Interview mit Dr. Ernst Stahl, Head of Payments bei NTT DATA DACH.

Die aktuellen Regulierungsvorhaben der Europäischen Kommission – die PSD3 (Payment Service Directive 3) und PSR (Payment Service Regulation) – sollen den digitalen Zahlungsverkehr verbraucherfreundlicher und sicherer machen. Vor allem der Betrugsbekämpfung durch Social Engineering wird dabei viel Platz eingeräumt. Dr. Ernst Stahl, Head of Payments bei NTT DATA DACH, beantwortet die wichtigsten Fragen.

Was ist die PSR?

Die geplante Payment Services Directive 3 (PSD3) und die Payment Services Regulation (PSR) werden die bestehende Zahlungsdiensterichtlinie (PSD2) sowie die E-Geld-Richtlinie (EMD2) ablösen. Vor dem Hintergrund, dass sich der Markt seit dem Inkrafttreten der PSD2 stark verändert hat und Anpassungen zwingend notwendig waren, hat die EU die alte Vorgabe gesplittet. Der direkt regulierte Teil, die PSR, führt zu unmittelbar geltendem Recht in allen EU-Staaten. Die PSD3 hingegen muss noch in nationales Recht umgesetzt werden.

Derzeit hat der sogenannte Trilog begonnen. An diesen übergreifenden Verhandlungen nehmen Vertreter des Europäischen Parlaments, des EU-Rates und der Europäischen Kommission teil. Sobald sich diese drei Institutionen geeinigt haben, was voraussichtlich Ende 2024 beziehungsweise Anfang 2025 der Fall sein wird, werden die aktuellen Fassungen von PSD3 und PSR im Amtsblatt der Europäischen Union veröffentlicht. 20 Tage später treten sie in Kraft und es beginnt eine Frist von 18 Monaten, bis die PSR gilt beziehungsweise die PSD3 umgesetzt werden muss.

Welche Ziele verfolgt die EU mit PSD3 und PSR?

Die Digitalisierung hat die Finanzmärkte verändert. Die EU will diesem Wandel gerecht werden, indem sie die Auflagen verschärft und neue Risiken berücksichtigt. Die PSD3 beinhaltet die aufsichtsrechtlichen Vorgaben für Zahlungsinstitute einschließlich der Erlaubniserteilung. Die PSR hingegen umfasst alle zivilrechtlichen Bestimmungen, beispielsweise zum Verbraucherschutz, zu Fristen und Haftungsfragen. Generell hat sich die EU das Ziel gesetzt, die Sicherheit von Zahlungsvorgängen zu erhöhen, den Wettbewerb zu fördern und den Zahlungsverkehr innerhalb des europäischen Wirtschaftsraums zu harmonisieren. Besonderes Augenmerk wird dabei auf den Verbraucherschutz und das Verbrauchererlebnis gelegt. Die Eindämmung von Betrugsrisiken, die mit dem technologischen Fortschritt einhergehen, und der sichere Datenaustausch, um von einem erweiterten Dienstleistungsangebot profitieren zu können, stehen daher im Mittelpunkt.

Eine besondere Rolle wird bei der PSR in diesem Zusammenhang der viel diskutierte Artikel 59 spielen, wenn er wie geplant umgesetzt wird. Dieser sieht eine Haftung der Zahlungsdienstleister vor, um die Verbraucher vor den Folgen von Betrug mittels speziellem Social Engineering zu schützen. Dies trifft beispielsweise zu, wenn sich Betrüger am Telefon als Mitarbeiter des Zahlungsdienstleisters ausgeben, um eine Autorisierung zu erhalten. Die Kriminellen haben sich oft schon durch Phishing-Attacken Zugang zum Konto verschafft – ihnen fehlt aber die starke Authentifizierung, um „höhere“ Beträge (in der Regel ab 30 Euro online) überweisen zu können oder digitale Kartendubletten des Kunden (zum Beispiel in Apple und Google Pay) auf ihrem betrügerischen Smartphone korrekt aktivieren und nutzen zu können. Daher versuchen sie, am Telefon eine Freigabe zu erhalten. Um solche böswilligen Transaktionen einzudämmen, werden die Banken nun stärker in die Pflicht genommen. Genau genommen überträgt die EU den Finanzinstituten die Verantwortung für solche Betrugsfälle gegenüber Verbrauchern. Nur wenn diese böswillig, betrügerisch oder grob fahrlässig handeln und den Schaden nicht bei der Polizei und ihrem Zahlungsdienstleister angezeigt haben, ist die Bank von der Haftung befreit.

