Wir leben in einer Zeit, in der digitale Transaktionen zur Norm geworden sind. Meistens besteht kaum noch die Notwendigkeit, einen Zahlungsverkehrsdienstleister (Payment Service Provider, PSP) persönlich aufzusuchen, um eine Finanztransaktion durchzuführen, da PSPs rund um die Uhr verfügbar sind. Mit Hilfe von Banking-Apps können die Nutzer mit wenigen Mausklicks Geld senden und empfangen oder Zahlungen durchführen. Angesichts dieses Anstiegs der Nutzung ist es extrem wichtig geworden, die Sicherheit und Vertrauenswürdigkeit dieser Transaktionen zu gewährleisten.
Eine wichtige Maßnahme zur Absicherung von Zahlungen ist die Verification of Payee (VoP), also die Verifizierung des Zahlungsempfängers, auch bezeichnet als „Confirmation of Payee (CoP)“, also die Bestätigung des Empfängers). Dadurch wird die Identität des Empfängers überprüft und sichergestellt, dass die Zahlungen an den richtigen Empfänger gehen. Aktualisierungen der VoP-Anforderungen und der Rolle von Qualified Website Authentication Certificates (QWACs), also qualifizierten Zertifikaten für die Website-Authentifizierung, verändern die regulatorische Landschaft.
In diesem Blog befassen wir uns mit VoP-Anforderungen, der Bedeutung von QWACs und der Rolle der Payment Services Directive 2 (PSD2) bei der Gestaltung der Zahlungssicherheit in verschiedenen Regionen.
Die Rolle der „Confirmation of Payee“ (CoP) als Vorgänger der „Verification of Payee“ (VoP)
Das Vereinigte Königreich war eines der ersten Länder, das im Jahr 2020 mit der Initiative zur Bestätigung des Zahlungsempfängers (Confirmation of Payee, CoP) begann. Unter der Führung von Pay.UK ist das Hauptziel der CoP-Verordnungen, fehlgeleitete und betrügerische Zahlungen zu verhindern. Im Wesentlichen wird vor dem Abschluss der Zahlung überprüft, ob der Name und die Kontodaten des Zahlungsempfängers mit den vom Zahler angegebenen Kontodaten übereinstimmen. Stimmen die Angaben nicht überein, wird der Absender informiert, dass möglicherweise etwas nicht in Ordnung ist.
Es gab mittlerweile über 2,5 Milliarden abgeschlossene CoP-Kontrollen, die zu einem deutlichen Rückgang der Betrugsfälle geführt haben. Daher wurde diese Initiative als großer Erfolg gewertet.
Der Europäische Zahlungsverkehrsausschuss (European Payments Council, ECP) folgte dem Beispiel und führte im Oktober 2024 das Verification of Payee (VoP), also das Verfahren zur Überprüfung des Zahlungsempfängers, ein. Der ECP hat nun angeordnet, dass alle Zahlungsverkehrsdienstleister, die Sofortzahlungen oder Überweisungen innerhalb des einheitlichen Euro-Zahlungsverkehrsraums (SEPA) anbieten, das VoP-Verfahren bis Oktober 2025 implementieren müssen.
CoP vs VoP – Worin liegen die Unterschiede?
Sowohl CoP- als auch VoP-Verfahren haben die gleichen Grundprinzipien, um Zahlungsbetrug und fehlgeleiteten Zahlungen zu reduzieren. Es gibt jedoch unterschiedliche Anforderungen an die Überprüfung. Das CoP-Verfahren überprüft die Identität des Zahlungsempfängers anhand des Namens der Person oder des Unternehmens, der Bankleitzahl und der Kontonummer. Bei VoP-Transaktionen hingegen wird die Identität entweder anhand des Kontonamens oder einer eindeutigen Kontokennung, wie z. B. einer Kennung der juristischen Person (Legal Entity Identifier, LEI) oder einer Steuernummer, überprüft.
Die Rolle von Qualified Website Authentication Certificates (QWACs) bei VoP- und CoP-Transaktionen
Wo kommen die QWACs ins Spiel? Ein QWAC ist ein qualifiziertes Zertifikat für die Website-Authentifizierung und eine obligatorische Anforderung, die Zahlungsverkehrsdienstleister gemäß den Regulatory Technical Standards (RTS) zur Strong Customer Authentication (SCA) und zur Common and Secure Communication (CSC) umsetzen müssen.
