Die rasante Entwicklung im Zahlungsverkehrsmarkt, die Einführung neuer Technologien und vieler innovativer Geschäftsmodelle infolge der Digitalisierung haben zu Anpassungserfordernissen geführt. Deshalb wurde Ende 2015 die überarbeitete Zahlungsdienstrichtlinie 2 (EU-Richtlinie 2015/2366) mit einer Reihe von Regelungen erlassen, um die Sicherheit im Zahlungsverkehr zu erhöhen und weiteren Wettbewerb zu fördern. Das große Ziel ist es, den europaweiten Wettbewerb der Zahlungsbranche, auch im Hinblick auf Dienstleister, die keine Banken sind, zu erhöhen. Mit der Harmonisierung des Verbraucherschutzes wurden gleichzeitig die Rechte und Pflichten für alle im Zahlungsdienstleistungsmarkt befindlichen Teilnehmer angeglichen. So soll ein fairer Wettbewerb entstehen.
Was in der Theorie auf dem Papier sehr gut klingt, ist allerdings für alle Unternehmen, die die PSD2 umsetzen müssen, ein oftmals großer, zeit- und kostenintensiver Schritt. Denn die Umsetzung der Anforderungen in deutsches Recht musste bis zum 13. Januar 2018 erfolgen. Banken müssen seitdem verpflichtend Schnittstellen einrichten. Über diese können Zahlungsdienstleister auf die Konten der Bankkunden zugreifen. Allerdings geht es in der PSD2 nicht nur um den korrekten Zugriff auf das Bankkonto von vielen Seiten. Im Fokus steht auch die Schnelligkeit bei gleichzeitiger Sicherheit. Diese wird dank der Einführung von SEPA Instant Payments notwendig.
Durch sie ergeben sich weitere Herausforderungen für die Compliance in bestehenden IT-Landschaften, denn Transaktionen werden zukünftig in Real-time zu jeder Tageszeit über verschiedene Kanäle abgewickelt. Dies kann Zahlungen zwischen Privatpersonen, im Online-Handel oder zwischen Unternehmen umfassen. Unabhängig davon sind die gängigen Compliance-Standards auch bei der umgehenden Gutschrift von Zahlungen auf das Empfängerkonto vollumfänglich einzuhalten.
Prüfvorgang für Instant Payments, hier am Beispiel von SMARAGD TCM (Grafik: targens)
Eine Instant Payments-Zahlung muss in einem Zeitraum von zehn Sekunden durchgeführt werden. Das bedeutet, dass betroffene Finanzinstitute neben den gängigen Listenprüfungen im Embargo- und Sanktionsbereich auch Betrugsprüfungen beschleunigen müssen. Für eine wirksame Betrugsprävention und zur Einhaltung der Mindestanforderungen für Zahlungen im Internetverkehr (MaSI) ist es notwendig, Zahlungen real-time gegen das Verhalten einer Vergleichsgruppe oder das historische Verhalten des Kunden zu prüfen, unübliche Transaktionen anzuhalten und Geldwäschemuster zu erkennen sowie auffällige Zahlungen zu stoppen.
Damit Unternehmen all diese Anforderungen bestens erfüllen, bedarf es einer starken Softwarelösung. Wichtig ist dabei vor allem die Hochverfügbarkeit des Prüfservers, damit es nicht während des Prozesses der Listenprüfung aufgrund der Vielzahl an Vorgängen zu Engpässen kommt. Wenn das System einen Verstoß erkennt, muss dieser sofort gemeldet werden, damit der Bearbeiter die Transaktion anhalten kann. Ebenfalls wichtig ist eine Multiserver-Architektur. Sie garantiert permanente Verfügbarkeit. Die Prüfung der Zahlungstransaktionen kann dabei auf beliebig viele Server parallel verteilt werden. So wird ein eventueller Ausfall eines Prüfservers durch die anderen kompensiert. Führt ein Server ein Listen-Update durch, übernehmen die restlichen die Prüfungen. Fachliche Re-Konfigurationen der Prüfserver werden seriell vorgenommen.
Bevorzugt werden sollten Lösungen, bei denen jeder einzelne Prüfserver für sich bereits hervorragenden Durchsatz besitzt. Durch die Parallelisierung innerhalb der Multiserver-Architektur können anfallende Spitzenlast-Zeiten immer problemlos bewältigt werden.
Die Multiserver-Fähigkeit ermöglicht außerdem, dass zusätzliche Prüfkapazität durch die Hinzunahme weiterer Prüfserver umgesetzt werden. Über vorkonfigurierte Adapter erfolgt die Integration der Embargo-Prüfung in den Zahlungsverkehr schnell und durch erprobte Verfahren, z.B. Queuing (MQ) oder Webservice. Das unabhängige Ruleset für Instant Payments-Nachrichten beinhaltet z.B. eine geringere Ähnlichkeit bei der Namensprüfung (normale Prüfungen 93%; Instant Payments 97%).
Verschiedene Anbieter von Instant Payments-Lösungen bieten unterschiedliche System an. Für den Anwender ist es daher nicht nur wichtig, sich der Anforderungen von der PSD2 bewusst zu sein und danach die richtige Software-Auswahl zu treffen. Es geht immer auch darum, einen Anbieter zu finden, der nicht nur die Technik beherrscht, sondern auch die Implementierung. Sachverstand muss hier gepaart sein mit Ansprechbarkeit. Immerhin ist allen Akteuren im Markt bewusst, dass in Zukunft noch zahlreiche Erweiterungen der Richtlinien entstehen werden. Eine gute und intensive Kommunikation sowie Kooperation zwischen Kundenunternehmen und Hersteller ist daher essentiell für das Gelingen. Entwicklung und Beratung müssen Hand in Hand gehen. Nur so können sich Kunden sicher sein, auf die richtige Lösung gesetzt zu haben.
Wolfgang Kloiber ist bei der targens GmbH als Sales Manager Compliance Solutions für die Betreuung von Industriekunden zuständig. Er besitzt jahrelange Erfahrung im Umfeld von Compliance Management-Tools sowie der Schulung und Kommunikation von Compliance-Inhalten. Diese fundierte Expertise setzt er zum Wohle der Kunden ein. Nach dem Studium der Geisteswissenschaften in Würzburg, Berlin und Cambridge arbeitete er zunächst als Business-Coach und Trainer, anschließend als Berater in Personalrekrutierung und Personalentwicklung.