Dr. Ernst Stahl betont: „Die PSR hingegen umfasst alle zivilrechtlichen Bestimmungen, beispielsweise zum Verbraucherschutz, zu Fristen und Haftungsfragen. Generell hat sich die EU das Ziel gesetzt, die Sicherheit von Zahlungsvorgängen zu erhöhen, den Wettbewerb zu fördern und den Zahlungsverkehr innerhalb des europäischen Wirtschaftsraums zu harmonisieren.“

PSD2 und PSD3 – wo liegt der Unterschied?

Der Unterschied liegt zunächst einmal in der Aufteilung der PSD2 in die PSD3 und PSR. Bei der PSR steht, wie bereits erwähnt, der Verbraucherschutz im Vordergrund. So werden einerseits die Anforderungen an die Transaktionsüberwachung und die Gefährdungshaftung der Banken ausgeweitet, andererseits soll der Kunde besser vor Betrug aller Art geschützt werden. In diesem Zusammenhang ergänzt die bereits in Kraft getretene Instant Payment Regulation (IPR) die PSR, bei der auch eine neue Sanktionslistenprüfung im Vordergrund steht. Zahlungsdienstleister müssen regelmäßig, zumindest täglich ihre Kunden mit einer zentralen, einheitlichen Sanktionsliste abgleichen. Damit soll sichergestellt werden, dass es sich bei einem Zahlungsdienstnutzer nicht um eine Person oder Einrichtung handelt, die gezielten finanziellen Restriktionen unterliegt.

Was wird sich mit der PSR (und der PSD3) ändern?

Mit der neuen PSD3/PSR wird sich einiges ändern – die EU hat die Regelungen in einer Vielzahl von Punkten noch einmal verschärft. Das schließt unter anderem die Haftung für Zahlungsdienstleister (Art. 59 PSR) oder die Einrichtung eines Dashboards für die Verbraucher, um ihre erteilten Datenzugriffsrechte an Kontoinformationsdienstleister und Zahlungsauslösedienstleister zu überprüfen und bei Bedarf zu widerrufen, ein. Für Banken sind die wichtigsten Änderungen nicht mehr in der PSD verankert – hier geht es vor allem um die Zulassung als Zahlungsinstitut und aufsichtsrechtliche Vorgaben –, sondern in der PSR. Die PSR ist damit ein logischer weiterer Schritt des Regulators, um die Verbraucherrechte zu stärken, aber auch um das Thema Open Banking weiter voranzutreiben und bestehende Hürden abzubauen. So müssen die kontoführenden Zahlungsdienstleister grundsätzlich dedizierte Schnittstellen (APIs), die europäischen oder internationalen Standards entsprechen, für den Datenaustausch mit Kontoinformationsdienstleistern und Zahlungsauslösedienstleistern zur Verfügung stellen. Darüber hinaus dürfen sie weiterhin keine Gebühren für den Kontozugang erheben, weder vom Kontoinhaber noch vom Zahlungsauslösedienstleister oder Kontoinformationsdienstleister. Eine starke Kundenauthentifizierung ist nur für den erstmaligen Zugriff auf die Zahlungskontodaten vorgeschrieben, danach genügt eine entsprechende Authentifizierung alle 180 Tage.

Wie wirkt sich die neue EU-Richtlinie PSD3/PSR auf Verbraucher aus?

