ICH WILLMEHR UMSATZUND ZWAR SOFORT.

GSK PSD2 Konferenz

Dr. Jens Lütcke

Geschäftsführer, SOFORT GmbH

2

SOFORT GMBHZahlen & Fakten

Zahlungsvolumen 2016

Umsatz 2016

Transaktionen 2016

Transaktionen 12/2016

Onlinehändler

Länder (europaweit)

Gegründet

Hauptsitz

Mitarbeiter

6,0 Mrd. €

45 Mio. €

61 Mio.

6,8 Mio.

> 35.000

13

2005

München

> 150

3

SOFORT ÜBERWEISUNG - EIN TYPISCHER PIS

Der Kunde wählt SOFORT

Überweisung beim Online-Kauf aus

und gelangt somit auf unser

verschlüsseltes Zahlformular

Mit der Auswahl des Landes und der

Bankleitzahl startet der Zahlprozess. Der

Kunde gibt seine gewohnten Online-

Banking Zugangsdaten ein und bestätigt

die Überweisung per TAN

Der Onlinehändler erhält eine

Echtzeitbestätigung über die

Einstellung der Überweisung in das

Online-Banking und kann die

Bestellung sofort bearbeiten und

versenden

4

Payment Services Directive 2 (PSD2)

5

Lizenz

Bevor ein PIS in der EU an den Markt darf, muss er bei der entsprechenden nationalen Aufsichtsbehörde eine Zulassung beantragen. Dabei wird geprüft, ob alle vorgeschriebenen Sicherheits- und Datenschutzanforderungen erfüllt sind (vgl. Art. 5 und 11 PSD2 - verpflichtend ab 13.01.2018)

1

ZAHLUNGSAUSLÖSEDIENSTE (PIS) IN DER PSD2

Identifizierung

Der PIS muss sich jedes Mal, wenn eine Zahlung ausgelöst wird, gegenüber dem kontoführenden Zahlungsdienstleister identifizieren(vgl. Art. 66 (3d) PSD2 - verpflichtend ab 18 Monate nach Inkrafttreten der EBA RTS on SCA & secure communication = April 2019)

2

6

Haftung

Haftet der PIS für einen nicht autorisierten Zahlungsvorgang, so entschädigt er die Bank auf deren Verlangen unverzüglich für die infolge der Erstattung an den Zahler erlittenen Verluste oder gezahlten Beträge. Der PIS muss nachweisen, dass der Zahlungsvorgang — innerhalb seines Zuständigkeitsbereichs — authentifiziert, ordnungsgemäß aufgezeichnet und nicht durch eine technische Panne oder einen anderen Mangel im Zusammenhang mit dem von ihm verantworteten Zahlungsdienst beeinträchtigt wurde (vgl. Art. 73, 89, 90 und 92 PSD2 - verpflichtend ab 13.01.2018)

3

ZAHLUNGSAUSLÖSEDIENSTE (PIS) IN DER PSD2

Versicherung

Um sicherzustellen, dass PIS ihre Haftungsverpflichtungen (s.o.) erfüllen können, müssen PIS über eine Berufshaftpflichtversicherung für die Gebiete, in denen sie ihre Dienste anbieten, oder eine andere gleichwertige, die Haftung abdeckende Garantie verfügen (vgl. Art. 5 (2) PSD2 - verpflichtend ab 13.01.2018)

4

7

Ermöglichung des Zugangs zum Zahlungskonto (vgl. Art. 66 PSD2, § 50 ZAG (Entwurf) - verpflichtend ab 13.01.2018)

1

WAS MÜSSEN BANKEN TUN?

Für eine Zugangsverweigerung definiert die PSD2 eine enge, abschließende Liste an zulässigen Gründen ( “objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang [...] zum Zahlungskonto”) (vgl. Art. 68 (5) PSD2, § 52 ZAG (Entwurf) - verpflichtend ab 13.01.2018, in der deutschen Umsetzung allerdings dazu im Widerspruch Art. 7 erst mit Inkrafttreten der EBA RTS)

2

Der Widerruf einer Überweisung ist nicht mehr möglich, wenn diese über einen PIS ausgelöst wurde (vgl. Art. 80 PSD2, § 675p Abs. 2 - verpflichtend ab 13.01.2018)4

Auf sichere Weise mit dem PIS kommunizieren(vgl. Art. 66 und 98 (1) PSD2, § 50 ZAG (Entwurf) - verpflichtend ab 18 Monate nach Inkrafttreten der EBA RTS on SCA & secure communication = April 2019)

3

8

Regulatory Technical Standards (RTS)

&

Guidelines der EBA

9

10

EBA’s final draft of the RTS

on Strong Customer Authentication (SCA) and common and secure communication

CO

MM

UN

ICA

TIO

N

INT

ER

FA

CE

PSD2:

Recital 32:

“[PIS] are based on direct or indirect access for the [PISP] to the payer’s account. An [ASPSP] which provides a mechanism for indirect access should also allow direct access for the [PISP]”

Recital 93:

“It is necessary to set up a clear legal framework [...] under which [PISP] can provide their services [...] without being required by the [ASPSP] to use a particular business model, whether based on direct or indirect access [...]”

