Über die PSD2, innovative Authentifizierungs-Verfahren und was die Schweiz damit zu tun hat

Santosh Ritter von Aduno Group

Gastautor Santosh Ritter relativiert das in der Schweiz übliche und reflexartige "Schluss mit lustig", wenn's um die PSD2 geht – der Autor schlägt Brücken zwischen Müssen, Dürfen und Servicedenken.

Wer an Finanzmarktregulierung denkt, verbindet dies in den wenigsten Fällen mit Innovation und Verbesserung der Wettbewerbsfähigkeit. Wenn es sich dabei noch um eine EU-Regulierung handelt, ist für die meisten Schweizer Banken reflexartig "Schluss mit lustig".

Die PSD2 und ihre Ziele

So geschehen auch mit der revidierten Richtlinie über Zahlungsdienste im europäischen Binnenmarkt, besser bekannt als PSD2. Die Richtlinie, welche im Januar 2018 in Kraft getreten ist, harmonisiert eine Vielzahl von unterschiedlichen Rechtsvorschriften der verschiedenen Mitgliedstaaten und schafft somit Rechtsicherheit innerhalb des Binnenmarktes. Die vier Hauptziele sind:

  • Der Schutz von Konsumentinnen und Konsumenten vor missbräuchlichen und betrügerischen Zahlungstransaktionen durch unbekannte Dritte 
  • Die kontinuierliche und effiziente Weiterentwicklung des integrierten Binnenmarktes für sichere elektronische Massenzahlungen 
  • Die Sicherstellung von Wettbewerbsgleichheit 
  • Die Förderungen von Innovation durch den geöffneten, kostenlosen Zugang zu Zahlungskonten für Drittparteien (auch Nicht-Banken), das sogenannte Access-to-Account-Prinzip (XS2A) 

Und was hat das mit der Schweiz zu tun?

Manch einer mag sich nun fragen, weshalb diese Regulierung für den Schweizer Finanzplatz relevant ist, obwohl die Schweiz nicht EU-Mitgliedstaat ist und auch nicht an der Freihandelszone zwischen der EU und der Europäischen Freihandelsassoziation partizipiert, auch bekannt als Europäischer Wirtschaftsraum (EWR).

Die Antwort liegt im grenzüberschreitenden E-Commerce-Geschäft, welches in den letzten Jahren stetig gewachsen ist. Schweizerinnen und Schweizer kaufen im Internet immer häufiger auch bei Händlern mit Firmensitz in Europa und verwenden dazu kartengebundene Zahlinstrumente wie beispielsweise Kredit- oder Debitkarten.

Die technischen Regulierungsstandards der Europäischen Bankenaufsichtsbehörde (EBA) und Europäischen Zentralbank (EZB) zur starken Authentifizierung schreiben unter anderem vor, dass grundsätzlich bei jeder Auslösung einer Zahltransaktion eine starke Kundenauthentifizierung erforderlich ist. Dabei muss eine Kombination von Authentisierungsfaktoren von mindesten zwei unterschiedlichen Kategorien verwendet werden.

Die sogenannte 2-Faktor-Authentifizierung (2FA) oder Multifaktor-Authentifizierung enthalten Elemente der Kategorie

  • Wissen: Etwas, was nur die Zahlungsdienstnutzerin- oder der Nutzer weiss, wie beispielsweise ein Passwort oder eine Wischsequenz, um ein Mobiltelefon zu entsperren
  • Besitz: Etwas, was nur die Zahlungsdienstnutzerin- oder der Nutzer besitzt, wie beispielsweise ein Gerät 
  • Inhärenz: Etwas, was nur die Zahlungsdienstnutzerin- oder der Nutzer ist oder ihr/ihm anhaftet, wie Fingerabdruck oder Gesichtsgeometrie 

Die starke Kundenauthentifizierung ist bei sogenannten "One-Leg-Out"-Transaktionen grundsätzlich nicht erforderlich. Mit One-Leg-Out ist gemeint, dass sich entweder der Zahlungsdienstleister des Zahlers (Issuer) oder der Zahlungsdienstleisters des Empfängers (Acquirer) ausserhalb des EWR befindet. In der Regel werden jedoch viele Händler oder Payment Service Provider (PSP) diese Unterscheidung nicht vornehmen – warum nicht? Es liegt in ihrem eigenen Interesse, dass sie die in der PSD2 definierten Referenzbetrugsraten nicht überschreiten. 