Das Ziel der neuen PSR ist es, den Verbraucher bestmöglich zu schützen. Gleichzeitig sollen die Interessen aller EU-Bürgerinnen und -Bürger gestärkt werden. Und hier kommen auch andere geplante Gesetze ins Spiel, etwa zum Thema Bargeldakzeptanzpflicht. Einerseits streben die EU-Kommission und die Europäische Zentralbank (EZB) aus Souveränitätsgründen den digitalen Euro an. Andererseits wollen sie vor dem Hintergrund, dass rund 30 Millionen EU-Bürgerinnen und -Bürger kein eigenes Bankkonto haben, auch das Bargeld ergänzend stärken beziehungsweise verhindern, dass es irgendwann ganz verschwindet. Denn dann wären viele Menschen vom Zahlungsverkehr ausgeschlossen.

Inwieweit wird damit die Sicherheit elektronischer Zahlungsdienste verbessert?

Die Hoffnungen sind groß und die PSR sieht zahlreiche Maßnahmen für die Sicherheit elektronischer Zahlungsdienste vor. Das war auch dringend notwendig, denn mit dem Aufkommen von Künstlicher Intelligenz und neuerdings generativer KI (GenAI) haben sich für Cyberkriminelle völlig neue Möglichkeiten eröffnet, ihre Angriffstechniken zu verfeinern. Tools wie ChatGPT sind wie eine „Steroidpille“ für Betrüger – schlimmer noch, sie erleichtern den Einstieg in kriminelle Machenschaften aller Art. So lassen sich relativ schnell und einfach Phishing-Mails und -Websites – neuerdings auch physische Briefe mit einem Phishing-QR-Code – erstellen, die von einer echten Servicemeldung an den Bankkunden nicht mehr zu unterscheiden sind. Aus Sicht der Betrüger ist KI auch ein nützliches Werkzeug für den sogenannten „unfreiwilligen“ Betrug. Das bedeutet, dass die Kunden selbst den Hackern Tür und Tor öffnen, indem sie beispielsweise eine manipulierte Kartendublette in einer Wallet wie Apple oder Google Pay aktivieren. Geschicktes Prompting, also der Einsatz von GenAI-Tools, ist aber nur ein Aspekt – ein anderer ist der digitale Identitätsbetrug. Mit KI lassen sich Fake-Accounts mit synthetischen Identitätsattributen und Fotos erstellen und durch Bots extrem skalieren. Gleichzeitig garantiert eine variierende Tarnung die notwendige Ablenkung. Diesen Möglichkeiten, die KI den Kriminellen bietet, will die EU verstärkt einen Riegel vorschieben und auch die Zahlungsdienstleister stärker in die Verantwortung nehmen, da diese in ihren Augen Betrugsmuster und -versuche leichter erkennen können als ein „normaler“ Verbraucher. Eines darf man aber nicht vergessen: Der Kampf gegen die Verbrecher aus dem Cyber-Raum ist immer ein Wettlauf gegen die Zeit, denn auch die Hacker rüsten ständig nach.

Wie sollten sich Plattformen, Finanzdienstleister und Unternehmen auf PSD3/PSR vorbereiten?

Banken und Zahlungsdienstleister müssen frühzeitig und proaktiv handeln, um die Einhaltung der Vorschriften sicherzustellen und damit auch ihre Wettbewerbsfähigkeit abzusichern. Das schließt die unterschiedlichsten Maßnahmen in den einzelnen vom Gesetz betroffenen Bereiche ein und damit die Anpassung der bestehenden Systeme und Prozesse. Was genau wie umgesetzt werden muss, hängt letztendlich davon ab, welche Vorgaben konkret verabschiedet werden. Gerade in Bezug auf Artikel 59 werden die Banken aller Voraussicht nach noch stärker darauf achten müssen, den Zahlungsverkehr zu kontrollieren, um Betrugsmuster zu erkennen und so ihrer Sorgfaltspflicht nachzukommen. Das Thema „Fraud“ wird deutlich an Dynamik gewinnen. Wie umfangreich die umzusetzenden Maßnahmen sein können, zeigt beispielhaft die Verification of Payee (VOP) im Rahmen der im Frühjahr in Kraft getretenen Instant Payment Regulation (IPR): Die Finanzinstitute müssen das Frontend für alle Einreichungskanäle – einschließlich Automaten – so anpassen, dass die Ergebnisse der IBAN-Namensprüfung angezeigt werden und der Kunde gegebenenfalls eine Entscheidung für oder gegen die Freigabe treffen kann. Die IBAN-Namensprüfung bedeutet, dass der Absender vor der Freigabe einer Überweisung – unabhängig davon, ob es sich um eine Standardüberweisung oder eine Echtzeitüberweisung handelt – von der Empfängerbank eine Rückmeldung darüber erhält, ob der Name mit der Kontonummer übereinstimmt. Darüber hinaus müssen sie den Zahler bei festgestellten Diskrepanzen DSGVO-konform benachrichtigen. Und das sind nur ein paar der notwendigen Maßnahmen.

