Handel fordert geschmeidige SCA-Umsetzung

Keiner zu Hause: Die EBA sitzt nun in Paris und muss ihre Bildergalerie aktualisieren. (Foto: EBA)

Kaum hat die Europäische Bankenaufsicht (EBA) ihre neuen Büros in Paris bezogen und Brexit-London den Rücken zugekehrt, da findet der Executive Director Adam Farkas auch schon Post auf seinem neuen Schreibtisch. Der europäische Handelsverband EuroCommerce bittet in einem Brandbrief vom 5. Juni darum, die Implementierung der „starken Kundenauthentifizierung“ (SCA) zum 14. September nicht hart zu exekutieren, sondern in einem smoothen und gemanagten Prozess umzusetzen. Das Schreiben, über das das Handelsblatt zuerst berichtete, liegt BargeldlosBlog vor. EuroCommerce warnt darin davor, dass die Payment-Kette zum September-Stichtag noch nicht fit für die Zwei-Faktor-Autorisierung (2FA) ist – mit möglichweise fatalen Folgen für Handel und Verbrauchervertrauen.

Grundsätzlich begrüßt der Händlerverband die Regulatory Technical Standards (RTS) zur SCA der EBA, die die rechtliche und technische Basis für die ab dem 14. September bei vielen elektronischen Zahlarten erforderliche Zwei-Faktor-Autorisierung bilden, wie Eurocommerce-Chef Christian Verschueren in dem Brief betont.

Zu wenig Vorbereitungszeit

Allerdings hätte sich die Festlegung der finalen Standards so lange hinausgezögert, dass „key stakeholder“ nun zu wenig Zeit haben, die neu entwickelten Autorisierungsprozesse durchzutesten. Dem Onlinehändlern würden daher erhebliche Störungen („major distruption„) drohen – ausgerechnet in der umsatzstärksten Zeit des Jahres – Black Friday, Weihnachtsgeschäft und Neujahrstag.

Die SCA-Umsetzung stelle die gesamte Payment-Kette vom Handel über die Payment Service Provider (PSP) und Acquirer bis hin zur kartenausgebenden Bank vor große Herausforderungen – und:

A failure by any one of the parties involved could lead to the transaction not being correctly authenticated and therefore declined“

Mittelstand wird abgehängt

Mehrere EuroCommerce-Mitglieder (das sind u.a. die nationalen Handelsverbände) hätten ernste Bedenken geäußert, ob alle Glieder der Payment-Kette den Herausforderungen gewachsen sind. Zudem seien die Kartenemittenten darauf vorbereitetet, Transaktionen abzulehnen, die nicht die künftig erforderliche starke Autorisierung besitzen. Insbesondere kleine und mittlere Händler hätten aber oftmals (55 Prozent) noch nicht einmal die einfachsten 3DS-Versionen implementiert, zieht EuroCommerce die Mittelstands-Karte im Spiel der Lobbyargumente.

Der Verband fordert daher eine Art gleitenden Übergang auf das PSD2/SCA-Zeitalter mit einer abgestuften Durchsetzung auf Basis einer Roadmap und eines begleitenden Monitorings. EU-Kommission, EBA und nationale Behörden sollen der Payment- und Handelsbranche eine entsprechende Zusicherung geben. Vier Punkte stehen auf der Wunschliste:

1. Alle relevanten Beteiligten sollen ihre Verpflichtungen zur Umsetzung erfüllen. Die Kartenherausgeber sollen ihre Kunden über die neuen Autorisierungsanforderungen informieren und diese erläutern.

2. Kartenherausgeber sollen weiterhin nicht-SCA Transaktionen akzeptieren, auf Basis ihrer eigenen Risikosteuerung. Damit soll Zeit für die nötigen Systemänderungen und Tests bei Händlern, PSP und Acquirern geschaffen werden.

3. Die SCA-Voraussetzungen sollen europaweit einheitlich durchgesetzt werden.

4. Die Händler sollen von den Ausnahmereglungen der SCA von Beginn an profitieren können, damit auch in der Implementierungsphase eine friktionslose Bestellung und Bezahlung im Onlineshop („seamless customer journey“) gewährleistet ist. (Anmerkung/Erläuterung): Für die Implementierung der in den RTS vorgesehenen Ausnahmen hat derzeit keiner Zeit, weil er erstmal den Regelbetrieb der 2FA auf die Kette bekommen muss.)

Was will der Handel?

Zugegeben, man weiß nicht so ganz genau, was der Händlerverband genau will und woran es seiner Auffassung nach konkret hapert. Aber das Schreiben kann wohl auch einfach als dringliche Aufforderung zu einem Krisengespräch und einem Notfallplan gelesen werden. Knapp drei Monate vor dem 14. September 2019. Verbandsdiplomatisch wollte man offenbar ein allzu deutliches Fingerpointing vermeiden. Zudem weiß jeder im Markt, es hakt an mehreren Stellen. In anderen europäischen Ländern gibt es sicher Themen – zB zwischen Aufsicht und Branche -, von denen man hier nichts bis wenig weiß. Die SCA-Umsetzung wird ein Abenteuer mit ungewissem Ausgang und vielleicht ungeahnten Folgen.

Dennoch: Im September 2017 hatten sich immerhin noch 27 Internetverbände zusammengetan, um den ersten Entwurf der EBA zu technischen Standards für die „starke Kundenauthentifizierung“ in einem Brandbrief an EU-Kommissionsbrief Jean-Claude Juncker zu verdammen. Inzwischen scheint EuroCommerce allein zu Hause zu sein – man wundert sich warum. Warum die EBA und nicht die eigentlich verantwortliche EU-Kommission angeschrieben wurde, dürfte dagegen klar sein. In Brüssel werden die Posten aktuell neu verteilt, daher ist die DG FISMA in dem Schreiben nur noch auf Arbeitsebene in cc gesetzt.

