PSD2: Mehr Sicherheit, weniger Kosten

EU-Richtlinie. PSD2 bringt 2FA, Open Banking und Surcharge-Verbot. Alles klar? Wenn nicht, bitte weiterlesen! Denn die novellierte EU-Zahlungsdiensterichtlinie, die bereits seit Anfang des Vorjahres in Kraft ist, ist ab 14. September dieses Jahres technisch und administrativ umzusetzen.

Das Kürzel PSD steht für Payment Services Directive und bezeichnet die Zahlungsdiensterichtlinie der EU, die 2007 erstmals in Kraft trat. In ihrer novellierten Form PSD2 gilt sie in Österreich seit 1. Juni 2018. Administrativ und technisch umzusetzen ist sie ab 14. September dieses Jahres, es ist demnach für alle betroffenen Akteure der Wirtschaft hoch an der Zeit, sich näher mit ihr zu beschäftigen. Die PSD2 bringt drei Änderungen mit sich, und zwar in puncto Sicherheitsmerkmale, Kontozugriff durch Drittanbieter und Verbot von Aufschlägen.

Zwei verpflichtende Sicherheitsmerkmale

Zum einen wird die einfache Sicherheitsabfrage, die bisher bei Online-Bezahlvorgängen angewandt wurde – zum Beispiel Eingabe der Kreditkartennummer, des Ablaufdatums und des Card Validation Codes (CVC) –, durch die sogenannte Zwei-Faktor-Authentifizierung (2FA) ersetzt, das heißt, dass nunmehr zwei Sicherheitsmerkmale erforderlich sind, um die Transaktion zustande kommen zu lassen. Sie sind aus drei möglichen Kategorien zu wählen:

Wissen: etwas, das der Online-Zahler weiß, wie zum Beispiel seine PIN oder sein Passwort;
Besitz: etwas, das er hat, so etwa seine Kreditkarte oder sein Smartphone; sowie
Inhärenz: etwas, das er ist, z.B. ein Fingerabdruck, Gesichtserkennung oder die eigene Stimme.

Der „Doppelcheck“ soll für mehr Sicherheit im Zahlungsverkehr sorgen – wobei zu ergänzen ist, dass es das 3D-Secure-Sicherheitsverfahren von Mastercard und Visa, bei dem zusätzlich zur Karte ein persönliches Passwort einzugeben ist, ja auch vorher schon gab.

Finger immer dabei – Gesicht auch

Für Piotr Kwasniak, Senior Consultant Digital Business Development bei Mastercard in Österreich, macht die PSD2 den Bezahlvorgang sicherer, bequemer und zeitgemäßer: „Wir sehen Bezahlvorgänge mit Hilfe der biometrischen Identitätsprüfung als eine große Chance – für den Handel ebenso sehr wie für die Konsumenten.“ Dadurch erübrigen sich die zahlreichen Passwörter, denn den Fingerabdruck beziehungsweise das Gesicht zum Scan hat schließlich jeder immer dabei. Kwasniak: „Die biometrischen Technologien werden zum neuen Standard für bequemes und sicheres Bezahlen im Internet.“

Beim Zahlungsverkehrs- und Transaktionsdienstleister Worldline, der im Vorjahr die Six Payment Services übernommen hat, sieht man das ähnlich. Christian Renk, Country Manager und Head Merchant Services von Worldline in Österreich: „Worldline erachtet die PSD2-Richtlinie als sinnvoll, da dadurch die Regeln für die Betrugsbekämpfung im Zahlungsverkehr verstärkt und die Konsumenten vermehrt geschützt werden.“ Der Vorteil für Händler liegt in einem reibungslosen Zahlungsvorgang, weniger Zahlungsabbrüchen durch risikobasierte Authentifizierung und intelligenten Betrugserkennungsmechanismen, um Kreditkartenbetrug zu reduzieren. Worldline hat die starke Kunden- authentifizierung (SCA) in Form des so- genannten 3D-Secure-Verfahrens bereits umgesetzt.

