeuern.

Ob tatsächlich mehr Wettbewerb entsteht, ist dagegen derzeit völlig ungewiss. Vom „Better Regulation“-Versprechen, das sich die Junker-Kommission auf die Europa-Fahne geschrieben hat, ist das Regelwerk jedenfalls weit entfernt. Doch der Reihe nach.

Ein Kernstück der PSD2 ist der Zugang zum Bankkonto, der Drittdienstleistern eröffnet wird. Dies soll mehr Wettbewerb und neue Produktangebote im Zahlungsverkehr ermöglichen. Quasi im Gegenzug für den „Access to Account“ (XS2A) sieht die PSD2 vor, Zahlungstransaktionen abzusichern und zwar vorzugsweise mit einer „starken Kundenauthentifizierung“ (SCA) im Wege einer Zwei-Faktor-Autorisierung (2FA).

Mit 2FA zur iCloud 7.

Die Details zu SCA und 2FA soll die Europäische Bankenaufsicht (EBA) in Regulatory Technical Standards (RTS) festlegen. Ein erster Entwurf, den die EBA den betroffenen Wirtschaftskreisen im August 2016 zur Konsultation vorstellte, stieß auf vernichtende Kritik. 224 Stellungnahmen gingen in London ein und hinterließen offenbar Eindruck. Der zweite, „finale“ Entwurf, den die EBA Ende am 23. Februar veröffentlichte, ist eine klare Kehrtwende. Besser werden die RTS damit allerdings nicht. Es bringt halt nichts, wenn man auf halber Strecke nur halb zurückrudert. Der sichere Hafen ist dann noch ein Viertel des Weges entfernt.

Die Rückkehr des risikobasierten Ansatzes

Nach dem ersten Entwurf sollte bei jeder elektronischen Bezahlung über 10 Euro eine 2FA erfolgen. Nun soll eine solche starke Kundenauthentifizierung mit jeweils einem zweiten Merkmal aus den Bereichen Wissen (z.B.: Passwort), Besitz (z.B.: Karte) oder Inhärenz (z.B.: Fingerabdruck) nur noch bei Zahlungen über 30 Euro notwendig sein. Ausnahmen von der 2FA können überdies gemacht werden, wenn der Zahlbetrag (a.) unter 500 Euro liegt und (b.) der Payment Service Provider (PSP) die Transaktion als risikoarm identifiziert. Wann eine Transaktion als „low risk“ klassifiziert werden darf, dazu geben die RTS in Art. 16 (S. 25) konkrete Betrugsraten vor:

Den ersten Entwurf hatte die EBA vor dem zuständigen Ausschuss im EU-Parlament noch damit verteidigt, dass es nach den Vorgaben der PSD2 (konkret: Art. 98) kein Regel-Ausnahme-Verhältnis für die 2FA geben dürfe, weil die starke Autorisierung zwingend für jede Transaktion vorgeschrieben sei. Nun wird die Ausnahme plötzlich zur Regel gemacht, aber an Vorgaben geknüpft, die kein Mensch und auch keine nationale Aufsichtsbehörde verstehen oder gar überwachen kann. Deshalb soll der jeweilige PSP die Einhaltung der Quoten überwachen und aufzeichnen – und zwar vierteljährlich. Die Datensammelwut von Aufsichtsbehörden ist ein bekanntes Phänomen.

Was versteht die EBA unter Betrug?

Absurder wird die Regelung jedoch noch, weil nirgends klargestellt ist, was überhaupt mit Betrug im Sinne der RTS gemeint ist. Hier wird die ganze Marktferne der noch jungen Londoner Aufsichtsbehörde augenfällig. Soll jede Beschwerde eines Kunden als Betrug gezählt werden? Eine Definition sucht man vergebens, jede nationale Aufsichtsbehörde darf sich etwas aussuchen. So genau wird ohnehin niemand hinschauen, mit Ausnahme vielleicht der deutschen BaFin.

Von dieser Detailfrage mal abgesehen, wird die schräge Kompromisslösung zur 2FA eine Reihe von drastischen Folgen haben, die mit den ursprünglichen Zielen der PSD2 nichts zu tun haben:

