Die Zahlungsdiensterichtlinie (PSD2) der EU ist am 13. Januar 2018 in Kraft getreten, wobei die folgenden Punkte noch abschliessend zu finalisieren waren:
Die technischen Regulierungsstandards (RTS) für die starke Kundenauthentifizierung (SCA) und sichere offene Kommunikationsstandards (CSC).
Am 13. März 2018 wurden sie schliesslich im Amtsblatt der EU veröffentlicht. Die Umsetzung der RTS wird bis zum 14. September 2019 erfolgen müssen.
Die Regulierung enthält zweifelsohne revolutionäre Elemente. PSD2 wird Bankensysteme für Drittanbieter von Zahlungsdienstleistungen (Third Party Providers, TPPs) zur Abfrage von Kontoinformationen, Auslösung von Zahlungen und Abfrage von Kontoverfügbarkeiten über offene Schnittstellen (APIs) öffnen.
APIs und Standards
Die Verordnung lässt allerdings die Details der Standard-APIs offen, die Dritte für die Verbindung mit Banken verwenden können. Die RTS spezifiziert keine spezifischen Schnittstellenstandards, sondern lediglich die high-level technischen Rahmenbedingungen.
Um die Lücke für Schnittstellenstandards zu schliessen, hat die Berlin Group – bestehend aus rund 40 Banken, Verbänden und Zahlungsdienstleistungsanbietern (PSPs) aus Europa – ein gemeinsames API-Framework mit dem Namen "NextGenPSD2" für die in PSD2 angegebenen Anwendungsfälle definiert.
Initiativen wurden auch in Polen (via PolishAPI), Slowenien und Frankreich (STET) sowie in Grossbritannien via der UK Open Banking Initiative gestartet – mit einem Konsolidierungstrend, der über den gesamten Kontinent beobachtet werden kann.
Open Banking-Regulierungen und Marktinitiativen werden derzeit in Nordamerika mit der NACHA API Standardiation-Initiative sowie in Asien mit der HKMA Open API-Regulierung und vielen anderen diskutiert. Dadurch gewinnt der weltweite Trend merklich an Stärke. Europa liegt jedoch vorne und der NextGenPSD2-Standard der Berlin Group ist in der Pole Position, um das führende API-Framework in der EU zu werden.
Die Zahlungsauslösung hat viel Potenzial
Für die Zahlungsauslösung bietet das NextGenPSD2-Framework mehrere Zahlungsinstrumente zur Verwendung an. Im Allgemeinen müssen die gleichen Zahlungsinstrumente den TPPs über die API zur Verfügung gestellt werden, welche die Banken auch ihren Kunden über die Kundenschnittstellen wie Mobile- und Online Banking-Kanäle zur Verfügung stellen.
Neben den normalen und der zeitversetzten SEPA Credit Transfer (SCT) unterstützt das API-Framework auch grenzüberschreitende Zahlungen. Dies geschieht beispielsweise über die TARGET2-Plattform des Eurosystems und das SEPA Instant Payments Scheme (SCT Inst) für Echtzeitzahlungen.
Alle Standards haben etwas gemeinsam: Sie ermöglichen die Nutzung der zugrundeliegenden Zahlungsinstrumente. Es wird kein exklusives Gateway für den Zugriff mehr geben. Diese Änderung eröffnet für Banken und Nicht-Banken enorme Möglichkeiten, neue Anwendungsfälle rund um Instant Payments aufzubauen, die von Kundenkonten direkt und in Echtzeit abgewickelt werden können.
Kombination von PSD2 und Instant Payments
Ein TPP muss lediglich in einem EU-Mitgliedstaat als PSP registriert sein und ein eIDAS-Zertifikat bei einem Qualified Trust Service Provider (QTSP) beantragen, um in den Markt eintreten zu können. Danach stehen dem TPP alle Türen offen, den Kontozugriff mit Instant Payments weiter zu veredeln. Die Kombination von PSD2 und Instant Payments bietet ein enormes Potenzial, bestehende Geschäftsmodelle zu revolutionieren. Dies hängt allerdings unter anderem vom Grad der API-Standardisierung, der Verbreitung von SCTInst in Europa und der kundenfreundlichen Umsetzung ab.
