Am 23. Februar dieses Jahres veröffentlichte die Europäische Bankaufsichtsbehörde (EBA) ihren Abschlussbericht zum Entwurf der technischen Regulierungsstandards für die in der Zweiten Zahlungsdiensterichtlinie (PSD2) vorgegebene starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Airplus International und andere Anbieter von B2B-Zahlungsdiensten haben erhebliche Bedenken bezüglich der empfohlenen Standards. Unseres Erachtens müssen diese angepasst werden, damit auch zukünftig die Buchung und Abrechnung von Geschäftsreisen und anderen B2B-Zahlungen reibungslos funktioniert.
Wir gehen davon aus, dass das Ziel der PSD2, unter anderem die Betrugsraten zu senken, mit nur wenigen Anpassungen aufrechterhalten werden kann und gleichzeitig die effizienten Prozesse der B2B-Kartenzahlungen beibehalten werden können.
Spezielle Bedürfnisse des B2B-Marktes nicht erkannt
Die Probleme mit dem aktuellen Entwurf waren für Airplus und auch andere Anbieter von B2B-Zahlungsdiensten ein Déjà-vu-Erlebnis, da wir noch immer die unbeabsichtigten Auswirkungen der seit Dezember 2015 geltenden Interbankenentgelt-Regulierung in Erinnerung haben. Es wurden damals Bedenken geäußert, dass die Regulierung dem Unterschied zwischen Privat- und B2B-Zahlungen nicht vollumfänglich Rechnung tragen würde, mit negativen Auswirkungen auf B2B-Zahlungen. Das hat sich leider bewahrheitet. Ohne die Ereignisse noch einmal aufzurollen, sei an dieser Stelle bestätigt, dass die große Mehrheit der Unternehmen, die Firmenkarten mit Privathaftung und Abrechnung über das Privatkonto in der EU einsetzen, betroffen waren.
Das Déjà-vu-Erlebnis: Eine Aufsichtsbehörde hat nicht erkannt, dass der B2B-Markt und der Markt für Privatzahlungen unterschiedliche Bedürfnisse haben. Um eines vorab klarzustellen - Airplus International hat generell nichts gegen die PSD2. Alles in allem ist sie gut für die Zahlungsdienstebranche und für den Verbraucher. Sie wird ihr Ziel erreichen, weniger etablierten Akteuren mehr Chancen zu bieten und dadurch zur Innovationsförderung beizutragen.
Auch die aufsichtsrechtliche Forderung nach mehr SCA für elektronische Transaktionen ist prinzipiell eine gute Idee. Im Rahmen der starken Kundenauthentifizierung müssen mindestens zwei unabhängige Elemente aus den folgenden drei Kategorien zur Zahlungsauthentifizierung vorliegen:
- Wissen: etwas, das nur der Nutzer weiß, zum Beispiel Passwort oder PIN.
- Besitz: etwas, das nur der Nutzer besitzt, beispielsweise Kartennummer oder andere wichtige Daten.
- Inhärenz: etwas, das der Nutzer ist, etwa Fingerabdruck oder Stimme.
Für elektronische Transaktionen, zum Beispiel über das Internet oder mobil, ist ein weiteres Element vorzuweisen. In der Regel könnte dies ein einmaliger Authentifizierungscode sein, der die Transaktion dynamisch einem Betrag und einem Zahler zuordnet.
Im Grunde hat Airplus auch nichts gegen mehr Sicherheit einzuwenden, da sich mit dem neuen digitalen Handel bedauerlicherweise auch neue und vermehrte Gelegenheiten für Betrüger auftun, die Schäden in Milliardenhöhe für die Zahlungsdienstebranche verursachen.
Dank der Lobbyarbeit von großen Konzernen wie beispielsweise Online-Händlern sind die Bedenken bezüglich der Auswirkungen von SCA auf den Endkundenmarkt bereits in großen Umfang publik gemacht worden. Online-Händler beschweren sich, dass lästige Sicherheitsvorgaben den Kunden vom Kauf abschrecken.
Die SCA birgt ein hohes Risiko für Geschäftsreisen
Unser Einwand für B2B-Zahlungsdienste, insbesondere in Verbindung mit Flugbuchungen und anderen Transaktionen im Vorfeld einer Reise, geht in eine andere Richtung. Die Hauptbedenken sind folgende:
- Durch SCA werden etablierte Reisebuchungs- und Bezahlprozesse bestenfalls erschwert, schlimmstenfalls unmöglich.
- Die Betrugsraten bei B2B-Zahlungen sind wesentlich geringer, was gegen die Notwendigkeit der Einführung der SCA spricht.
Die SCA ist ein technisch machbarer (wenn auch aus wirtschaftlicher Sicht ungewünschter) Vorgang für Online-Transaktionen für Verbraucher, bei denen der Käufer auch der Zahler ist. Beim Bücherkauf im Internet zum Beispiel würde der Benutzer im ersten Authentifizierungsschritt seine Karteninformationen im Online-Formular eingeben und dann per SMS eine PIN erhalten, die er wiederum in das entsprechende Formular der Website eingibt, um die Zahlung abzuschließen.
Für Geschäftsreisen funktioniert das Modell jedoch nicht in dieser Form, da Buchung und Zahlung in der Regel von verschiedenen Personen durchgeführt werden. Buchungen werden im Auftrag des Reisenden durch Mitarbeiter des Reisebüros getätigt. Diese haben zwar die Firmenkreditkartendaten des Geschäftsreisenden im Reservierungssystem gespeichert, eine Verifizierung der Karte per SMS an das Reisebüro oder an den Reisenden wäre in diesem Fall jedoch nicht so einfach darstellbar. Während die SCA auf Authentifizierung des Zahlers (hier ein Unternehmen) abstellt, stellt sich derzeit die Frage, an welcher Stelle im Prozess man ansetzen sollte, wenn man mit einer Vielzahl von Reisenden sowie einer Vielzahl vom Agenten im Reisebüro arbeitet.