Finaler Entwurf der EBA RTS:

Art. 27:

1. Option: Dediziertes Interface (indirect)2. Option: Online-Banking-Webseite (direct)

SO WEIT, SO GUT - ABER ...

“To ensure technology and business-model neutrality, the [ASPSP] should be free to decidewhether the interface they offer should be dedicated to the communication with [AISP], [PISP], and [PII], or to allow use of the interface for the identification and communication with the [ASPSPs]’ payment service users.”

EBA draft RTS, S. 16

BANKS SHOULD BE “FREE TO DECIDE”

TECHNOLOGY AND BUSINESS-MODEL

NEUTRALITY?

“where the dedicated interface does not operate at the same level of availability and performance as the interface made available to the [ASPSP]’s payment service user for when accessing its payment account online, the [ASPSP] shall report it to the competent authorities, shall restore the level of service for the dedicated interface referred to in point (b) without undue delay and shall take any action that may be necessary to avoid its reoccurrence” (Art. 28 finaler Entwurf der EBA RTS)

UND IN DER PRAXIS?

“Of course, banks must comply, added Kirsch, but they also have the ability to choose to make API access easy for third parties or difficult (presenting codes and data, Kirsch said, in ways that might be hard to use effectively)”

Interview mit Token CEO Steve Kirsch auf PYMNTS

“Banks are scared. They’ve seen the rise of the new world of open APIs, apps and analytics and know that their organisations are not yet ready or fit to change to that world. What to do? Well, the easiest thing to do is block access to the bank’s data. If third party fintech firms cannot get access to the customer’s financial data, you can severely limit what they can do. Brilliant … and it’s just what banks are doing.”

Chris Skinner auf http://banknxt.com

14

“FALL BACK” LÖSUNG

Welche Voraussetzungen müssten erfüllt sein, um auf den “direct access” umstellen zu dürfen?

1

Wer müsste beweisen, dass die Voraussetzungen erfüllt sind? 2

Würde die “fall back” Lösung auch für innovative, neue Funktionen gelten? 3

Erfordernis, zwei Systeme parallel zu warten 4

6. Mai 2015, nach Veröffentlichung des finalen PSD2 Textes

24. Februar 2017, nach Veröffentlichung des finalen Entwurfs der EBA RTS

16

EBA’s draft Guidelines

on the criteria on how to stipulate the minimum monetary amount of the professional indemnity insurance

or other comparable guarantee

17

BERUFSHAFTPFLICHTVERSICHERUNG

Risikoprofil: Höhe Schadensersatzansprüche + geographische Reichweite + Anzahl bestehende Verträge + Anzahl initiierte Transaktionen

Art der Aktivität: reiner PIS/AIS oder Kombination von Diensten

Größe der Aktivität: Zahlungsvolumen

Auf Grundlage des derzeitigen Entwurfs der EBA käme SOFORT für das Jahr 2016 auf eine Versicherungssumme von 150 Millionen €

18

BERUFSHAFTPFLICHTVERSICHERUNG

Entscheidende Eintrittsbarriere für junge, innovative Fintechs? 1

Wie verhält es sich im Falle grober Fahrlässigkeit und Vorsatz? 2

Wie wird die Versicherungswirtschaft reagieren?3

“Es kann derzeit nicht abgeschätzt werden, ob auf dem deutschen Markt zukünftig ausreichende und bezahlbare

Versicherungskapazität für die geforderte neue Pflichtversicherung zur Verfügung stehen wird. Soll eine Absicherung durch

eine Versicherung vor o.g. Hintergrund überhaupt grundsätzlich möglich sein, muss der Versicherer im Versicherungsvertrag

adäquate Deckungsbegrenzungen vereinbaren können.”

Aus der Stellungnahme des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) zum Entwurf der EBA Guidelines zur Berufshaftpflichtversicherung

Inkrafttreten: 13. Januar 2018 - aber bislang noch keine finalen Guidelines veröffentlicht4

WIE GEHT ES WEITER?

Finalisierung der RTS on SCA & secure communication

Umsetzung der PSD2 Vorgaben in allen EU-Mitgliedstaaten

Finalisierung aller weiteren EBA RTS und Guidelines

Parallel Vorbereitung der Lizenz- bzw. Registrierungsanträge durch PIS & AIS