Auswirkungen auf das Kartengeschäft
TPPs wie Händler, Fluggesellschaften, Tech-Giganten und PSPs könnten die PSD2-APIs verwenden, um Instant Payments direkt von Kundenkonten auf das TPP-Bankkonto durchzuführen. Sie könnten dabei somit Kartennetzwerke und -gebühren umgehen. Während Instant Payments das Problem der Zahlungsgarantie lösen könnte, bestehen weiterhin Herausforderungen, unter anderem bei den Rückerstattungs- und Stornierungsprozessen sowie bei Haftungsfragen.
Onlinebezahlverfahren wie Paypal und Klarna könnten PSD2-APIs und Instant Payments als Alternative zu SEPA Direct Debits (SDDs) – oftmals mit dem Risiko von ungedeckten Konten oder späteren teuren Rücklastschriften – oder Kreditkarten als zugrundeliegendes Zahlungsinstrument nutzen.
Fragmentierung von API-Standards?
Das NextGenPSD2-Framework der Berlin Group ist ein Framework, welches den Banken ermöglicht, eine RTS-konforme standardisierte API bereitzustellen. Das Framework bietet an einigen Stellen allerdings mehrere Optionen in ihrer Umsetzung an. Es könnten dadurch also dennoch mehrere voneinander leicht abweichende API-Standards auf dem Markt entstehen. Hinzu kommen die bereits genannten nationalen Insellösungen wie die von UK Open Banking. Dies könnte zu einer Fragmentierung von API-Standards auf dem Markt führen und es den TPPs wegen höherer Implementierungskosten erschweren, eine Verbindung zu allen PSD2-APIs der EU-Banken aufzubauen.
Chancen der Monetarisierung
Darüber hinaus ist SCTInst für Banken nicht obligatorisch und die Implementierung wird in Europa eine Weile dauern. Um dieses Problem adäquat anzugehen, könnten Banken oder Nicht-Banken die Rolle eines API-Aggregationsdienstes einnehmen, der alle PSD2-APIs der Banken verbindet und einen standardisierten API-Endpunkt für TPPs bereitstellt. Während die Nutzung von PSD2-APIs für TPPs kostenlos bleiben muss, kann die Aggregation von APIs monetarisiert werden – und dieser Effekt kann mit Instant Payments sogar erheblich erhöht werden.
Friktionslose Instant Payments mit PSD2
Das Kundenerlebnis ist im Zahlungsverkehr unerlässlich: Friktionen und Wartezeiten können die Akzeptanz des Zahlungsmittels sowohl auf der Kunden- als auch auf der Händlerseite erheblich verringern. Dies führt zu höheren Abbruchraten im Onlineshop und längeren Warteschlangen im Geschäft. Kartenzahlungen am Point of Sale (PoS) haben sich aufgrund eines sehr schnellen und sicheren Bezahlvorgangs durchgesetzt.
Um mit Karten konkurrieren zu können, muss der gesamte Bezahlvorgang mit Instant Payments in einer viel kürzeren Bearbeitungszeit als die im SCTInst-Scheme vorgesehen 10 Sekunden abgewickelt werden. Das Ziel sollte eine Bearbeitungszeit für E-Commerce erheblich weniger als 10 Sekunden und für PoS-Transaktionen weniger als drei Sekunden sein. Kein Händler würde das Risiko auf sich nehmen, auf Umsatz zu verzichten, nur um Transaktionsgebühren mit einem inakzeptablen Bezahlverfahren zu sparen.
PSD2-APIs erfordern bei jeder Transaktion die bankseitige Durchführung einer starken Kundenauthentifizierung (Strong Customer Authentication, SCA). Dies hat zur Folge, dass Bankkunden bei einer Transaktion ein Authentifizierungsverfahren durchführen müssen, das mindestens zwei von drei Faktoren (bekannt als Zwei-Faktor-Authentifizierung, 2FA) verwendet. Die drei SCA-Elemente, die verwendet werden können, sind: Wissen, wie ein Benutzername und ein Passwort im E-Banking, Besitz, wie etwa ein Smartphone oder Token-Gerät, um einen Authentifizierungscode zu erhalten, Inhärenz, wie beispielsweise biometrische Daten.
