Corporate-EBICS-Kunden und die zu erwartenden Probleme rund um Verification of Payee
Die kürzlich verabschiedete Instant-Payment-Regulierung möchte den Verbrauchern im SEPA-Raum mehr Sicherheit im Zahlungsverkehr ermöglichen. Eine zentrale Maßnahme ist der Verification-of-Payee(VoP)-Prozess, der auch als „IBAN -Namecheck“ bekannt ist. Auf Firmenkunden mit EBICS-Zugang zu ihrer Bank lauern jedoch ein paar Fallen.
In dieser Collection enthalten:
Collection öffnenWie man die Payment-Provider-Transformation richtig angeht
Verification of Payee: Sicher, schnell, verpflichtend - Die Chancen der Regulatorik und eine Antwort
PSD3 und FIDA: Open-Finance-Landschaft im Wandel
Verification of Payee (VoP) - die technische Umsetzung
Verification of Payee - der Prozess für Firmenkunden mit EBICS
Ablösung von NextGenPSD2 – Berlin Group stellt openFinance API vor
Instant Payments: Zeitpläne und Auswirkungen auf europäische Banken
Instant Payments: Die neue Normalität beginnt jetzt!
Studie Payments-Transformation "Die Zukunft ist jetzt"
Verification of Payee (VoP) – (eigentlich) eine feine Sache!
Die Instant-Payment-Regulierung ist eine großartige Sache. Als Verbraucher freue ich mich darauf, wenn ich in meinem Internetbanking die Möglichkeit bekomme, die Empfängerdaten zu überprüfen. So kann ich vor der Freigabe prüfen, ob die Zahlungsdaten, konkret IBAN und Empfängername, auch bei der Empfängerbank genau so registriert sind. Da die Banken bei der Kontoeröffnung sehr gründlich sind, sollte ich mich auf deren Daten verlassen können.
Beispiel: Ich ersteigere eine Ware im Internet und muss an eine mir bisher unbekannte Person Vorkasse leisten. Wenn die Internetseite von einem Betrüger gekapert wurde und dieser seine Bankdaten für die Vorkasse eingetragen hat, überweise ich an den falschen Empfänger. Nutze ich dafür SEPA-Inst, kann ich die Zahlung nicht einmal mehr aufhalten, selbst wenn ich meinen Fehler sofort erkenne.
In Zukunft kann ich per Verification of Payee (VoP) den Empfängernamen bei der Empfängerbank prüfen lassen. Wenn die Prüfung als No-Match zurückkommt, also der Empfängername und der tatsächliche Name des Kontoinhabers nicht übereinstimmen oder kaum Ähnlichkeit aufweisen, ist Vorsicht geboten.
Das vermeidet sicherlich die eine oder andere Fehlüberweisung und macht Betrugsversuche schwieriger.
VoP für Corporates
Für Geschäftskunden, den sogenannten Corporates, kann die Verification of Payee auch eine sinnvolle Ergänzung in den Prozessen sein, insbesondere bei neuen Lieferanten, an die sie zum ersten Mal überweisen. (Ebenso wäre aber auch eine Empfängerdatenprüfung bei der einmaligen Erfassung der Lieferantenstammdaten denkbar, aber das ist ein anderes Thema.)
Die Anwendung von VoP ist allerdings für Nutzer des Electronic Banking Internet Communication Standards (EBICS) etwas umständlich: Im geplanten VoP-Prozess wird die Zahldatei, also eine pain.001-Datei, erstmal ohne elektronische Unterschriften an die Bank gesendet. Dafür gibt es neue EBICS-Auftragsarten, (geplant sind CTV für SEPA-Überweisungen und CIV für Echtzeitüberweisungen, und auch für die Service-Rechenzentren sollte es eine neue Auftragsart geben), die der Bank mitteilen, dass eine VoP-Prüfung vom Kunden gewünscht ist.
Die Bank führt dann die VoP aus, sendet also zu jeder Empfängerbank eine Anfrage mit IBAN und Empfängernamen und erhält nach wenigen Sekunden die Antwort, ob der Empfängername zur IBAN passt (Match), keine Ähnlichkeiten vorweist (No-Match) oder recht ähnlich ist (Close-Match).
