PSD2 ist nicht nur für Banken und Sparkassen sondern auch für Anbieter alternativer Bezahlmethoden ein wichtiges Thema. Über die Bedeutung und damit verbunden Herausforderungen sprach ich mit Ralf Ohlhausen von der PPRO Group.
In einem halben Jahr tritt die neue Zahlungsdiensterichtlinie PSD2 in Kraft. Sie ist nicht nur für Kreditinstitute sondern auch für Paymentanbieter relevant. Anbieter alternativer Bezahlmethoden (APM) müssen prüfen und bewerten, inwiefern sie davon betroffen sind und welche Verpflichtungen gegebenenfalls daraus für sie entstehen.
Gespräch mit Ralf Ohlhausen, PPRO Group
Ralf Ohlhausen ist Business Development Director der PPRO Group und verantwortet dort die weltweite Expansionsstrategie des Payment-Lösungsanbieters. Ein besonderer Fokus liegt dabei auf dem weiteren Ausbau des Portfolios an alternativen Bezahlarten. Seit Ende 2016 ist er Mitglied des Euro Retail Payments Board (ERPB) der Europäischen Zentralbank (EZB) und vertritt dort die Interessen der Electronic Money Association (EMA).
Mit ihm sprach ich über die Herausforderungen durch PSD2 für Anbieter alternativer Bezahlmethoden.
PSD2 wird ab Januar 2018 in allen EU-Mitgliedsstaaten rechtskräftig
Der Bank Blog: Warum ist PSD2 derzeit ein wichtiges Thema für die alternative Bezahlindustrie?
Ralf Ohlhausen: Die überarbeitete Zahlungsdiensterichtlinie (Revised Payment Services Directive, PSD2) tritt in etwa sechs Monaten in Kraft. Die Anbieter alternativer Bezahlmethoden (Alternative Payment Methods, APMs) müssen sich darüber im Klaren sein, ob und auf welche Weise die PSD2 sie betrifft. Für manche wird die neue Richtlinie große Veränderungen mit sich bringen, für andere wird alles mehr oder minder so bleiben, wie es ist.
Der Bank Blog: PSD2 wird ab Januar 2018 in allen EU-Mitgliedsstaaten rechtskräftig. Was bedeutet das für Anbieter alternativer Bezahlarten (APMs)?
Ralf Ohlhausen: Anbieter von alternativen Zahlarten müssen herausfinden, ob die PSD2 sie betrifft und – falls ja – auf welche Weise. Viele Anbieter alternativer Bezahlmethoden nutzen keine Banküberweisungen, bis auf die Transaktionen, die der Endnutzer manuell durchführt, wie etwa das Aufladen von mobile Wallets. Diese APMs sind nicht betroffen.
Doch auch nicht alle APMs, die Bezahlvorgänge via Banküberweisung unterstützen, sind zwangsläufig von der neuen Richtlinie betroffen. PSD2 definiert einen, wie es dort heißt, Payment Initiation Service Provider (PISP). Ein PISP ist jeder Service, der eine Zahlung auf Anfrage des Endnutzers automatisiert durchführen kann. Typischerweise sammeln und übermitteln diese Dienste die Zugangsdaten für das Online-Banking des Nutzers auf sicherem Wege, sie dürfen sie allerdings nicht speichern. Nutzer, die ihre Einkäufe mit Hilfe eines PISP bezahlen, müssen selbst nichts weiter tun – der PISP automatisiert den Bezahlvorgang vollständig.
Viele bekannte Anbieter von alternativen Bezahlmethoden, wie etwa iDEAL, giropay und MyBank gelten nicht als PISPs und bedürfen keiner PSD2-Lizenzierung, da sie keine Zugangsdaten sammeln und übermitteln und Bezahlvorgänge nicht vollständig automatisieren. Sie werden als „Redirect-Services“ eingestuft. Kunden, die an der Online-Kasse einen dieser Dienste zum Bezahlen wählen, werden zu ihrer Online-Bank umgeleitet. Die Zahlungsdetails werden für sie automatisch ausgefüllt, aber sie müssen sich dort anmelden, durch die Bildschirme navigieren und die nötigen Buttons manuell anklicken, um die Bezahlung selbst durchzuführen und zu autorisieren.
Drei Verpflichtungen für Payment-Anbieter
Der Bank Blog: Welche Verpflichtungen haben Payment Initiation Service Provider?