  • Rund 80 Prozent der Zahlungsvorgänge im Internet liegen unterhalb der 500-Euro-Schwelle. Dennoch muss jede Paymentmethode, die auch mal Zahlungen über 500 Euro abwickeln will, eine 2FA-Lösung entwickeln, anbieten und Händlern und Kunden vermitteln. Das spielt etablierten Verfahren in die Karten.
  • Kunde und Händler wissen vor dem Kauf nicht mehr, wie die Zahlung autorisiert werden muss – einfach oder zweifach. Könnte ja sein, dass die Betrugsquoten beim PSP im letzten Quartal gerade aus dem Ruder gelaufen sind und für den Blumenstrauß bei Fleurope ausnahmsweise doch PIN und TAN erforderlich sind.
  • Die PSP werden sich überlegen müssen, ob sie ihr Geschäft in risikoreiche und risikoarme Transaktionen splitten, um für risikoarme Branchen wie Blumenhändler und Kartenmacherei.de weiterhin bequeme Zahlverfahren anbieten zu können.
  • Die Aufsichtsbehörden werden viel Arbeit damit haben, den PSP auf die Finger zu schauen.
  • Onlinehändler müssen ihren Zahlungsmethodenmix überprüfen, um dem Kunden nach Möglichkeit auch eine bequeme Zahlungsart anzubieten.

Wer kommt auf die White-List?

Auch die zweite Ausnahme, die die EBA für die 2FA gelten lassen will, wirft eine Fülle von Fragen und Problemen auf. Die kontoführenden Banken können ihren Kunden eine Liste von vertrauenswürdigen Zahlungsempfänger anbieten. Wer aber entscheidet über die Vertrauenswürdigkeit? Kommt neben Amazon noch ein glücklicher mittelständischer Onlineanbieter auf diese Liste? Wer pflegt und bezahlt die Liste?

Die Rückkehr der Ritsch-Ratsch-Kartenleser-Kultur

Neben diesen Problemen gibt es eine ganze Reihe von weiteren Ungereimtheiten in dem 153-seitigen Papier der EBA. Eine neue Konsultationsrunde wäre dringend geboten, denn gegenüber dem ersten Entwurf blieb kein Stein in den RTS auf dem anderen. Es ist ein schlechter Witz, dass dennoch keine neue Konsultation mit den Marktteilnehmern mehr vorgesehen ist, nur weil die EBA ohnehin schon hinter dem Zeitplan hinterher hinkt und der Londoner Behörde ein erneuter Gesichtsverlust droht.

Ältere Semester und Amazon kennen das noch: Ritsch-Ratsch Imprinter

Um nur eine weitere Unsinnigkeit zu benennen (Rant-Modus on): Die RTS gelten auch für Kartenzahlungen an der Ladenkasse, weil auch dies in der Regel elektronische Zahlungen sind. Künftig darf eine Kreditkartenzahlung am POS die daran scheitert, dass der EMV-Chip auf der Karte defekt ist oder nicht vom Terminal ausgelesen werden kann, nicht mehr als Fallback-Lösung über den Magnetstreifen abgewickelt werden. Das ist derzeit Tagesgeschäft im niedrigen einstelligen Prozentbereich und in keiner Weise ein Sicherheitsproblem. Es kommt eben immer mal wieder ein defekter Chip an einer Kasse vorbei oder ein Lesegeräte zickt. Unter dem PSD2-Regime darf eine solche Transaktion nicht mehr hilfsweise komplett über den Magnetstreifen abgewickelt werden. Es bleibt aber die Möglichkeit, die Zahlung über den Magnetstreifen bei der kartenausgebenden Bank zu checken und anschließend die Autorisierung durch den Karteninhaber über einen schönen alten Hochdruckkartenleser, im Volksmund Ritsch-Ratsch-Gerät, durchzuführen. Die EBA bringt den Zahlungsverkehr zurück in die 80er-Jahre. Herzlichen Glückwunsch! (Rant-Modus off)

Kein Regulierungsbedarf in Sachen Sicherheit

RTS und Ritsch-Ratsch hin oder her. Das grundsätzliche Ärgernis an der PSD2 und insbesondere der Zwei-Faktor-Autorisierung ist, dass es beim Thema Sicherheit überhaupt keinen Regulierungsbedarf gibt. Generell nicht und nicht auf europäischer Ebene, wir befinden uns hier im World Wide Web. Sämtliche Zahlungsverfahren sorgen selbst dafür, dass ihnen die Betrugs- und Missbrauchskosten nicht über den Kopf wachsen. Siehe nur die Einführung des EMV-Standards bei den Kreditkarten, siehe 3D-Secure und Verified by Visa. Auch die Haftungsverteilung zwischen Händler, Acquirer und Scheme regelt die unsichtbare Hand des Marktes. Willst Du mehr Umsatz, übernehme das Risiko.

Es ist blanker Unsinn sämtlichen Bezahlmethoden in allen erdenklichen Branchen pauschale Sicherheitsabläufe vorzuschreiben – am Besten noch mit starren Betrugsquoten, ohne zu klären, was mit Betrug gemeint ist. Das ist Unfug, greift unnötig in den Markt ein und hat mit Innovationsförderung nichts zu tun. Bestellungen bei Alexa oder der seamless Checkout bei AmazonGo wird mit einer 2FA nichts werden, um nur zwei Beispiele zu nennen. Innovation bringt die PSD2 damit sicher nicht – im Gegenteil.

