STRATEGIE8. Februar 2018

PSD2 und das kontaktlose Bezahlen: Verwirrendes Chaos um die neue PIN‑Eingaberegeln

Mitte Januar ist die PSD2 (Payment Service Directive 2) in Kraft getreten. In der Berichterstattung stand dabei das Surcharge-Verbot, also die Untersagung an die Händler, zusätzliche Gebühren z. B. für den Einsatz einer Kreditkarte zu verlangen, im Vordergrund. Auch das Thema XS2A, der indirekte Zugriff auf das Girokonto durch dritte Dienstleister nahm einigen Raum ein. Was aber so gut wie gar nicht vorkam, sind die neuen Regeln für die PIN-Eingabe beim kontaktlosen Bezahlen. Aber gerade da wird es interessant!

von Rudolf Linsenbarth

Bisher galt, unter 25€ keine PIN, bei Beträgen darüber PIN oder vereinzelt, wenn die Karte noch auf Signature steht, eine Unterschrift.

VISA hatte darüber hinaus noch den Banken gestattet, das Limit auf 50€ zu erhöhen. Diese Limit-Erhöhung bewegt sich noch im Rahmen der PSD2 Regeln!

Was aber neu ist, zu jeder Karte muss es von nun ab 2 Zähler geben.”

Der erste Zähler bezieht sich auf die Anzahl der kontaktlosen Transaktionen ohne PIN und der zweite ist für die kumulierte Summe aller kontaktlosen Transaktionen ohne PIN seit der letzten Transaktion mit PIN. Die meisten Banken haben die Vorgabe bei ihren kontaktlosen Kreditkarten noch nicht umgesetzt. Die BaFin als Aufsichtsbehörde scheint sich dafür auch nicht sonderlich zu interessieren.

EURO Kartensysteme

Wer trotzdem wissen will, wie sich das anfühlt, kann das mit der kontaktlosen girocard ausprobieren.”

Die Implementierung der Genossenschaftsbanken und Sparkassen zeigt folgendes Verhalten:
Wenn der Transaktionszähler den Schwellwert erreicht, muss auch bei Beträgen unter 25€ eine PIN eingegeben werden. Das gilt auch für wiederkehrende Zahlungen unter 25€. Die Aufforderung der PIN-Eingabe verschwindet erst, wenn mit der Karte eine kontaktbehaftete Zahlung erfolgt. Bei der YOMO Karte reichte aber auch eine Kontostand-Abfrage am Geldautomaten, bei der die Karte gesteckt wird und die PIN eingegeben werden muss.

Damit man versteht, warum der Zähler bei einem kontaktlosen Bezahlvorgang mit PIN nicht zurückgesetzt wird, hilft es, die Implementierung näher zu betrachten:

Der Zähler ist derzeit auf dem Chip der Karte und nicht im Backend der Bank.”

Damit der Zähler erfolgreich genullt wird, muss die Karte zum Zeitpunkt der PIN-Eingabe eine stabile Verbindung mit dem Terminal haben. Bei einer kontaktlosen Zahlung allerdings wird die Karte kurz ins Feld gehalten und anschließend wird die PIN eingegeben. Dieses Verfahren ist die Online-PIN-Autorisierung, das heißt die PIN wird im Backend der Bank geprüft. Bei einer Offline-Prüfung wird die PIN direkt in den Smartcard-Chip geleitet und auf der Karte verarbeitet. Dabei wird dann auch der Transaktionszähler zurückgesetzt.

PIN … und noch eine Variation

Eine leichte Variation der Zählerimplementierung sieht man übrigens bei der giroacrd der Targobank. Diese kam im September letzten Jahres als kontaktlose Variante auf den Markt. Nur ist hier nicht die girocard-Applikation, sondern die Co-Badge VPAY-Funktion von VISA kontaktlos (IT-Finanzmagazin berichtete). Auch hier gibt es einen Transaktionszähler. Dieser kann ebenfalls nur mit einer kontaktbehafteten Transaktion zurückgesetzt werden. Ein entscheidender Unterschied ist aber, dass bei Erreichen der Zählergrenze kontaktlose Zahlungen überhaupt nicht mehr möglich sind. Der Kunde wird ultimativ aufgefordert, seine Karte zu stecken.

Rudolf Linsenbarth

Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und Digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Blogger der Finanzszene und kommentiert bei Twitter unter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.

Fazit: Nicht wirklich durchdacht

Wie sinnlos der doppelte Zähler (5 mal Kleinbetrag Transaktionen in Folge und maximal 150 € in Summe) ist, zeigt allein die Tatsache, dass der zweite Zähler von beiden girocards bei einem Schwellwert von 25 € gar nicht erst erreicht werden kann.
Denn: 5 x 25 € gibt nur 125 €.”

