Es gibt also doch noch einen gemeinsamen Aufschrei gegen den EBA-Irrsinn: Die „European Payment Institutions Federation“ (EPIF) schickte heute ein Statement an die EU-Kommission und die Europäische Bankenaufsicht (EBA). Darin fordern EPIF, Visa, Mastercard, die Händlerverbände EuroCommerce und E-Commerce Europe, die „European Association of Payment Service Providers for Merchants“ (EPSM), das „European Hotel Forum“ und die „European Tourism Association“ einen europaweit einheitlichen Fahrplan zur Implementierung der „starken Kundenauthentifizierung“ (SCA) und einen Aufschub von mindestens 18 Monaten. Höchste Zeit.
Denn der Stichtag 14. September für die Einführung der „Zwei Faktor Autorisierung“ (2FA) bei elektronischen Zahlungen ist nun wirklich in greifbarer Nähe – und eine einheitliche Marschroute der nationalen Aufsichtsbehörden zur Durchsetzung der PSP2-Vorgaben nicht in Sicht.
In ihrem „Joint Industry Statement“ betonen Handel, Tourismusbranche, Kreditkartenorganisationen und Zahlungsdienstleister, dass die Opinion der EBA vom 21. Juli, die es den nationalen Aufsichtsbehörden überlässt flexible Migrationspläne für die „starke Kundenauthentifizierung“ (SCA) auszuhandeln, die Komplexität der Umsetzung nochmals erhöht.
„The industry is not prepared for the situation where NCAs may adopt different approaches towards industry readiness.“
Unterschiedliche Umsetzungspläne in Europa
Anders gesagt: Damit hat jetzt niemand gerechnet, dass es in Europa unterschiedliche Stufen und Handhabung der PSD2-Vorgaben zur SCA geben soll. Eine „fexible Regulierung“ in den Mitgliedsstaaten gemäß der EBA-Opinion widerspräche auch dem Ziel der PSD2. Je fragmentierter die Umsetzung erfolgt, desto komplexer wird es für pan-europäisch tätige Händler, einen konsistenten Bezahlvorgang darzustellen. Händler und PSP müssten sich von Land zu Land an den jeweiligen Umsetzungsstand anpassen, so die Kritik.
„Um Störungen im E-Commerce und des europäischen Zahlungsverkehrs zu vermeiden, geht die Branche davon aus, dass die EBA Klarheit über eine neue Übergangsfrist schafft“. Mindestens 18 zusätzliche Monate wünschen sich die Unterzeichner. Parallel soll ein europaweit einheitlichen Migrationsplan geschaffen werden, damit eine harmonisierte Umsetzung der SCA-Vorgaben gewährleistet ist. Und dieser Plan soll bitte vor dem Stichtag 14. September festgelegt und kommuniziert werden.
In der Zwischenzeit sollen Zahlungstranskationen wir bisher autorisiert werden können. Die Unterzeichner appellieren dringlich an die Aufsichtsbehörden sich auf eine „europäische Roadmap“ und eine gemeinsame SCA-Deadline zu einigen.
Weitere Kritik an der EBA-Opinion
If that weren’t enough: Abschließend kritisieren die Unterzeichner, dass in der am 21. Juli veröffentlichten EBA-Opinion eine Auflistung von Autorisierungsansätzen enthalten ist, die signifikante Abweichungen dazu enthält, was bisher von der Branche als SCA-Compliant erachtet wurde. Und, dass die EBA die aktuellen Versionen des Sicherheitsstandards 3DS der Kreditkartenorganisationen nichts als Zwei-Faktor-Autorisierung akzeptiert (siehe dazu auch schon die Kritik der EPSM). Bitte noch einmal vor Augen halten, wer zu den Unterzeichnern dieses Papiers gehört: In der EPIF sind u.a. PayPal, First Data, Evalon und Worlpay organisiert und auch sonst sind bei dem Papier alle, wirklich alle – mit Ausnahme der Banken – an Bord.
Die gemeinsame Erklärung von Zahlungsakzeptanten, -dienstleistern und -schemes stellt der EBA und der EU-Kommission ein Armutszeugnis aus. Wer als Gesetzgeber und Regulator so schlechte Vorgaben macht, dass 1 1/2 Monate vor dem Einführungsstichtag der gesamte Markt aufschreit und „STOP!“ ruft, weil er nicht weiß, was künfitg gelten soll bzw. was wo in Europa passieren wird, der hätte besser die Finger von der Payment-Welt gelassen, die in punkto Sicherheit der Transaktionsautorisierungen bislang keinerlei Anzeichen eines Marktversagens zeigt.
