Instant Payment Regulation (IPR): „Die Siebentagewoche für Banken kommt“
An sieben Tagen die Woche zu arbeiten, soll wegen Instant Payments künftig normal werden. Das klingt verdächtig nach Clickbait, oder?
PPI
Schlotfeldt: Wahrscheinlich hat sich die EU gedacht, dass wenn Griechenland schon die Sechstagewoche wieder einführt, dürfen wir nicht nachstehen. Aber im Ernst: Anfang April ist die IPR in Kraft getreten und die EU hat jetzt erstmals Workshops abgehalten, in denen klargestellt wurde, wie sie die Vorschriften künftig auslegen möchte.
Das war ein wichtiger Termin, der aber auch für lange Gesichter gesorgt hat.”
Sanktionslisten ordnungsgemäß zu bearbeiten, gehört dazu.
Was genau verändert sich dabei?
Schlotfeldt: Die EU will verbieten, dass die Banken Transaktionen einzeln analysieren, um mögliche Treffer auf der EU-Liste abzugleichen. Genau das gehört aber zur gängigen Praxis für alle Listen dieser Art.
Jetzt sollen die Banken bereits vorab sicherstellen, dass keiner ihrer Kunden auf dieser Liste steht.”
Denn dann dürfte es auch keine falsch-positiven Treffer mehr geben, falls jemand beispielsweise einen ähnlichen Namen hat wie jemand, der auf dieser Liste steht. Die Banken sollen praktisch ihren Bestand freibeweisen.
Privat
Bicker: Das klingt jetzt sehr technisch, kann sich aber etwa so auswirken, dass unschuldige Personen plötzlich keine Zahlungen mehr senden oder empfangen können.
In der SEPA-Welt war das nicht ganz so schlimm, weil sich False-Positives am nächsten Bankarbeitstag einfach kontrollieren und korrigieren ließen.”
Bei Instant Payments fällt dagegen sofort auf, wenn eine Zahlung gestoppt wird und sich beispielsweise ein Verbraucher nicht erklären kann, woran das liegt. Darauf hat die EU reagiert und will nicht mehr, dass erst dann geprüft wird, wenn eine Transaktion ausgeführt werden soll.
Wenn die Banken alle ihre Kunden vorab freisprechen, kann es keine False-Positives mehr geben. Ist das die Logik?
Bicker: Ja, genau. Und das bedeutet, dass Banken ihren Kundenbestand permanent prüfen müssen. Einmal täglich und zusätzlich immer dann, wenn sich an der Verbotsliste etwas ändert, muss die Bank tätig werden, weil sie Instant Payments 24/7 an 365 Tagen im Jahr verarbeitet.
Once a client generates an alert against EU-wide list … manual review has to start every calendar day“
… hieß es. Selbst hohe Feiertage sind davon betroffen. In meinen Augen kann sich die Branche von dem Begriff Bankarbeitstag komplett verabschieden.
PPI
Lässt sich das nicht automatisieren?
Schlotfeldt:
Kaum. Sie müssen sich das vorstellen wie einen zusätzlichen KYC-Check, bei dem Sie mit niemandem sprechen dürfen. Sobald der Treffer aufleuchtet, müssen die Banken handeln und sofort prüfen, was passiert ist.”
Wer das nicht macht, riskiert, dass die eigenen IT-Systeme anschlagen und die Zahlung zurückhalten. Und dann wird die Aufsicht fragen, wie das passieren konnte. Schlimmstenfalls entsteht sogar ein finanzieller Schaden für die Bank oder die Kunden müssen ihrem Geld hinterherlaufen.
Jörn Bicker ist seit März 2024 Managing Consultant im Team Regulatory Payments bei der PPI AG. Compliance und Zahlungsverkehr gehören zu seinen Schwerpunkten. Zuvor war er beim Bankhaus M.M. Warburg & CO tätig, zuletzt als Abteilungsdirektor und unter anderem zuständig für den Zahlungsverkehr, zentrale Disposition und Electronic Banking. Weitere Stationen waren die PEAC Finance, HSH Nordbank, DZ DANK sowie die Plus Bank.
Lukas Schlotfeldt ist seit 2021 bei PPI und arbeitet als Senior Consultant im Bereich Consulting Payments. Sein methodischer Schwerpunkt liegt in den Bereichen Strategie und Projektmanagement für Zahlungsverkehr, fachlich hat er sich auf die Themen Instant Payments und Banking spezialisiert. Schlotfeldt verfügt über einen Master-Abschluss von der HHL Leipzig Graduate School of Management, den er berufsbegleitend absolviert hat.
Bicker: Richtig. Instant Payments müssen innerhalb von zehn Sekunden verarbeitet sein und die Bank muss in der gleichen Zeit quittieren, dass sie das Geld verbucht hat. Bleibt das aus, ist der Auftraggeber berechtigt, den gezahlten Betrag zurückzuerhalten. Steht der Empfänger auf einer Sanktionsliste, muss seine Bank die Zahlung zurückweisen. Anderenfalls droht der Bank des Auftraggebers, dass sie ihrem Kunden das Geld wieder gutschreiben muss, ohne sicher zu sein, dass die Bank des Empfängers auch tatsächlich erstattet.
