Instant Payments sind derzeit eines der meistdiskutierten und disruptiven Themen in der Finanzbranche. Dabei geht es um die Echtzeit-Sepa-Überweisung, den sogenannten Sepa Instant Credit Transfer (kurz: SCT Inst). Von der Öffentlichkeit praktisch unbemerkt, hat die EU mit SCT Inst ein sehr mächtiges Werkzeug geschaffen, mit dem die Zahlungsverkehrsbranche Anwendungen für Firmen und Privatpersonen umsetzen kann.
Ein echtes Scheme ist SCT Inst dabei eigentlich nicht. Sondern es geht zunächst "nur" um den Echtzeit-Transfer von Beträgen von einem Sepa-Konto zu einem anderen. Allerdings kann man sich vorstellen, dass auf dieser Basis sehr viele Aspekte, die heute komplizierter Lösungen bedürfen, in Zukunft stark vereinfacht werden. Wenn man beim Online-Shopping an den Händler einen Betrag in Echtzeit überweisen kann, wozu braucht es dann noch aufwendige und für den Händler kostspielige Online-Payment-Schemes? Hier liegt der große Vorteil von SCT Inst, der vor allem für Händler spannend ist.
Was zunächst nach kompliziertem Hantieren mit IBAN-Masken und TAN-Generatoren klingt, wird in der Praxis ganz anders aussehen. Mittels mobiler Apps und Biometrie gibt es auch heute schon einfache Mittel und Wege, zum Beispiel bei 3D-Secure-Verfahren, den Zahlenden bequem per Fingerabdruck zu identifizieren und die Zahlung zu autorisieren.
Anforderungen an App-Lösungen zur mobilen Nutzung von SCT Inst
Bei Bequemlichkeit und Sicherheit solcher Lösungen spielt SCT Inst Hand in Hand mit der PSD2. Über Access-to-Account Schnittstellen und mittels der in RTS vorgeschriebenen Authentisierungsrichtlinien stehen hier ebenfalls Bausteine zur Verfügung, um Zahlungen zu initiieren und zu autorisieren. Am 6. Februar 2018 traf sich die Branche bei der Europäischen Zentralbank zur TIP-Sapp Challenge. Die EZB hatte öffentlich Branchenteilnehmer dazu aufgerufen, Prototypen für niederschwellige und sichere Apps zum Bezahlen auf der Basis von SCT Inst vorzustellen. 16 Anbieter, darunter auch Netcetera gemeinsam mit der van den Berg AG, zeigten, wie Lösungen zur mobilen Nutzung von SCT Inst am Point of Sale (POS), für E-Commerce und auch für P2P-Anwendung aussehen können.
Eine solche App muss zunächst zwei Dinge möglichst bequem ausführen: Sie muss die Zielkontonummer, den Betrag und eine Referenznummer erfassen und anschließend eine Überweisung vom Zahlerkonto auf das Empfängerkonto auslösen.
Damit ist der Zahlvorgang in Echtzeit, unumkehrbar und unmittelbar wertgestellt beim Empfänger eingehend abgeschlossen. Der Händler muss sein Konto auf eingehende Zahlungen in Echtzeit überwachen und die Zahlung anhand der Referenznummer dem Einkauf zuordnen. Für die eigentliche SCT Inst gilt eine Laufzeit von maximal zehn Sekunden, die in der Praxis als gut erreichbar bezeichnet wird und zukünftig wohl noch deutlich unterboten werden kann. Die Dauer des gesamten Zahlvorgangs dürfte sich damit mit Kartenzahlungen vergleichen lassen. Eine Autorisierungsanfrage und eine Zahlungsgarantie braucht es mit SCT Inst nicht mehr. Sämtliche Abwicklungsprozesse laufen über Interbanken-Mechanismen wie Target Instant Payment Settlement (TIPS) oder European Banking Authority (EBA) Clearing Realtime Payment-Plattform RT1.
Payment Security mittels biometrischer Identifizierung
Die Übertragung von Zielkonto, Betrag und Zahlungsreferenz an die App kann auf vielfältige Weise erfolgen. NFC (Near Field Communication) und 2D-Barcodes haben dabei die Nase vorn. NFC ist bereits auf den meisten PoS-Terminals implementiert und funktioniert mittlerweile nicht nur mit Android, sondern auch mit iOS zumindest mit Datenübertragung vom Terminal auf das Smartphone. Barcodes sind ebenfalls relativ einfach umzusetzen und haben ihre Praxistauglichkeit im asiatischen Raum bei Wechat und Alipay unter Beweis gestellt.
Sind Zielkonto und Betrag in der App angekommen, löst diese die Überweisung aus. Die Zahlungsfreigabe erfolgt über PSD2/RTS-konforme 2-Faktor-Authentisierung, idealerweise mittels biometrischer Identifizierung. Biometrie findet heute schon breite Anwendung, beispielsweise bei den Sparkassen mittels S-ID-Check App oder im genossenschaftlichen Bereich mit der VR-Card-Secure App, beide für die 3D-Secure-Freigabe von E-Commerce-Zahlungen. Netcetera konnte in diesem Bereich mit mehreren Millionen Nutzern bereits wertvolle Erfahrung sammeln.