Wer diese Karten intensiv für kontaktloses Bezahlen nutzt, wie dem täglichen Bezahlen in der Kantine, hat einen weiteren Indikator wann das Wochenende beginnt. Nämlich am Freitag, wenn für einen Betrag von 4,50€ eine PIN erforderlich ist oder die Karte auch noch zusätzlich gesteckt werden muss.

Ärgerlicher wird es, wenn der Kunde auf einen Verkaufsautomaten für Reiseproviant trifft. Für Park- und Ticketautomaten, sowie für öffentliche Toiletten gibt es eine Ausnahmegenehmigung. Warum eigentlich nicht für Automaten generell, und wenn diese noch zusätzlich ein Tastenfeld für die PIN-Eingabe bekommen aber der Einsteckleser fehlt, ist man mit der Targobank-Karte trotzdem außen vor.

Sinnvoller wäre es da doch, die Zähler im Banken-Backend zu verankern. Dann müsste zwar jede kontaktlose Zahlung in Zukunft online autorisiert werden, aber in Zeiten von Tokenisation geht der Trend sowieso in diese Richtung!”Rudolf Linsenbarth

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/65402

15 Antworten auf "PSD2 und das kontaktlose Bezahlen: Verwirrendes Chaos um die neue PIN‑Eingaberegeln"

Peter Sauer sagt:

8. Februar 2018 um 18:08 Uhr

Ist es nicht so, dass die Regelung erst bis zum ~September 2019 umgesetzt werden muss?
Dementsprechend meckert im Moment auch noch niemand über Mastercard/Visa..

Antworten
1. Rudolf Linsenbarth sagt:
  
  8. Februar 2018 um 23:54 Uhr
  
  Kann sein, bei dem Chaos, weiß niemand mehr wann welcher Teil dieses Vertragswerkes in Kraft tritt! :-(
  
  Antworten
Klaus sagt:

8. Februar 2018 um 20:44 Uhr

Da lob ich mir Apple-pay mit CDCVM!

Antworten
Krusty sagt:

8. Februar 2018 um 21:03 Uhr

Zum Glück entfällt der ganze PIN- und Karte-Stecken-Quatsch beim Bezahlen mit Pay.

Antworten
Andreas sagt:

9. Februar 2018 um 11:35 Uhr

Leider ist im Kommentar von Krusty oben das Providerlogo nicht übertragen, aber ich bin ganz seiner/ihrer Meinung: der Großteil unserer elektronischen Transaktionen wird (a la Tencent und WeChat in China) ganz ohne Karte, Terminal, Acquirer, Netzbetrieb und Kartengesellschaften auskommen. Payconiq machts in München gerade vor.
Dem kleinen Händler genügt ein Pappschild statt Terminal und er muss nur ein wenig Vertrauen (huch!) in seine Stammkunden haben oder ihnen ein wenig auf ihr Handy schielen.
Im Sinne der PSD2 genau der richtige Ansatz, um dem amerikanischen Kartenunwesen das Wasser abzugraben, wenn auch hinten dran kein X2A sondern nur eine schnöde Lastschrift steckt. Bin gespannt wer da mal klagen will.

Antworten
1. Christian von Hammel-Bonten sagt:
  
  9. Februar 2018 um 20:24 Uhr
  
  Das funktioniert dann aber nur mit der Lastschrift als Abrechnungsmethode. Denn alle anderen Methoden laufen wieder auf die Vorgaben der PSD2 RTS zu.
  
  Und da stellt sich dann die nächste Frage: ist die Lastschrift eigentlich sicher – für Händler und Endkunden? Gerade bei der Lastschrift wird der Aufwand auf den Kontoinhaber verlagert – der muss ganz genau seinen Kontoauszug prüfen.
  
  Antworten
Danny sagt:

9. Februar 2018 um 13:00 Uhr

Ich habe mal bei comdirect nachgefragt, die erst vor 2 Wochen mit der Ausgabe von kontaktlosen Girocards begonnen hat. Nach deren Angaben nutzt die Karte sowohl die Girocard Application, als auch die Lösung von VPAY. Außerdem soll der Zähler bei der comdirect girocard im Backend und nicht auf der Karte sein. Anscheinend hat sich dort jemand Gedanken gemacht, auch wenn ich es noch nicht testen konnte.

Antworten
1. Martina sagt:
  
  9. Februar 2018 um 13:14 Uhr
  
  Das würde dann aber auch implizieren, dass grundsätzlich online autorisiert wird, und nicht offline. Das zieht dann aber auch wieder Kosten für Autorisierungsanfragen nach sich, die eigentlich gar nicht notwendig sind.
  