Herausforderungen und Lösungsansätze
Das Erfüllen der RTS SCA-Anforderungen ist eine Herausforderung. Beispielsweise müsste eine Payment App des Händlers auf dem Kunden-Smartphone sich auf dem Kunden-Bankkonto anmelden und dort eine Instant Payment-Zahlungstransaktion zugunsten des Händler-Bankkonto auslösen. Der Kunde erhält zum Beispiel einen Authentifizierungscode auf demselben Gerät oder auf einem dedizierten Token und gibt ihn zum Abschluss der Authentifizierung in die Payment App ein. Ein solches Bezahlverfahren würde sich in dieser Form nicht durchsetzen.
Die PSD2 RTS erlaubt allerdings Ausnahmen zur Anwendung der starken Kundenauthentifizierung (Exceptions from Strong Customer Authentication) unter bestimmten Bedingungen. Beispielsweise in Fällen, wenn der Zahlungsbetrag für E-Commerce-Zahlungen unter 30 EUR (100 EUR kumuliert oder innerhalb von maximal fünf aufeinanderfolgenden Transaktionen) oder 50 EUR für kontaktlose Zahlungsmittel am PoS (150 EUR kumuliert oder innerhalb von maximal fünf aufeinanderfolgenden Transaktionen) liegt.
Selbst diese Ausnahmen führen jedoch nach der fünften Transaktion zu einer friktionsbehafteten SCA-Abfrage. Für PSD2 und Instant Payments muss SCA eliminiert werden: Die RTS ermöglicht es dem Kunden, vertrauenswürdige Empfänger auf eine White List (Beneficiary Accounts) zu setzen und sie dauerhaft von SCA auszunehmen. Ein Händler könnte einem Kunden einen Anreiz geben, das Händler-Bankkonto auf die White List des Kunden hinzuzufügen und SCA somit in Zukunft zu vermeiden. Es gibt auch interessante Möglichkeiten für Banken, White Lists zu monetarisieren. Beispielsweise könnte das Hinzufügen von Händler-Bankkonten auf eine vordefinierte White List monetarisiert werden. Dies allerdings erst nach Zustimmung des Kunden.
Die RTS bietet auch eine andere praktische Möglichkeit, das Problem der Friktion zu lösen: Inhärenz. Dies ermöglicht dem Kunden, Transaktionen über biometrische Daten authentifizieren zu lassen, anstatt mühsam Authentifizierungscodes zu empfangen und diese eingeben zu müssen. Die biometrischen Verfahren, die den Abgleich von Fingerabdrücken oder Gesichtsdaten auf den Smartphones durchführen, sind oftmals proprietäre Lösungen, die nicht unter Kontrolle der Banken stehen. Da sich die Innovation in diesem Bereich stetig fortsetzt, gilt es mit grösseren Anstrengungen RTS-konforme biometrische Authentifizierungsmethoden zu entwickeln.
Es gibt also viele vielversprechende Lösungsansätze, PSD2-APIs, Instant Payments und SCA unter einen Hut zu bringen und den Schwerpunkt auf friktionlose und kundenfreundliche Bezahlverfahren zu legen.
Banken als Innovatoren
Banken könnten eine zentrale Rolle bei den nicht zu vernachlässigenden Auswirkungen von PSD2 und Instant Payments spielen. Der Zugang zu Konten und Instant Payments wird für Banken zu normalen Basisleistung, die geringe oder gar fast keine Margen abwerfen könnten. Neue Einnahmequellen werden in den zusätzlichen Mehrwertdienstleistungen und dem Ökosystem rund um die Basisangebote liegen.
Es werden sich neue Möglichkeiten ergeben, zusätzliche Daten und Dienste zu monetarisieren, die über PSD2 und Instant Payments hinausgehen. Zum Beispiel könnten Banken mit anderen Industriepartnern und API-Aggregatoren zusammenarbeiten, um ein neues "Payment Scheme as a Service" für Händler, Fluggesellschaften und andere Branchen zu entwickeln.
Wenn Banken ihre zentrale Rolle im Zahlungsverkehr behalten wollen, sind Kreativität und auch Kollaboration mit FinTech-Akteuren aus dem gesamten Ökosystem von entscheidender Bedeutung.