Wettbewerb bringt die überarbeitete EU-Zahlungsdienste-Richtlinie aber wohl auch nicht. Wenn die Deutsche Kreditwirtschaft in ihrer Stellungnahme den „final Draft“ der EBA begrüßt, dann können sich die FinTechs ausrechnen, dass es mit dem „Access to Account“ dank der Schnittstellenhoheit der Banken wohl nicht weit her ist.

Was die PSD2 den Verbrauchern bringen soll, wird mir auch am heutigen Weltverbrauchertag noch nicht ganz klar. Zusätzliche Sicherheit wird der Verbraucher aufgrund der 2FA nicht gewinnen, auf Betrugsschäden bleibt er in 99,8 % der Fälle schon heute nicht sitzen. Wozu also das Ganze?

Dummerweise wird sich allerdings wohl keine relevante Lobbygruppe mehr gegen den Regulierungsunfug und die finalen RTS stellen. Die Banken sind mit der RTS2 happy („Hätte schlimmer kommen können“), die EU-Parlamentarier sagen sich, „Wir haben entscheidende Verbesserung gegenüber dem 1. Entwurf erreicht“, die PSP und Fintechs träumen von Instant Payments-Killerapplikationen und der Handel reibt sich die Augen („Darum soll sich unser PSP kümmern“).

Leseempfehlung zum Thema:

Mirko Hüllemann, Gründer und Geschäftsführer des PSP Heidelpay, zeigt sich in einem Beitrag für t3n ebenfalls überzeugt, dass die PSD2 „zu einem gewissen Grad die Marktmacht der E-Commerce-Riesen stärken wird“. Und weiter: „Durch PSD2 werden die Karten also neu gemischt. Dass in Zukunft in sehr vielen Fällen eine starke Zwei-Faktoren-Authentifizierung nötig wird, dürfte den Markt der Zahlungsverfahren und der Zahlungsdienstleister schon ein wenig durchrütteln.“ Wie wahr.

Disclaimer: Habe ich etwas in den 153 Seiten übersehen? Etwas oder alles falsch verstanden? Bitte um Hinweise – am Liebsten in den Kommentaren. Schlusskorrektur steht aus. 🙂

Flattr this!

9 Gedanken zu „Zwei Faktor Unsinn

  1. Auf jeden Fall ein wichtiger Beitrag, damit mehr Marktakteure die Dimension der Veränderungen verstehen (wundere mich aktuell über die Ruhe in der Szenerie).

    „der Payment Service Provider (PSP) die Transaktion als risikoarm identifiziert.“ – Hier lohnt sich ggf. eine Klarstellung wer „PSP“ im Sinne der RTS ist und was passiert wenn der Acquirer unter dem Threshold ist, der Issuer aber darüber.

    Und nach meinem Verständnis sind die Fraudraten immer bezogen auf den Gesamtfraud des Players und dann auf den Tier angewendet (also nicht pro Betragsband berechnet). Wird es dadurch nicht für Akzeptanten mit Risiko oberhalb des besten Tiers quasi unmöglich einen PSP zu finden? (Zumindest teurer, schwieriger…)

  2. Hallo Hanno, vielen Dank für den Beitrag. Zum Thema Whitelist hatte ich die RTS Art. 8.2 so verstanden, dass der ASPSP (die Bank) dem Zahlenden die technische Möglichkeit für whitelisting anbieten kann, um gemeinsam 2FA für Zahlungen an bekannte Empfänger zu umgehen. Die Liste wird jedoch vom Zahlenden gepflegt. („a list … previously created by the payer“).
    Zum Thema Fraudraten („Qouten“) – seit Jahrzenten bewährt per Tier und nicht per Band, wie David bereits ausführte. Laut RTS darf ich ab 13bp bis EUR 100 die 2FA waiven. Sollte es mir mit übermenschlichen Anstrengungen gelingen, die die Rate auf 6.5bp zu halbieren, habe ich mich laut RTS noch nicht verbessert. Erst ab =<6bp darf ich die Grenze bei 250 EUR ziehen. Praxisfremd, realitätsfern, willkürlich festgelegte Grenzen, die nur den Betrag einer Transaktion, aber nicht z.B. Risikomerkmale wie den MCC (Blumenhändler vs. Gambling) mit einfließen lassen.

      • Naja, im wesentlichen geht es darum, ob die Fraudraten für jeden Betragsbereich berechnet werden oder zunächst die Fraurate „overall“ für die Bank und dann je Betragsbereich geschaut wird ob SCA notwendig ist.