Integration in Banking- oder Handels-Apps
Der kritische Aspekt bei der biometrischen Identifizierung über Apps ist eine möglichst nahtlose Registrierung des Nutzers und seines Smartphones. Zusammengenommen haben diese Apps bereits mehrere Millionen Nutzer. Als Herausgeber einer solchen App mit SCT Inst Unterstützung können unterschiedliche Parteien fungieren. Eine naheliegende Variante ist die Integration von SCT Inst für PoS und E-Commerce in der Banking-App oder einer separaten App des kontoführenden Instituts. Aber auch Handels-Apps, Loyalty-Apps oder Fintech-Start-ups könnten Interesse haben, diese Funktion in ihre eigenen Anwendungen zu integrieren. Für die Zahlungsabwicklung nach obigem Schema muss das Smartphone online sein. Dabei ist bereits eine kleine Bandbreite völlig ausreichend. Da große Handelsketten aber bereits aus anderen Gründen stark in die Internetabdeckung auf Filialflächen investiert haben, dürfte die Infrastruktur dafür bereits vorhanden sein.
Das Thema Betrug ist bis hierhin noch relativ einfach zu kontrollieren. Ein naheliegendes Angriffsszenario wäre die Manipulation der Zielkontonummer auf dem Weg von der Kasse in die App, was aber in der Regel einen Insider-Täter auf Händlerseite erfordert. Die Standardisierungsinitiative HIPPOS (Händlerbasiertes Instant Payments am PoS) adressiert das über eine zentrale Registrierung aller Händlerkontonummern und eine gesicherte Verteilung dieser Kontonummer an die Apps von einem zentralen Server aus. Für P2P-Transfers im privaten Bereich können solche SCT-Inst-Apps natürlich ebenfalls genutzt werden. Auch Klein betriebe vom Handwerker bis zum Taxifahrer können eine solche, einfach zu installierende und nutzbare App ohne Hürde verwenden, wo heute Lösungen wie Square, i-Zettle, Sum-Up & Co. zum Einsatz kommen, die für den Händler teuer sind und zusätzliche Hardware erfordern.
Bis zu diesem Punkt wurden ausschließlich Einleitung und Abwicklung einer Bezahlung betrachtet. Was dabei komplett außen vor blieb, sind die im Kartenbereich fest etablierten und standardisierten Prozesse wie Storno, Chargeback, Reklamationsmanagement, Betrugsabwicklung, usw., welche den eigentlichen Wert eines Payment-Schemes maßgeblich ausmachen. Einige davon werden vermutlich bei SCT Inst basierten Verfahren weniger wichtig sein, da es nicht zu Betrugsfällen mittels gefundener oder gestohlener Karten kommen kann. Stornobuchungen können vom Händler zum Kunden ebenfalls per SCT Inst in Echtzeit erfolgen. Ein Regelwerk hierzu, insbesondere um Sepa-weit einheitliche Abläufe zu etablieren, wäre sicher hilfreich.
Rivale für die Kartenzahlung
Man kann also erwarten, dass der klassischen Kartenzahlung hier ein Rivale erwächst, von dem sich vor allem der Handel schlankere und günstigere Zahlungsverfahren erhofft. Für die Banken birgt das die Chance, das Privatkundengirokonto als zentrale Komponente der Kundenbeziehung aufzuwerten. Ihren Firmenkunden können Banken neue Services und Schnittstellen für das Verwalten der eingehenden Zahlungen anbieten. Und nicht zuletzt bietet sich die Möglichkeit, SCT Inst auch für die Abwicklung von Girocard-Zahlungen im Hintergrund zu verwenden. Eines ist klar erkennbar: Die Nutzung von SCT Inst in Einkaufssituationen am Point of Sale und im E-Commerce ist ein politisch gewolltes und gefördertes Vorhaben. Eine Einführung von SCT Inst hat die EU nicht forciert, damit die Überweisung der nächsten Stromrechnung etwas schneller geht.
Seit Jahren sind nationale Zahlungsverfahren in Europa auf dem Rückzug, in der Regel zugunsten von US-amerikanischen Zahlungsanbietern. Dass es Risiken birgt, sich damit in eine starke Abhängigkeit von US-Konzernen in einem hochsensiblen Bereich wie der persönlichen Zahlungsabwicklung zu begeben, liegt auf der Hand. Noch vor der Wahl des aktuellen US-Präsidenten hätte man das vielleicht entspannter gesehen. Die Abkehr von Bargeldzahlungen in der EU jedoch immer stärker zugunsten von US-Konzernen zu betreiben wäre töricht. Kann man sicher sein, dass nicht mit dem nächsten Tweet eines amtierenden US-Präsidenten die Nutzung der US-Zahlungssysteme in Europa in eine andere Realität katapultiert wird? Europa täte gut daran, die Grundlagen für ein einheitliches europäisches Scheme zu legen. Das Ende ist hier sicher noch nicht erreicht.