Mit zu den Zielen der PSD2 gehört die Absicht, den Verbraucherschutz zu erhöhen und den Zahlungsverkehr für Teilnehmer sicher auszugestalten. Das ist grundsätzlich zu begrüssen. Auf der anderen Seite sollten dabei die Anforderungen an Flexibilität, Komfort und Praktikabilität nicht ausser Acht gelassen werden.
Diesen Spagat hat die EBA (European Banking Authority), welche mit der Ausgestaltung der konkreten Rahmenbedingungen beauftrag ist, offensichtlich noch nicht so ganz hinbekommen. Zumindest nicht zur Zufriedenheit aller am Prozess Beteiligten. Wie zu erwarten, sorgen aktuell vor allem die Auswirkungen und Diskussionen rund um das Thema "Strong Customer Authentication" für rote Köpfe. Insbesondere bei Vertretern aus E-Commerce und bei Kreditkarten-Anbietern.
Strong Customer Authentication
Die neue Zahlungsdienste-Richtlinie PSD2 sieht für Zahlungen im Internet und auch für kontaktlose Zahlungen im Handel grundsätzlich eine starke Authentifizierung vor. Konkret eine Zwei-Faktor-Authentifizierung. Das bedeutet, dass zwei voneinander unabhängige Authentifizierungs-Techniken eingesetzt werden, wie zum Beispiel Passwort und Biometrie oder Passwort und PIN. Der zwingende Einsatz der Zwei-Faktor-Authentifizierung ist in den Empfehlungen der EBA an sehr tiefe Grenzwerte gebunden, nämlich ab 10 Euro im Online-Handel und ab 50 Euro bei der kontaktlosen Zahlung im Laden.
Damit geht die EBA über ihren eigentlichen Auftrag hinaus und vor allem werden vorhandene Spielräume nicht genutzt. Die EU-Richtline sieht ausdrücklich vor, dass bei der Ausgestaltung der Richtlinie Ausnahmen definiert werden können und sollen, damit der Zahlungsverkehr nicht behindert wird. Ausnahmen können sich auf bestimmte Situationen oder auch Gruppen beziehen, welche von den strengen Regeln der Authentifizierung und Autorisierung einer Zahlung befreit werden sollen.
Widerstand aus verschiedenen Lagern
Aus der Wirtschaft, der Politik und von Seiten der Branchenverbände sieht sich die EBA mit einer Welle von Einwänden, Einsprüchen und teilweise harscher Kritik konfrontiert. Weil befürchtet wird, dass die neuen Hürden zu Umsatzeinbussen, Kaufabbrüchen und generell zu einer geringeren Nutzung der Bezahlmöglichkeiten über Kreditkarten führen werden. Kartenanbieter sehen auch Probleme im internationalen Zahlungsverkehr über Karten, weil Länder ausserhalb der EU nicht für die strengen Prozesse der PSD2 eingerichtet sind. Zudem steht der Vorwurf im Raum, die EBA würde explizit vorgesehene Ausnahmeregelungen ungenügend oder gar nicht berücksichtigen.
Verlangt werden höhere Grenzwerte bei den zu zahlenden Beträgen und vor allem risikobasierte Ausnahmeregelungen, welche sich an der Praxis orientieren, für Situationen und Gruppen. Der aktuelle Vorschlag der EBA wird als zu starr, zu wenig flexibel und streckenweise auch als etwas weltfremd taxiert.
Sinnvolle Anpassungen sind notwendig, weil niemand ein Interesse daran haben kann, den Zahlungsverkehr für Konsumenten und für Händler zu erschweren. Die Komponenten Risiken, Schutz und Komfort in ein optimales Gleichgewicht zu bringen, ist sicher nicht ganz einfach. Der Spagat muss jedoch gelingen, damit PSD2 wirklich neue Chancen bietet und keine zusätzlichen Hürden aufstellt.
Stichworte im Lexikon zum Thema: PSD2 | Authentifizierung | E-Commerce | Kartenzahlungen