Ralf Ohlhausen: Grundsätzlich müssen PISPs drei Verpflichtungen nachkommen.
- Vor allen Dingen müssen PISPs über eine PSD2-Lizenz von ihrer nationalen Finanzaufsichtsbehörde verfügen. Die Richtlinien und Zeitpläne werden aktuell definiert und sind Teil der Umsetzung der PSD2-Richtlinie in nationales Recht aller EU-Mitgliedsstaaten. Es wird je nach Land leichte Abweichungen geben, aber generell werden PISPs angemessene Sicherheitsstandards und eine Berufshaftpflichtversicherung nachweisen müssen und ihre Software, ihre Arbeitsprozesse und ihre Datenverarbeitung werden kontrolliert. Als regulierte Körperschaften werden PISPs sich gegenüber ihren nationalen Finanzaufsichtsbehörden verantworten müssen, die die PISPs wiederum überwachen und deren Aktivitäten kontrollieren können, um die Einhaltung aller relevanten Gesetze und Richtlinien zu gewährleisten.
- PISPs werden gemäß PSD2 verpflichtet sein, sich gegenüber der Bank zu identifizieren, bevor sie Zahlungsvorgänge für den Kunden durchführen. Banken werden umgekehrt jeden PISP ablehnen dürfen, der nicht korrekt lizenziert ist. Lizenzierten PISPs wird zu diesem Zweck ein digitales Zertifikat ausgegeben.
- Für die meisten Zahlungen wird eine Strong Customer Authentication (SCA) nötig werden, d.h. eine Zwei-Faktoren-Authentifizierung, die auf dem bewährten Modell „Wissen, Besitz und Inhärenz“ fußt. PISPs machen das allerdings heute schon, um sicherzustellen, dass Zahlungen nicht allein mit den übermittelten statischen Benutzer-Zugangsdaten durchgeführt werden können. Zusätzlich ist ein Einmal-Passwort (TAN) notwendig, das mit der konkreten Zahlung verbunden ist.
Herausforderungen für die Umsetzung von PSD2
Der Bank Blog: Welche Herausforderungen bringt die Umsetzung mit sich?
Ralf Ohlhausen: Das hängt von der endgültigen Version eines der Regulatory Technical Standards (RTS) ab, der die PSD2 ergänzt und in denen es um sichere Kommunikation und starke Kunden-Authentifizierung geht. Dieser Standard wird derzeit nochmals überprüft. Die Idee hinter der PSD2 bestand ursprünglich darin, die jetzt praktizierte Vorgehensweise – d.h. die Abwicklung von Zahlungen durch PISPs über die Online-Banking-Oberfläche der Bank – basierend auf den oben aufgelisteten neuen Verpflichtungen zu sichern. Zusätzlich werden die Banken aufgefordert, Schnittstellen (APIs) bereitzustellen, um derartige Bezahlvorgänge effizienter zu gestalten.
Die Banken-Lobby will nun, dass diese existierende Praxis durch die RTS abgeschafft wird, wodurch PISPs auf Gedeih und Verderb den Banken ausgeliefert und davon abhängig gemacht würden, ob diese ihnen gut funktionierende APIs liefern. Bedenkt man den wettbewerbsorientierten Charakter von Finanzinstituten, so ist davon auszugehen, dass das viele Behinderungen für existierende und für künftige Services mit sich bringen, sowie für lang andauernde Grabenkämpfe zwischen FinTechs und Banken sorgen würde, wobei die Aufsichtsbehörden zwischen beiden gefangen wären.
Wenn aber beide Zugriffsmethoden nebeneinander existierten oder wenn ein PISP zumindest auf die derzeit praktizierte Methode zurückgreifen könnte, falls die API der Bank nicht so funktioniert wie benötigt, dann werden sowohl die Banken als auch die PISPs ausreichend Zeit haben, ihre aktuellen Systeme in aller Ruhe weiterzuentwickeln und zu verbessern, ohne kurzfristige oder langfriste Behinderungen zu verursachen.
Selbstverständlich werden PISPs alle oben erwähnten Veränderungen durchlaufen müssen, doch die größte Veränderung wird für jeden darin bestehen, zu lernen wie man in einem schnelleren, innovativeren und wettbewerbsorientierteren Markt operieren kann. Und das ist in jedem Fall eine gute Sache: gut für die Branche, gut für Europa und vor allem gut für den Kunden. Wir begrüßen das.
Der Bank Blog:Vielen Dank für das Gespräch.