Ein QWAC ist ein qualifiziertes digitales Zertifikat, das starke Authentifizierung, Verschlüsselung und Integritätsschutz für Daten bietet, die zwischen Finanzinstituten ausgetauscht werden. Diese Zertifikate sichern die Kommunikation zwischen Banken, Zahlungsdienstleistern und APIs. Sie helfen, die regulatorischen und sicherheitstechnischen Anforderungen zu erfüllen, insbesondere im Rahmen von PSD2 und Open Banking.
QWACs spielen also bei der Sicherung von VoP- und CoP-Transaktionen eine entscheidende Rolle:
- Sie gewährleisten die gegenseitige Authentifizierung, indem sie die Identitäten von Banken, Zahlungsverkehrsdienstleistern und Drittanbietern überprüfen.
- Sie verschlüsseln vertrauliche Daten und verhindern Man-in-the-Middle-Angriffe und Datenschutzverstöße.
- Sie erfüllen die PSD2-Anforderungen für eine sichere API-Kommunikation zwischen Banken und FinTech-Anbietern.
Der Einfluss von PSD2
Die Richtlinie über Zahlungsdienste 2 (Payment Services Directive 2, PSD2) ist eine EU-Verordnung zur Förderung der Sicherheit, des Wettbewerbs und des Verbraucherschutzes bei digitalen Transaktionen. Ein wichtiger Bestandteil der PSD2 ist die starke Kundenauthentifizierung (Strong Customer Authentication, SCA), die sicherstellt, dass die Zahlungsprotokolle überprüft werden und sicher sind.
PSD2 hat erheblichen Einfluss auf VoP-Verfahren. Sie schreibt vor, dass Banken und Zahlungsverkehrsdienstleister bei der Verarbeitung von Transaktionen eine sichere Kommunikation gewährleisten müssen. Dies kann durch mTLS-Authentifizierung unter Verwendung von QWACs erfolgen, da mTLS-Zertifikate die gegenseitige Authentifizierung beider Endpunkte ermöglichen. Außerdem muss die Identität des Zahlungsverkehrsdienstleisters bei der Kommunikation mit Open-Banking-API-Integrationen mit Hilfe von QWACs überprüft werden. Nur so kann schon vor der Genehmigung von Transaktionen die Identität des Zahlungsempfängers überprüft werden, um sichere Zahlungen zu ermöglichen.
Weitere Informationen zu PSD2 finden Sie in unserem Blog oder eBook.
Was ist RTS SCA/CSC für PSD2?
Die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) für eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) und sichere allgemeine offene Kommunikationsstandards (Common and Secure Open Standards of Communication, CSC) erläutern die spezifischen Sicherheitsmaßnahmen und Implementierungsanforderungen, die Finanzinstitute und Drittanbieter (Third Party Providers, TPPs) einhalten müssen, um PSD2-konform zu sein.
Ein zentrales Prinzip der RTS ist die gemeinsame und sichere Kommunikation zwischen allen Beteiligten. Alle Transaktionen zwischen Zahlungsverkehrsdienstleistern und Finanzinstituten müssen über gesicherte Kanäle erfolgen und die Authentizität und Integrität der Daten gewährleisten.
Weltweite Einführung von VoP-Systemen
Auf der ganzen Welt besteht der Bedarf, fehlgeleitete inländische und grenzüberschreitende Zahlungen zu vermeiden und gleichzeitig eine schnelle Zahlungsabwicklung zu ermöglichen.
Verschiedene Länder erforschen und implementieren daher VoP-Systeme, um Betrug zu bekämpfen und sichere Transaktionen zu gewährleisten. Im August 2024 schloss die Australian Banking Association (ABA) die Entwurfsphase für ihren CoP-Dienst ab, der 2025 eingeführt werden soll.
Immer mehr weitere Regionen, darunter der asiatisch-pazifische Raum, der Nahe Osten und Afrika sowie Lateinamerika, testen VoP-Systeme und fördern die Zusammenarbeit zwischen Zahlungsverkehrsdienstleistern und FinTech-Unternehmen, um die Sicherheit und Effizienz im Zahlungsverkehr zu erhöhen. Individuell auf die regionalen Zahlungsinfrastrukturen abgestimmte VoP-Systeme sind der Schlüssel, um den besonderen Marktanforderungen gerecht zu werden und sichere Transaktionsprozesse zu unterstützen.
Angesichts von Vorschriften wie PSD2, die für die globale Zahlungslandschaft von entscheidender Bedeutung sind, sind VoP-Systeme und QWAC-Zertifikate unerlässlich, um eine Zukunft mit sicheren und vertrauenswürdigen Zahlungstransaktionen zu gestalten. Bleiben Sie über Aktualisierungen der Rechtsvorschriften informiert und ergreifen Sie die erforderlichen Sicherheitsmaßnahmen.