Das scheint mir so, als könnten die Banken dieses Problem unter sich lösen.
Bicker:
Der Schaden ist trotzdem da. Und für den Verbraucher kann es übel ausgehen, wenn er beispielsweise am Wochenende etwas mit Instant Payments bezahlen will und die Zahlung wegen eines False-Positives geblockt wird.”
Er entscheidet sich daraufhin, bar zu bezahlen oder meinetwegen per Paypal oder Kreditkarte. Am Montagmorgen stellt seine Bank dann fest, dass es ein False-Positive war und gibt die Zahlung frei. Jetzt hat er doppelt bezahlt und damit auch den Ärger, sich das Geld zurückzuholen. So etwas will die EU vermeiden.
Eben haben Sie noch kritisiert, dass die EU nicht mehr erlauben will, dass es zu den False-Positives kommt?
Bicker: Moment. Die EU möchte ausschließen, dass es zu False-Positives kommt, weil sie sich bei Instant Payments ein gutes Nutzererlebnis wünscht. Sie will deshalb, dass niemand wegen eines solchen Fehlers beim Bezahlen behindert wird oder das Vertrauen in das System verliert.
Und das wiederum lässt sich nur dann machen, wenn die Bank an jedem Kalendertag den Kundenbestand durchleuchtet.”
Diese beiden Punkte hat die EU abgewogen und gesagt, dass sie den Banken diesen zusätzlichen Aufwand zumuten möchte. Dabei hängt es unserer Einschätzung nach vor allem von der Datenqualität in den Zahlungsverkehrssystemen ab, wie häufig False-Positives auftreten.
Sie halten das Risiko für überschaubar, dass Verbraucher davon betroffen sind?
Bicker: Ja. Und hundertprozentige Sicherheit gibt es sowieso nirgends.
Schlotfeldt: Wir dürfen auch nicht vergessen, dass es neben der EU-Liste auch noch andere gibt, wie die OFAC-Liste aus den USA…
… warum sollten europäische Banken, die SCT Inst verarbeiten, davon betroffen sein?
Schlotfeldt: Weil die Banken selbst festlegen können, dass sie das für notwendig halten. Bei einer ausländischen Tochter, die Geschäfte in US-Dollar abwickelt, unterwirft sich meist auch die Mutter den US-Regeln. Ein Top-Manager, der eine US-amerikanische Staatsbürgerschaft besitzt, kann auch schon ausreichen.
Generell gilt, je größer die Bank, desto wahrscheinlicher hält sie sich auch an US-Compliance-Regeln. Sie muss also in diesem Fall sowohl die EU-Liste als auch die US-Liste abgleichen.”
Schlotfeldt: Das war mal so. Jede Transaktion wurde nacheinander gegen alle relevanten Listen geprüft und dann entweder geblockt oder durchgeleitet. Künftig geht das nicht mehr, weil sich das EU-Verbot auf ausländische Listen erstreckt, wenn derselbe Eintrag bereits auf einer EU-Liste auftaucht.
Das bedeutet, Banken müssen diejenigen Einträge auf der OFAC-Liste, um bei dem US-Beispiel zu bleiben, die zusätzlich auf der EU-Liste stehen, ausfiltern, bevor sie eine Transaktion gegen die übrigen Einträge auf jener US-Liste prüfen.”
Bicker: Hier schließt sich dann der Kreis zu meiner Kritik, die Sie vorhin ansprachen. Mal abgesehen vom reinen Aufwand, diese Listen ständig zu überwachen, entstehen dabei ganz neue Verfahrensrisiken. Sie müssen jedes Mal, wenn sich an irgendeiner Liste etwas ändert, kontrollieren, ob sich diese Einträge mit der EU-Liste überschneiden. Davon hängt ab, wie geprüft werden darf. Besonders fies ist das, wenn ein Eintrag von der EU-Liste verschwindet, bevor sich an der US-Liste etwas ändert. Dann muss die Bank zusehen, dass sie in diesen Fällen wieder zuverlässig auf Transaktionsebene prüft, um nicht versehentlich gegen US-Sanktionen zu verstoßen.
Das ist ein echtes Minenfeld.”
PPI
Lassen Sie uns das mal einordnen. Wo sehen Sie die Sanktionslisten auf einer Skala von 1 bis 10, wobei 10 der „Verification of Payee“ entspricht?