  Antworten
  1. Rudolf Linsenbarth sagt:
    
    9. Februar 2018 um 14:15 Uhr
    
    Online Autorisierungs Anfragen verursachen keine zusätzlichen Kosten für den Handel. Hier geht es nur um eine Banken interne Verrechnung. Betroffen sind davon besonders die Volksbanken. Hier zahlt die Bank für jede Onlione Autorisierungsanfrage an das Rechenzentrum. Das ist eine antiquierte Methode die Kosten für die Backend Technologie “gerecht” zwischen allen teilnehmenden Banken zu verteilen.
    
    Antworten
    1. Oliver Hommel sagt:
      
      10. Februar 2018 um 10:01 Uhr
      
      Das das irgendeine Bank mit einem Zähler im Backend implementiert hat, halte ich für ein Gerücht – geht auch vom Ablauf im Moment nicht: Heute hat das Backend nur die Möglichkeit, eine Autorisierungsanfrage positiv zu beantworten oder abzulehnen. Es ist aber weder bei girocard noch bei MasterCard oder VISA möglich, dass das Autorisierungssystem eine Nachricht zurückschickt, die zur nachträglichen PIN-Aufgabe auffordert. Die Karte muss daher die Information, ob das Terminal eine PIN-Eingabe fordern soll oder nicht, bereits bei der Initiierung der Transaktion mitliefern. Bei einem Zähler im Backend würde es bei Erreichen des Limits also immer nur zu einem Abbruch der Transaktion kommen, da das Autorisierungssystem ja nicht die Möglichkeit hat, die Karte zwischen zwei Transaktionen über das Erreichen der Zähler zu informieren.
      Die Implentierung in der Karte ist daher im Moment der einzige Weg und ist auch PSD2 compliant. Allerdings ergibt sich im Zusammenspiel mit Mobile Payment zwei interessante Probleme:
      1. Es gibt eine Auslegung der PSD2, die davon ausgeht, dass es einen gemeinsamen Zähler für die physische und alke von ihr abgeleiteten digitale Karten geben muss. Dies würde sich tatsächlich nur mit Zähler im Backend lösen, stößt aber bei den physischen Karten an die o.g. Probleme.
      2. CDCVM: Nach PSD2 ist die kartenausgebene Bank verpflichtet die starke Kundenauthentifizierung durchzuführen. Bei CDCVM macht dies die Bank aber nicht selber, sondern nutzt ein Verfahren des Geräteherstellers – gibt es schon Institute die Versucht haben, bei Apple und Samsung die Pflichten eines Auslagerungsnehmers einzufordern und durchzusetzen?
      
      Antworten
      1. gohfi sagt:
        
        13. Februar 2018 um 2:01 Uhr
        
        Pay (sowohl iPhone als Watch) nutzen je zwei (!) Merkmale. Besitz + Code bzw. Besitz + FaceID. Keine PIN notwendig.
Peter H sagt:

28. Februar 2018 um 16:26 Uhr

“Für Park- und Ticketautomaten, sowie für öffentliche Toiletten gibt es eine Ausnahmegenehmigung.”
Das Thema interessiert mich … wo ist das wohl verankert, dass an solchen Automaten keine Steck- und PIN-Eingabepflicht erforderlich ist? Das wäre ja sicherlich viel preiswerter am Automaten zu realisieren, wenn kein PIN-PAD da sein müsste und ist in Parkhäusern an der Ausfahrt ohnehin nicht realistisch …
Vielen Dank für einen Tipp!

Antworten
1. Rudolf Linsenbarth sagt:
  
  28. Februar 2018 um 17:07 Uhr
  
  Diese Ausnahme ist in den EBA RTS definiert:
  https://www.eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+and+CSC+under+PSD2+%28EBA-RTS-2017-02%29.pdf
  Konkret in Artikel 12
  
  Antworten
Fynn Torres sagt:

21. Dezember 2019 um 18:10 Uhr

Mich würde ja mal die Rechtsauffassung interessieren bzgl. der Authentifizierung von kontaktlosen Zahlungen ist. Es gibt ja noch immer Händler, die meinen sie müssten die Karte unbedingt in die Hand bekommen – egal ob kontaktbehaftet oder nicht. In meinen Augen ist der Authorisierungswille nicht gegeben, wenn mir der Händler die Karte aus der Hand nimmt und die Zahlung kontaktlos authorisiert. Noch qualifizierter dann in der Ausprägung, dass mir der abzubuchende Betrag gar nicht mehr gezeigt wird.

Antworten
1. Rudolf Linsenbarth sagt:
  
  22. Dezember 2019 um 6:25 Uhr
  
  In solchen Situationen bin ich froh wenn ich ein Handy habe, das gebe ich nicht aus der Hand und das habe ich bisher jedem Kassierer klar gemacht!
  
  Antworten

PIN … und noch eine Variation

Fazit: Nicht wirklich durchdacht

Schreiben Sie einen Kommentar Antworten abbrechen