Auch die Erste Group hat die neuen Sicherheitsstandards schon eingeführt, erklärt Petia Niederländer, Head of Group Retail and Corporate Operations ebendort: „Zum Beispiel mit unserer Freigabemethode s Identity.“ Roland Toch, Managing Director CEE des globalen IT-Unternehmens Wirecard, geht davon aus, dass die Konsumenten die neuen Richtlinien schnell annehmen werden: „Wir alle sind bereits an diverse Authentifizierungsmöglichkeiten wie Gesichtserkennung und Fingerprint-Funktion über unser eigenes Smartphone gewöhnt.“ Bei Wirecard ist man zudem überzeugt, dass das Bezahlen mit Bargeld abnehmen, dasjenige in elektronischer Form hingegen massiv ansteigen wird. Toch: „Daher sehen wir die neuen Regularien als einen zusätzlichen positiven Schritt.“

Kontozugriff durch Drittanbieter

Die zweite Änderung durch die PSD2 namens „Open Banking“ legt fest, dass die Banken sogenannten dritten Zahlungsdienstleistern, sprich Anbietern von Zahlungsauslöse- und Kontoinformationsdiensten, den sicheren Zugriff auf online geführte Konten von Kunden ermöglichen müssen – selbstverständlich nur nach Autorisierung durch diese. Bisher mussten sie das nicht. Die Verpflichtung bedeutet für die Banken auch, die entsprechenden technischen Lösungen bereitzustellen – die es übrigens schon gibt: Mit sogenannten APIs (Application Programme Interfaces) lassen sich unterschiedliche Systeme sicher miteinander verbinden.
Open Banking markiert zwar das Ende der „exklusiven“ Beziehung zwischen den Banken und ihren Kunden, aber der Gesetzgeber verspricht sich gerade dadurch eine Stärkung des Wettbewerbs und einen technischen Innovationsschub. Die Zahlungsdienstleister sind bereits auf dem Sprung. Christian Renk: „Wir bieten sowohl für Banken als auch für Händler Lösungen an. Worldline wird auch kontobasiertes Zahlen anbieten und sieht hier entsprechende Chancen.“

Die rechnet man sich auch bei Wirecard aus. Roland Toch: „Wir nehmen in der Welt des Bezahlens mehrere Rollen ein: einerseits als Bank, aber auch als Zahlungsdienstleister mit Händler-Beziehungen sowie als Anbieter von Bezahlprodukten für Endkunden. Ein einfacherer und doch sicherer Austausch von Daten innerhalb dieses Ökosystems kommt unserer Vision der Zukunft des Bezahlens daher nur entgegen.“ Toch geht davon aus, dass dieses für den Endkunden künftig sowohl praktischer als auch personalisiert sein wird.

Neben den neuen Akteuren wie Fintechs und Zahlungsdienstleistern müssen sich auch die Banken zusätzliche Zahlungslösungen und -dienstleistungen einfallen lassen – und tun das bereits. Petia Niederländer: „Die PSD2 schafft gleiche Rahmenbedingungen für Finanzinstitute, Fintechs und andere Zahlungsdienstleister. Die Erste Group hat Multibanking schon jetzt in Form von George umgesetzt. Damit können unsere Kunden weitere Konten, die sie bei anderen Banken haben, in George verwalten.“ Damit ist im Privatkundensegment eine offene Plattform entwickelt worden, während die Unternehmenskunden über die Schnittstellen besser und in Echtzeit auf ihre Bankdaten zugreifen können. Niederländer: „Mit der PSD2 werden all diese Möglichkeiten der Integration auf einen einheitlichen Standard gehoben.“

Keine Aufschläge mehr

Surcharge-Verbot: So nennt sich auf gut Neudeutsch die dritte Änderung der novellierten Zahlungsdiensterichtlinie. Damit soll der Verbraucherschutz gestärkt werden. Händler dürfen keinen Zuschlag mehr erheben, wie sie das für bestimmte Zahlungsarten bisher getan haben. Und zwar schon seit dem 13. Jänner 2018, dem Datum des Inkrafttretens der EU-Richtlinie. Kreditkartenfirmen wie Visa und Mastercard regeln die Unterlassung von Zuschlägen in ihren Verträgen bereits jetzt.

Kommentar verfassen