Ich frage mich, warum die Kartenherausgeber, die Banken, nicht mit an Bord sind bei dem „Joint Industry Statement“. Ein von sehr mir geschätzter Paymentexperte aus Bankkreisen twitterte dazu, „wir sind schon weiter“. Ich habe das nicht verstanden. Weiter bei der SCA-Implementierung? Weiter im Lobbying? Nach meinem Verständnis funktioniert Paymentkette nur, wenn auch das schwächste Glied hält. Deshalb hätte ich es begrüßt, wenn alle an einem Strang nach Brüssel ziehen. Aber jedenfalls ist der Handel mit seiner Forderung nach einer SCA-Verschiebung bzw. einem gemeinsamen Fahrplan nicht mehr allein. 🙂
Nun dürfen wir gespannt sein, wann und wie Brüssel reagiert.
Update 5.8.2019:
Nach UK machen auch Italien und Österreich von der Aufhebung der SCA-Deadline, 14. September, Gebrauch. To be continued…
Update 15.8.2019:
Die FCA hat mit den Vertretern der Kartenherausgebern, der Zahlungsdienstleister und des Onlinehandels einen 18-monatigen Implementierungsplan für die „starke Kundenauthentifizierung“ (SCA) erarbeitet. Der Stichtag 14. September ist auf der Insel obsolet. Dumm nur, dass E-Commerce keine Insel ist und die PSD2 europaweit einheitliche Regeln schaffen sollte.
Oder wie kommentiert der geschätzte Source-Chefredakteur Frank Braatz auf IT-Finanzmagazin die SCA-Situation so schön: „… wie peinlich ist das denn, wenn die EBA sich drei Monate vor Ablauf der 18-monatigen Umsetzungsfrist nicht anders zu helfen weiß, als ganz offiziell nationale Alleingänge zu erlauben, die mit der PSD2 doch eigentlich der Vergangenheit angehören sollten.“
Wir warten alle gespannt auf die BaFin: To be continued…
Da einzelne Staaten und ihre Regulierer die Umsetzung der RTS um 18 Monate verschoben haben, ist es konsequent und richtig, den Termin für alle Marktteilnehmer in der EU zu verschieben. Banken und die Payment-Branche könnten den Termin halten, aber wir müssen auch dem Handel mehr Zeit für seine Implementierung lassen. Termin schieben? Ja, bitte!
Zur obigen Aussage
„Und, dass die EBA die aktuellen Versionen des Sicherheitsstandards 3DS der Kreditkartenorganisationen nichts als Zwei-Faktor-Autorisierung akzeptiert …“
bin ich mir nicht sicher, ob das so richtig ist. Wenn ich die EBA-Opinion richtig verstehe (P. 6, Nr. 23):
„Older protocols such as EMV® 3-D Secure version 1.0, although supporting the use of SCA, are not fully adapted to PSD2. For instance, they do not include the possibility of using exemptions or use all forms of SCA approaches.“
Dann ist 3DS < 2.0 auch in ihrer Meinung in der Lage, eine SKA zu machen. Allerdings nicht in der Lage, z. B. Ausnahmen durchzuwinken.
3D Secure 1.0 ist PSD2-konform, weil fast alle Banken inzwischen mit Apps und PushTAN oder SmartTAN arbeiten, so dass zwei der drei Faktoren geprüft werden können: Besitz (Handy), Wissen (PIN) oder wahlweise Biometrie zum öffnen der App (FaceID, Fingerabdruck). Die Zwei-Faktor-Authentisierung (2FA) ist die Pflicht, die komfortablen SCA-Ausnahmen sind nur die Kür. Es wäre doch höchst unlogisch, wenn fehlende SCA-Ausnahmen ein ordentliches 2FA-Verfahren mit 3DS 1.0 verhindern würden, oder?
Ich glaube auch, da hat Herr Bender etwas fehlinterpretiert.
Die Hoffnung von interessierter Seite, die Informationen zum Zahlungsverhalten aus dem 3DS Protokoll könnten als Inhärenzfaktor anerkannt werden („Ich kaufe immer das gleiche Zeig ein, also bin ich“?), hat die EBA abgeschossen.
Das 3DS Protokoll ist ein Transportvehikel, aber kein Sicherheitsfaktor für sich.
Ebenso hat die EBA ja die Irrmeinung, die auf der Karten aufgedruckten Daten seien ein Wissens- oder gar Besitzfaktor, zerschossen. Obwohl doch seit SecuRePay schon klar war, dass das zu schützende, sensible Zahlungsdaten sind.