Über die Kundenauthentifizierung

Bei kartengebundenen Zahlungsvorgängen erfolgt die Authentifizierung über das EMVCo 3D-Secure Protokoll. Mit der Verwendung der Version 2.0 (und höher) hat der Issuer nun die Möglichkeit, die Authentifizierung ohne zusätzliche Kundeninteraktion vorzunehmen und nutzt den sogenannten "Frictionless Flow". Dies trifft häufig bei Transaktionen mit tiefen Beträgen oder niedrigem Risiko auf.

Falls der Issuer eine starke Kundenauthentifizierung als erforderlich betrachtet, nutzt er dafür den sogenannten "Challenge Flow". Die Kundin oder der Kunde bestätigt dabei beispielsweise über die Eingabe eines Codes, welchen er per SMS auf sein Mobiltelefon erhalten hat. Oder bei moderneren Anwendungen beispielsweise durch die Nutzung von biometrischen Verfahren wie Fingerabdruck- oder Gesichtserkennung. Nach einer erfolgreichen Authentifizierung kann der eigentliche Zahlprozess gestartet werden, welcher Autorisierung, Clearing & Settlement umfasst.

Die Chancen für den Finanzplatz Schweiz

Für den Schweizer Finanzplatz besteht die Chance, sich mit einer Aussensicht (weil nicht reguliert) an der Realisierung von innovativen "Identity & Access Management"-Lösungen zu beteiligen, um den Gesamtprozess für die Kunden noch sicherer und bequemer zu gestalten.

Die Ende 2019 an der Hochschule für Wirtschaft (HWZ) vorgelegte Masterarbeit, "Risikobasierte und adaptive Authentifikation – eine kartenbasierte Zahlungsdienstleistung für Banken im Kontext von PSD2", beschreibt die Kombination von zwei innovativen Authentifizierungsverfahren. Diese können zu einer starken Kundenauthentifizierung (2-Faktor oder Multifaktor) genutzt werden, ohne dass eine zusätzliche Kundeninteraktion erforderlich ist. 

Dabei wird mit Zero Touch eine einzigartige Technologie mit dem Vergleich des Hintergrundgeräusches zu Authentifizierungszwecken genutzt, welche vom Schweizer ETH Spin-off-Unternehmen Futurae Technologies entwickelt wurde. Die Kombination mit einem verhaltensbiometrischen Verfahren von NuData/Mastercard wird vom Nutzer wie ein "Fricitionless-Flow" empfunden (weil keine zusätzliche Interaktion erforderlich), obwohl tatsächlich eine starke Authentifizierung stattgefunden hat. Der Händler hat somit das finanzielle Betrugsrisiko eliminiert und profitiert von der sogenannten Haftungsumkehr.

Der in der Masterarbeit vorgestellte Service verwendet für die Umsetzung die auf dem OAuth 2.0-Protokoll basierende OpendID Connect-Anwendung sowie das 3D-Secure Protokoll 2.2.       

Der Autor: Santosh Ritter

Santosh Ritter leitet als Mitglied der Direktion seit Juli 2016 das operative Risk Management des Kartengeschäftes der Aduno Gruppe. Zuvor war er seit 2012 innerhalb der Aduno Gruppe in verschiedenen Funktionen tätig. Unter anderem leitete er während vier Jahren das Operations Center des Acquiring- & Terminal-Geschäfts am Standort Tessin.

Vor seinem Eintritt in die Aduno Gruppe war er unter anderem als Consultant und Account Manager für die französische Altran Gruppe tätig und leitete ein Grossprojekt für den Europäischen Dachverband von forschenden Pharmaunternehmen (EFPIA) in Brüssel. 

Santosh hat an der Hochschule für Wirtschaft Zürich (HWZ) Betriebsökonomie studiert und sein Studium als Betriebsökonom FH abgeschlossen. Zudem hat er einen Masterlehrgang in Banking & Finance absolviert, ebenfalls an der HWZ, und hält den Titel Master of Advanced Studies ZFH in Banking & Finance.