  3. Beim risikobasierten Ansatz (S. 24ff): fehlt da nicht auf Basis von Lastschrift? Welche Spalte würde auf PayPal zutreffen (wenn diese per SDD und nicht per KK einziehen)? Auf S. 25 steht „nur“:
    *) Remote card-based payments und
    *) Credit transfers

  4. Thema: Händler, Liability Shift

    Die EBA erklärt die Ausnahmeregelung von der Strong Authentication aus PSD2 Artikel 74 (2) praktisch für NICHT vorhanden. Dem Händler – weder direket noch indirekt über seinen PSP – wird kein Ermessen-Spielraum zugestanden, um zu entscheiden, ob er das Risiko einer Nicht-Anwendung der SCA tragen will oder nicht (Anmerkung 53, Anmerkung 295). Die Ausnahmen können nur die Zahlungsdienstleister steuern, wobei der Dienstleister des Zahlers im Rahmen der „risikobasierten Ausnahmen“ das letzte Wort hat (Rationale 24: „… payers PSP having the final say“)
    Damit ist die Verwendung „risikobasierter Ausnahmen“ möglicherweise durch den Händler-PSP gar nicht durchsetzbar. Man denke an kontoführende Banken / Issuer, welche teure Systeme (Echtzeitanalyse, Reporting an zuständige Aufsichtsbehörden) aus Kostengründen nicht anbieten und immer zur „strong authentication“ optieren. Sie haben damit eine Art Veto.

    Da Händler – mit Ausnahme der White List – die Usability für seinen zahlenden Kunden („one klick shopping“) nicht mehr selbst bestimmen können, muss er sich dazu eines Zahlungsdienstleisters/Zahlungssystems außerhalb des Regulierungsgebiets der EU bedienen.
    Einen besseren Marktöffner für WeChatPay, Line, … gibt es nicht.

    Thema: risikobasierte Ausnahmen

    Die risikobasierten Ausnahmen scheinen möglicherweise nur eine kurze Lebensdauer zu haben, so lange diese noch nicht die Mehrheit der Zahlungsvorgänge darstellen (Rationale 20: „… any exemption that would allow the majority of payments to be exempted from SCA would go against PSD2’s objective….“)

    Thema: Sicherheit

    Wenn es der EBA mit der Sicherheit so ernst wäre, wieso sind dann mit MOTO (Anmerkung Nr. 46) und Card on File (Anmerkung Nr. 52) die riskantesten Gebiete für Kartendiebstahl gänzlich von der RTS ausgenommen.
    Neben Ritsch-Ratsch der zweite Rückschritt, aber zumindest eine Exit-Strategie für manche Händler.

  5. An amazon’s und PayPal’s gehen die RTS der EBA ohnedies vorbei. Dort wird mit Nachdruck auf die Abbuchung per Lastschrift – also „Sepa Direct Debit“ umgestellt. Und die INITIIERUNG EINES SDD’s ist eine der Ausnahmen, für die die EBA KEINE Strong Customer Authentication verlangt. Das wäre IMHO auch für das deutsche Verfahren PAYDIREKT der Fall, denn auch hier wird eigentlich ein SDD angestoßen. Die EBA verschiebt also in Unkenntnis der Sachlage die Online-Zahlungsstöme durch die extremen Auflagen bei der Inittiierung eines SCT’s in den eigentlich risikoreicheren SDD-Bereich.
    Allerdings sollten sich die Aufsichtshörden betreffend den großen US-Konzernen schön langsam eines anderen wesentlichen Problemes annehmen: diese negieren derzeit bereits die Verpflichtung ein „echtes“ elektronisches Mandat vom Kunden einzuholen – also mit einer überprüfbaren Signaturlösung. In Zukunft muss nach den PSD2 und EBA-Vorgaben auch für das E-Mandat eine „Strong Customer Authentication“ gemacht werden… verlieren also damit alle bisherigen Pseudo-Mandate die einfach per email oder click-box gemacht wurden und wo eventuell der IBAN des Zimmernachbars gemeldet wurde, ihre Gültigkeit….? Das wird man sich wohl nicht trauen…. also: „FRÖHLICHES ABBUCHEN“ !!!

  6. Hallo Ernst, in Abschnitt (13) / Kapitel 2.2.1 des Final Draft der RTS sagt die EBA, dass SDD eine Ausnahme von 2FA darstellen, da diese SDD durch EU Regulation 260/2012 (SEPA Zahlungen und Mandatsverwaltung) bereits reguliert sind. Zitat („[It] does not apply to electronic payments initiated by the payee only. …An exception is a transaction where the payer’s consent for a direct debit transaction is given in the form of an electronic Mandate.“)

  7. Pingback: PSD2: Mögliche Folgen für Banking und E-Commerce - Management Circle Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.