Zwar führen einige Geschäftsreisende ihre Buchungen heute selber in Online-Buchungstools durch, aber die Zahlung (online oder über ein Reisebüro) erfolgt häufig nicht über eine Firmenkreditkarte, sondern über ein zentrales Abrechnungskonto, auch als Reisestellenkarte, Lodge Card oder Ghost Card bezeichnet. Solche Zentralen Abrechnungskonten sind generell nicht an Personen gebunden. Dadurch lässt sich auch nicht erkennen, wie die SCA auf diese Bezahlmethode angewendet werden könnte.
Betrugsraten für B2B-Zahlungen sind deutlich geringer
Nach Angabe der Europäischen Zentralbank lag die Betrugsrate bei privaten Kreditkarten 2013 bei 0,11 Prozent; demnach war eine von 909 Transaktionen betroffen. Von Januar bis August 2016 hat Airplus für den Company Account eine Betrugsrate von 0,00252 Prozent verzeichnet - das entspricht vereinfacht einem Betrugsfall pro 39 683 Transaktionen. Die SCA für B2B-Zahlungen einzuführen wäre demnach nichts anderes, als mit Kanonen auf Spatzen zu schießen. Mit anderen Worten: Betrug ist für Dienstleister von B2B-Zahlungsdiensten kein hohes Risiko. Laut der PSD2 müssen Herausgeber keine SCA durchführen, wenn sie die Haftung übernehmen. Dieses Zugeständnis spiegelt sich in den von der Europäischen Bankaufsichtsbehörde (EBA) aufgesetzten technischen Standards indes nicht wider.
Lösungsansatz für angemessene Ausnahmeregelungen
Die gute Nachricht: Mit einigen wenigen Anpassungen bleiben die von der EBA empfohlenen Standards für die Reduzierung von Internetbetrug zielführend, ohne dass die bisherige Herangehensweise dadurch beeinträchtigt würde.
Im Grunde gilt es also, Wege zu suchen, um diejenigen Zahlungen aus dem Geltungsbereich der SCA auszuschließen, bei denen das Betrugsrisiko nachgewiesenermaßen zu vernachlässigen ist. Um angemessene Ausnahmeregelungen zu ermöglichen, ließen sich die Standards wie folgt ändern:
- Erstellung einer Whitelist: Karteninhaber könnten eine Whitelist erstellen, das heißt eine Liste ihrer bevorzugten und/oder häufig beauftragten Händler, die sie als vertrauenswürdig ansehen und darum von der SCA-Pflicht entbinden. Whitelists sind laut EBA-Standards erlaubt, jedoch ist derzeit noch unklar, ob sie auch für Kartenzahlungen gelten.
- Ausnahme von Emittenten mit geringem Risiko: Gemeinsam mit anderen Zahlungsdienstleistern hat Airplus die Empfehlung eingereicht, Herausgeber mit nachgewiesenermaßen niedrigen Betrugsraten von der Pflicht zur Durchführung der SCA zu entbinden. Hierfür wurde auch ein Grenzbetrag für Kartenzahlungen vorgeschlagen: eine Betrugsrate von 0,005 Prozent bei Umsätzen von über 500 Euro.
- Ausnahme von Zahlungsinstrumenten mit eingeschränktem Verwendungszweck: Karten, die nur in bestimmten Netzwerken beziehungsweise nur zum Kauf einiger weniger Dienstleistungen eingesetzt werden können, sind bereits vollständig von der PSD2 (und der SCA-Pflicht) ausgeschlossen. In diese Kategorie fallen Tank- und Kaufhauskarten. Zahlungsdienstleister, die sich freiwillig als autorisierte Zahlungsinstitute im Rahmen der PSD2 gemeldet haben, müssen jedoch all ihre Produkte - auch eingeschränkte Zahlungsinstrumente - den Bestimmungen der PSD2 unterwerfen. Ein Beispiel ist der Airplus Company Account, der ausschließlich zur Buchung von Flügen und anderen Reiseleistungen über Reisebüros dient und damit ein Zahlungsinstrument mit eingeschränktem Verwendungszweck darstellt. Unseres Erachtens sollte die PSD2 nicht auf den Company Account angewendet werden, auch wenn Airplus als Zahlungsdienstleister ein PSD2-authorisiertes Zahlungsinstitut ist.
Durchführung der SCA muss differenzierter erfolgen
Zusammenfassend lässt sich festhalten, dass die SCA ein begrüßenswerter und notwendiger Aspekt der PSD2 gegen Betrug im Internet ist. Ihre Durchführung muss jedoch entgegen der Empfehlung differenzierter erfolgen, um eine Beeinträchtigung der grundlegenden Funktionen von Zahlungsdiensten bei zu vernachlässigenden Betrugsraten zu vermeiden.
Im Unterschied zur Deckelung des Interbankenentgelts, die zu einer Spaltung in ein Drei- und ein Vier-Parteien-Lager geführt hat, ziehen die Anbieter von B2B-Zahlungsdiensten beim Aufruf an die EBA und die Europäische Kommission, das Thema nochmals zu überdenken, an einem Strang. Zwar spricht einiges dafür, dass sie gehört werden, aber jede weitere Stimme macht sie stärker.