Gleichzeitig sollten Banken und Finanzdienstleister einige grundlegende Fragen für sich klären: Wie lassen sich die Systeme beziehungsweise Workflows anpassen, um bei weiter steigenden Transaktionszahlen Performance und Stabilität sicherzustellen? Wie sieht eine Fallback-Lösung aus, wenn Instant Payment oder ein VOP-Service nicht erreichbar ist? Wie werden Downtimes bei Releasewechsel ausgeschlossen, um jederzeit rund um die Uhr verfügbar zu sein? Welche Neben- und Umsysteme sind von den Anforderungen betroffen? Sind die Systeme darüber hinaus bereits auf kürzere Verarbeitungszeiten als zehn Sekunden ausgelegt, da ein solches Limit mit Blick auf die Zukunft nicht auszuschließen ist?

Was bedeutet die PSR-Evolution fürs Open Banking?

Die Banken werden verpflichtet, mehr Informationen mit den Zahlungsdienstleistern auszutauschen und die Infrastruktur für das Open Banking zu verbessern, um die verbleibenden Hindernisse für die Bereitstellung zu beseitigen und so den Markteintritt neuer, innovativer Dienstleistungen zu erleichtern. Bislang funktioniert das etwa bei der Öffnung der Schnittstellen nicht immer reibungslos und kundenfreundlich. Gerade beim Thema Login mit einer entsprechend starken Authentifizierung wird nachgebessert werden. Mit der PSR wird es auch hier Änderungen geben, die EU erhofft sich mehr Innovationen durch mehr Wettbewerb. Im Prinzip kann man die Entwicklung mit der Deregulierung im Telekommunikationssektor vergleichen: Früher gab es nur wenige marktbeherrschende Teilnehmer in ganz Europa. Durch die Öffnung profitieren wir heute beispielsweise vom kostenlosen Roaming. Mit der PSR sollen Bankkunden analog dazu künftig noch einfacher neue, innovative Dienstleistungen nutzen können.

Zum Autor:
Autor: Dr. Ernst Stahl (*1973) ist Head of Payments bei NTT DATA und beschäftigt sich rund um das Thema Zahlungsverkehr. Dabei steht im Zentrum, wichtige Zahlungsverkehrstrends zu verfolgen und strategisch zu bewerten. Davor war er viele Jahre Director und Gesellschafter von ibi research. Die Beratungs- und Projektschwerpunkte von Dr. Ernst Stahl sind: Zukunft des Zahlungsverkehrs im Spannungsfeld von Innovation (CDBC und CBMT, ISO 20022, RTP, ZV-Trends) und Regulierung (z. B. PSD & RTS, PSR und RPS) sowie strategisches Management. Dr. Ernst Stahl ist ferner Autor einer Vielzahl von Veröffentlichungen, Moderator und Referent zahlreicher Veranstaltungen und Kongresse sowie Dozent und Lehrbeauftragter an zahlreichen Bildungsakademien im Bereich Zahlungsverkehr.

de.nttdata.com/

CC BY-ND 4.0 DE

https://creativecommons.org/licenses/by-nd/4.0/deed.de#