Bicker (überlegt kurz): Wahrscheinlich bei einer 6. Das klingt jetzt vielleicht etwas zu hoch gegriffen, doch sich als Bank auf die schiere Menge an Vorgaben in weniger als 18 Monaten einzustellen, ist schon sehr anspruchsvoll. Da tut jede Extrarunde doppelt weh, zumal die Sanktionslisten bereits mit der passiven Erreichbarkeit, also ab dem 9. Januar 2025, nach dem neuen Vorgehen zu überwachen sind. Das ist eine von mehreren Überraschungen. Daneben will die EU, dass sich Limits für Instant Payments sofort ändern lassen. Dazu haben Sie vor kurzem mit meinen Kollegen Eric Waller und Thomas Stuht gesprochen. Darin stecken zwar auch Chancen für das Electronic Bank Account Management, zunächst entsteht aber Aufwand.
Schlotfelt: Oder denken Sie an Bulks, das sind Sammler, die Unternehmen meist über das asynchrone EBICS-Verfahren einreichen, wenn sie mehrere Transaktionen auf einmal bei der Bank beauftragen wollen.
Bei einem solchen Sammler dürfen die Banken zuerst „debulken“, bevor die zehn Sekunden für jede einzelne der enthaltenen Transaktionen starten. Die EU will trotzdem, dass der Auftraggeber innerhalb von zehn Sekunden über den Status jeder einzelnen Transaktion informiert wird.”
Noch kniffliger wird es, wenn bloß eine einzige Zahlung im Sammler steckt. Dann soll der Auftrag wie eine Instant-Payment-Einzelzahlung behandelt werden. Banken müssen also einen Alarm in die Kunde-Bank-Schnittstelle einbauen, der immer aufheult, wenn ein Sammler ankommt, der nur eine einzelne Zahlung enthält. Denn dann gehen die zehn Sekunden, die für Instant Payments erlaubt sind, sofort los.
Das ist, als würden Sie bei einer Verkehrskontrolle von Lastwagen, die nur ein Paket geladen haben, verlangen, dass sie mit mindestens 200 km/h weiterfahren.”
Bicker: Wir kommen auch grad richtig in Fahrt. „Verification of Payee“, oder kurz: VoP, ist ohnehin schon eine herausfordernde technische Leistung, die erwartet wird. Aber wussten Sie schon, dass VoP unabhängig von der Art des Settlements gelten soll? Selbst für Großbeträge im TARGET2- oder jetzt T2-System. Jede Bank, die Zahlungen in Euro ausführt, ist davon betroffen, weil allein von der Währung abhängig gemacht werden soll, ob eine Bank Instant Payments und damit auch VoP anbieten muss.
Das führt zu der etwas seltsamen Situation, dass etwa eine reine Auslandsbank, die gar keinen SEPA-Zahlungsverkehr anbietet, plötzlich zu Instant Payments und VoP verpflichtet wird und davon vor einigen Wochen wohl noch gar nichts geahnt hat.”
Schlotfeldt: Ich bin auch gespannt, wie sich die IT-Architekturen in den Banken verhalten, wenn das Instant-Volumen steigt.
Also, was passiert, wenn eine Maschine, die theoretisch 6.000 Zahlungen pro Sekunde schafft, durch wechselseitige Abhängigkeiten, über andere Kanäle quer eingereichte Zahlungen oder VoP-Abfragen ausgebremst wird. Ohne eine vollkommen modular aufgebaute Echtzeit-Plattform dürfte das kaum noch zu machen sein.”
Würden Sie sagen, dass der Gesetzgeber den Banken grade zu viel zumutet?
Schlotfeldt: Der Eindruck mag entstehen, zumal der Branche immer noch die Migration auf ISO 20022 in den Knochen steckt. Ich glaube, Zahlungsverkehr ist grad einfach dran. Wenn Sie mich das aber als Kunde fragen, finde ich, dass im Moment sehr viel passiert, auf das wir uns freuen können. Im Maschinenraum tut es vielleicht grad etwas weh, aber der Aufwand lohnt sich, weil sich allein durch Instant Payments der Payment Float auflöst. Das sind schon angewiesene aber wegen der Bankarbeitszeiten noch nicht verbuchte Zahlungen. Allein hier in Europa sind das 200 Mrd. Euro, über die schneller verfügt werden kann.
Bicker: Das sehe ich auch so. Instant Payments sind eine gute Nachricht für Verbraucher, Unternehmen und auch die Banken selbst. Hier entsteht eine Echtzeit-Infrastruktur, die den Banken erlaubt, sich tiefer in die Wertschöpfungsketten ihrer Kunden einzuklinken. Dazu passt auch die vom Gesetzgeber forcierte E-Rechnung, die ab dem kommendem Jahr nach und nach verpflichtend eingeführt werden soll. Und die wiederum lässt sich über Request to Pay mit einer Zahlung verknüpfen. Wie das geht, hat Thorsten Völkel in Ihrem Schwerpunkt über Zukunftstechnologien im Banking beschrieben. Dem schließe ich mich an; wir können uns auf die neue Payment-Welt freuen, obwohl wir wohl alle gerne etwas mehr Zeit gehabt hätten, um diese Welt aufzubauen.
Apropos Zeit, vielen Dank für Ihre Zeit und das Gespräch!aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/212339
Schreiben Sie einen Kommentar