Im letzten Fall gibt die Empfängerbank die korrekte Schreibweise des Empfängernamens zurück. Die Bank des Auftraggebers sammelt alle Antworten ein und stellt diese konsolidiert in einer pain.002-Datei zur Verfügung, die der Kunde mit der Auftragsart VPZ abholen kann. Für jede Zahlung in der Zahldatei wird eine der drei oben genannten Antworten zurückgegeben.
Sollte die Auftraggeber Bank innerhalb der geforderten Zeit keine Antwort von der Empfängerbank erhalten haben, gibt es auch noch eine weitere Antwortmöglichkeit: „No Service“.
Der Firmenkunde kann nun die pain.002 analysieren und eine Risikobeurteilung durchführen. Sind alle Zahlungen mit Match gekennzeichnet, fällt die Entscheidung leicht und der Auftraggeber wird seiner Bank den Auftrag zur Ausführung geben (Details zum Prozess siehe unten).
Je höher jedoch der Anteil der No-Match-Antworten in der Rückmeldung der Bank ist, desto schwerer wird sich der Kunde mit einer Freigabe tun. Im Falle von Close-Match-Antworten sollte ein Prozess für die Aktualisierung der Stammdaten greifen, um beim nächsten Zahlvorgang ein „Match“ zu erreichen.
Die Bank hat die Zahlung zwischenzeitlich im sogenannten VEU-Prozess geparkt.
Exkurs - VEU
VEU bedeutet Verteilte Elektronische Unterschrift und wird beispielsweise von Service-Rechenzentren genutzt, die Zahldaten ihrer Mandanten ohne Freigabe an eine Bank senden und die Freigabe dann von den eigentlichen Kontoinhabern (Mandanten der Service-Rechenzentren) nachgereicht wird.
Dafür muss der Bankkunde (der Mandant des Service-Rechenzentrums) über EBICS mittels der Auftragsart HVD die Zahldaten in sein eigenes Banking-System herunterladen. Diese Daten können dann elektronisch unterschrieben werden, was die Ausführung der Zahlungen bei der Bank auslöst.
Für diese Freigabe wird die Auftragsart HVE verwendet. Sollte der Kunde mit den Daten, die das Service-Rechenzentrum übermittelt hat, nicht einverstanden sein, verwendet er die Auftragsart HVS, um die Datei zu stornieren.
Mandanten, die nicht über die Infrastruktur verfügen, eine elektronische Unterschrift zu leisten, erhalten einen Datenträgerbegleitzettel vom Service-Rechenzentrum, unterschreiben diesen und senden ihn an die Bank zurück.
Zurück zum VoP-Prozess
Nach Erhalt einer Zahldatei mit den neuen VoP-Auftragsarten CTV (VoP bei einer SEPA-Zahlung) oder CIV (VoP bei einer Echtzeitzahlung) stellt die Bank die Datei in den VEU-Prozess. Nach der oben genannten Risikoanalyse muss der Kunde entscheiden: Ausführen oder nicht Ausführen? Dafür ruft er – wie oben beschrieben – zuerst die VEU-Daten ab und entscheidet dann über Freigabe (Auftragsart HVE) oder Storno (Auftragsart HVS).
Statt eines einfachen Sendeprozesses mit elektronischen Unterschriften und sofortiger Ausführung durch die Bank ist der VoP-Prozess deutlich komplexer: Senden der Zahldatei, abholen der pain.002-Datei und Risiko-Analyse. Dann Abholung der VEU-Daten über HVD und Freigabe der Zahlung (oder Stornierung).
Bei Unterschrift mittels Datenträgerbegleitzettel muss die Bank davon ausgehen, dass der Kunde nicht über die notwendige Infrastruktur verfügt, die Unterschrift elektronisch zu übermitteln. Für diese Kunden wird dann auch kein VoP-Ergebnis übermittelt. Nebenbei gesagt: Das Faxen des VoP-Ergebnisses von der Bank an den Auftraggeber, bevor er die Freigabe der Datei mittels unterschriebenen Datenträgerbegleitzettels gibt, wäre ein Irrsinn.
Ausnahmen beim VoP
Nun erlaubt der Gesetzgeber für Nicht-Konsumenten – also Firmenkunden – den sogenannten Opt-Out. Das heißt, Firmenkunden können weiterhin Zahlungen mit den bisherigen Nicht-VoP-Auftragsarten (CCT für SEPA und CIP für Echtzeitzahlungen), versehen mit elektronischen Unterschriften, an deren Bank senden und die Bank führt den Auftrag direkt aus. Kein VoP und kein Umweg über den VEU-Prozess, sondern die direkte Ausführung der Zahlung.