BaFin befürwortet fließende Umsetzung

Wer nun meckert, dass es für alle Beteiligten der Payment-Kette doch fünf Jahre Zeit gab, sich auf die SCA einzustellen, der sei freundlich daran erinnert, dass die EBA ihren „finalen Entwurf“ zu den RTS mit einiger Verspätung erst am 27. Februar 2017 vorlegte. Es folgte ein Stück aus dem Tollhaus sehenswerter Streit mit der Kommission, bis letztere die nun geltende Version schließlich am 27. November 2017 annahm. Und: Es ist nicht so, dass das revolutionäre Regelwerk in der Praxis nicht gut 110 offenen Fragen aufwirft, über die Branchen- und Rechtsexperten auf Fachseminaren, Kongressen und in Podcasts munter diskutieren.

Die Zeitpläne des PSD2 waren bislang fast alle Makulatur. Die SCA RTS war am 27. November 2018 final, statt am 13. Januar 2017.

Immerhin: Die Lebensmittel Zeitung ($) berichtete vergangenen Freitag unter der schönen Überschrift „Handel fürchtet Zwei-Faktor-Chaos“, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einem gleitenden Übergang in die SCA-Zeit wohl aufgeschlossen gegenübersteht. Es wären gute Nachrichten für die Branche. Wie es auch kommen mag, das Ganze bleibt ein „Zwei-Faktor-Unsinn“.

Es wird eine sehr spannende Frage, ob die PSD2 mit ihrem OpenBanking-Ansatz tatsächlich mehr Wettbewerb auf dem Zahlungsverkehrsmarkt und Bankensektor bringt – im Interesse der Kunden, mit neuen innovativen Services von FinTechs oder wem auch immer oder auch durch geringere Kosten. Oder, ob vor allem die BigTechs wie PayPal, GAFA & BAT die neuen Einfallstore und Schnittstellen für ihren ohnehin unaufhaltsamen Siegeszug zum Kunden nutzen können. Getreu dem Motto der Plattformökonomie: The winner takes it all. Ok, das kann natürlich auch im Interesse der Kunden sein. Wer weiß?

Leseempfehlungen:

1. Apropos Payment und BigTech: Haben Sie auch die Radiowerbung von Amazon in dieser Woche gehört, die für den „Kauf auf Rechnung“ bei Amazon wirbt? „Zahlen Sie bequem am Monatsende!“. Wird langsam spooky, nicht wahr? In diesem Zusammenhang eine Leseempfehlung:

„Ms Schoepke [general manager of Amazon Lending Europe] acknowledged that Amazon is “not there yet”, but the suggestion that the tech giant is experimenting with PSD2 is likely to alarm banking executives, who have previously complained that the rules give big tech groups an unfair advantage“, FT, 14. Juni 2019.

Ich konnte neulich einem Ministerialdirigenten aus dem BMWi – Bereich Wettbewerbspolitik – lauschen. Dort macht man sich Sorgen, was die PSD2 und OpenBanking für die deutschen Banken bedeuten wird. Das muss uns als gute Europäer nicht beängstigen, aber es lässt aufhören. Angesichts der Finanzmacht, Kundenbasis und der Datenpower der GAFA & BAT bekommt man mit der Finanzbranche ja schon fast Mitleid.

2. Apple und der Ausbeutungsmissbrauch. Ich habe mich hier mal dazu ausgelassen, dass ich ApplePay bzw. die gesamte Apple-App-Plattformstrategie für digitale Wegelagerei halte und, dass ich finde Apple müsste von den Wettbewerbsbehörden zumindest dazu gezwungen werden, die NFC-Schnittstelle für alternative mobile Payment-Anbieter zu öffnen. Mit der ersten Einschätzung stehe ich vielleicht nicht ganz alleine da. 🙂 Es gibt eine sehr interessante Entscheidung des US-Supreme Court gegen Apple in Sachen Plattformabkassiererei. Wird die Luft auch in den USA dünner für GAFA? Mein Lieblings-Kartellrechtsblog hat – wie immer unnachahmlich – gut über das Urteil berichtet.

3. „In ihrem aktuellen Monatsbericht sieht die Bundesbank Handlungsbedarf bei der Weiterentwicklung von universell europaweit einsetzbaren Zahlungsmitteln“, schreibt die Bundesbank.. Na dann. 🙂

4. Eurocommerce hat hier einen aktuellen Leitfaden zur SCA für Händler veröffentlicht.

Einen guten Start in die Woche! BG Bender

Update 21.6.

Es gibt eine Reaktion der EBA auf verschiedentlich geäußerte Bedenken, dass der Paymentmarkt noch nicht SCA-ready ist. Nicht nur der Handel möchte ja gerne eine „Extension“ oder einen „Waiver“ (so hieß es damals bei der EMV-Einführung immer, gell?).

„The European Banking Authority (EBA) published today an Opinion on the elements of strong customer authentication (SCA) under the revised Payment Services Directive (PSD2). The Opinion is a response to continued queries from market actors as to which authentication approaches the EBA considers to be compliant with SCA.“

Die EU-Kommission „begrüßt“ die EBA-Opinion. Ich muss das erstmal in Ruhe lesen. Auf den ersten Blick erhalten die nationalen Aufsichtsbehörden, BaFin & Co., mehr Flexibilität bei der Durchsetzung, wenn im Gegenzug eine Roadmap zur Umsetzung vorgelegt wird.

Für Wochenendlektüre ist jedenfalls gesorgt. 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.