Vermutlich werden sich viele Firmenkunden aufgrund des oben beschriebenen Prozessumwegs für diese Opt-Out-Option entscheiden. Kunden, die über einen guten Know-Your-Customer(KYC)-Prozess verfügen, können darauf vertrauen, dass ihre gesammelten Daten korrekt sind, ohne bei jeder Zahlung die Daten nochmal abzufragen.
Leider hat jedoch die EU eine (aus Sicht des Autors absolut nicht nachvollziehbare) Ausnahme zum Opt-Out definiert: Nicht-Konsumenten dürfen nur bei Sammlern auf den VoP verzichten. Und gleichzeitig definiert der Gesetzgeber „Sammler“ so, dass mindestens zwei Überweisungen enthalten sein müssen! Im Umkehrschluss bedeutet das, dass ein Auftrag mit nur einer Transaktion nicht vom Opt-Out profitieren kann und zwingend der VoP-Prozess durchgeführt werden muss.
Während der Text oben oft „Zahldatei“ verwendet, geht es hier nun um einen Sammler:
Exkurs - Sammler vs. Zahldatei
Eine Zahldatei im SEPA-Umfeld ist eine pain.001-Datei. Diese Datei kann jedoch bis zu 9.999.999 Sammler enthalten. Im XML-Sprech ist ein Sammler das, was zwischen dem Tag <PmtInf> und </PmtInf> steht. Jeder Sammler kann technisch zwischen einer und 9.999.999 Transaktionen beinhalten.
Ob die Banken nun die Einzelzahlung auf einen Sammler oder auf Dateiebene prüfen, ist aktuell noch offen.
Es ist nicht unüblich, dass Sammler oder Dateien nur eine Zahlung beinhalten. Gerade aus der Treasury-Abteilung heraus werden oft Banküberträge als Einzelüberweisung in einem Sammler versendet; auch in der Rückläuferverarbeitung kommt dies oft vor. Oder wenn eben nur eine Zahlung ansteht.
Die Anbieter von Bankensoftware für Corporates sollten sicherstellen, dass im Falle dieser einzelnen Überweisungen in einem Sammler/Datei keine Opt-Out-Auftragsarten verwendet werden, sondern den VEU-Prozess triggern. Denn spätestens die Auftraggeberbanken werden wahrscheinlich diese Sammler abweisen. Da eine pain.001-Datei wie oben beschrieben mehrere Sammler beinhaltet, kann es zu Teilablehnungen kommen. Das macht die Bearbeitung des Zahlungsverkehrs beim Kunden noch komplexer.
Die Hersteller der Electronic-Banking-Software für Firmenkunden sollten bereits beim Import von Dateien, die nur einer Zahlung beinhalten, Fehlermeldungen auswerfen, weil die Datei spätestens bei der Bank abgelehnt wird.
Option zu Opt Out – aber richtig
Aus meiner Sicht ist es sinnvoll, dass der Gesetzgeber einem Nicht-Konsumenten (also Firmenkunden) den Opt-Out erlaubt. Als Kaufmann sollte sich der Corporate mit den Anforderungen seiner Stammdaten auskennen und einen tragfähigen Know-Your-Customer-Prozess durchführen, der einen späteren VoP bei jeder Zahlung überflüssig macht.
Gleichzeitig erscheint es mir unverständlich, dass der Gesetzgeber die Ausnahme vom Opt-Out für Corporates bei Einzelüberweisungen im Sammler vorschreibt. Warum muss eine einzelne Überweisung in einem Sammler den VoP-Prozess durchlaufen, wenn er bei hundert Überweisungen im Sammler nicht durchgeführt werden muss? Zumal die Verarbeitung in einer Bank identisch ist, unabhängig davon, wie viele Transaktionen in einer Datei enthalten sind.
Fazit
Diese unnötig komplizierte Bedingung – also das Verbot des Opt-Out bei nur einer Transaktion in der Datei – verlangen Banken und Corporates viel Zeit, Ressourcen und Kosten ab. Ein Firmenkunde sollte sich für alle seine Transaktionen gegen den VoP entscheiden dürfen, egal wie groß die Datei ist. Soll ein VoP bewusst durchgeführt werden, stehen dem Kunden die Opt-In-Auftragsarten jederzeit zur Verfügung.
Sie müssen sich anmelden, um einen Kommentar zu schreiben.