Instant Payments: Die aktuelle EU-Verordnung und deren Auswirkungen im Überblick

Die Geschwindigkeit des Zahlungsverkehrs wird revolutioniert: Ein tiefer Einblick in die kommende EU-Verordnung zu Instant Payments

Die Finanzlandschaft in der Europäischen Union steht mit der bevorstehenden Umsetzung der EU-Verordnung zu Instant Payments vor einem riesigen Umbruch. Diese Verordnung wird sich auf alle Zahlungsdienstleister (PSPs) und Zahlungsdienstnutzer (PSUs) auswirken und soll eine Ära nahtloser Echtzeitüberweisungen rund um die Uhr einläuten.

Der finale Text für die EU-Verordnung zu Instant Payments¹ liegt nun endlich vor. Das EU-Parlament wird darüber im Plenum am 5. Februar 2024 beraten.

Im folgenden Artikel analysieren wir die Schlüsselelemente dieser Verordnung und vermitteln ein detailliertes Verständnis ihrer Auswirkungen.

Universeller Zugang zu Echtzeitüberweisungen

Der Eckpfeiler dieser Verordnung ist das Mandat, dass alle innerhalb der EU tätigen PSPs allen PSUs Echtzeitüberweisungen anbieten müssen.

Für Banken bedeutet das, dass sie das Produkt Instant Payments in ihrem Unternehmen etablieren und es 24/7/365 bereitstellen müssen. Sofern wir Absatz 14 der EU-Verordnung richtig interpretieren, kann die Initiierung einer Echtzeitüberweisung sowohl über Euro- als auch Fremdwährungskonten, zum Beispiel in USD oder GBP, geschehen. Banken würden daher dazu angehalten, Umrechnungskurse 24/7/365 vorzuhalten und die SOLL-und HABEN-Buchung inklusive der Valutierung neu zu überdenken.

Standard-Echtzeitüberweisungen über alle Kanäle

Zahlungsdienstleister müssen jedoch nicht nur Instant Payments anbieten, sondern auch sicherstellen, dass Zahler diese Überweisungen problemlos über alle Kanäle zur Auslösung von Überweisungen, sowohl Einzel- als auch Massenüberweisungen, initiieren können. Echtzeitüberweisungen sollen zudem von PSPs als Standardoption für ihre PSUs positioniert werden können.

Das rationalisiert den Zahlungsprozess der Zukunft und beschleunigt die Abwicklung des Zahlungsverkehrs in der EU.

Doch die Verpflichtung an die PSPs, die Echtzeitüberweisung als Standardmethode für eine Überweisung anbieten zu können, hat es in sich. Die EU-Verordnung wird damit sehr viel Volumen vom gewöhnlichen SEPA Credit Transfer (SCT) auf die Echtzeitüberweisung verlagern.

Banken und Finanzdienstleister müssen deshalb zum einen eine 24/7 verfügbare Infrastruktur bereitstellen, und zum anderen auch sicherstellen, dass diese Infrastruktur mit hoher Last (Transaktionen/Sekunde) umgehen kann.

Außerdem bewirkt die Vielfalt an Kanälen, dass Echtzeitüberweisungen nicht nur über das Mobile-, Online- oder Electronic-Banking zur Verfügung stehen muss, sondern auch im physischen Kontakt, wie dem Schalter in der Filiale oder am Geldautomaten/SB-Terminal, sofern Kunden dort bereits heute gewöhnliche Überweisungen auslösen können.

Effiziente Verarbeitung von Massendateien

Ein entscheidender Aspekt der Verordnung schreibt vor, dass Zahlungsdienstleister nach Erhalt von Massendateien (sogenannten Bulks) diese schnell zerlegen, mit der Verarbeitung beginnen und einzelne Zahlungsaufträge an die Zahlungsdienstleister der Zahlungsempfänger übermitteln müssen. Das erfordert eine zeitnahe und effiziente Ausführung von Transaktionen.

Alle PSPs, die bereits heute ihren Kunden die Einreichung von Bulks beziehungsweise Sammelüberweisungen ermöglichen, müssen diese auch in Zukunft für die Echtzeitüberweisung bereitstellen. Wie bereits oben erwähnt, bedeutet das für die Banken die Bereitstellung von enormen technischen Kapazitäten, um hohe Stückzahlen in kürzester Zeit verarbeiten zu können.

Benutzerdefinierte Übertragungslimits

Angesichts der Vielfalt der Benutzerpräferenzen müssen PSPs den PSUs die Flexibilität bieten und maximale Überweisungsbeträge für Echtzeitüberweisungen festlegen. PSUs können diese Limits pro Tag und/oder pro Transaktion festlegen und so den Service an ihre individuellen Bedürfnisse anpassen. Diese Betragsgrenzen sollen sowohl für Einzel- wie auch für Bulkzahlungen gelten.

Für die PSPs bedeutet das einerseits die Bereitstellung einer Kundenabfrage, die nicht einmalig, sondern immer wieder geschehen kann. Andererseits muss das Zahlungssystem des PSPs gegen die eingetragene Limite prüfen und feststellen, ob die Zahlung ausgeführt werden kann oder ob das Limit erreicht ist. Gerade im Kontext der Sammelüberweisungen kann es knifflig werden, wenn einzelne Überweisungen noch innerhalb des Limits fallen und andere das Limit überziehen.

Stufenweise Umsetzung in Euro- und Nicht-Euro-Ländern

Die Verordnung berücksichtigt die unterschiedlichen Infrastrukturlandschaften und Zeitpläne für die Einhaltung. PSPs in Euro-Ländern müssen die passive Erreichbarkeit für eingehende Zahlungen innerhalb von 9 Monaten sicherstellen, wobei das aktive Versenden ausgehender Zahlungen und der IBAN/Name Check innerhalb von 18 Monaten betriebsbereit sein müssen. Zahlungsdienstleister aus Nicht-Euro-Ländern haben verlängerte Fristen von 33 (passiv) beziehungsweise 39 Monaten (aktiv).

Transparente Gebührenregelung und kostenloser IBAN/Name-Check

Aus Gründen der Fairness und Transparenz dürfen die Gebühren, die PSPs Zahlern und Zahlungsempfängern für Echtzeitüberweisungen auferlegen, die Gebühren für klassische Überweisungen nicht übersteigen. Darüber hinaus muss der IBAN/Name-Check den Benutzern kostenlos zur Verfügung gestellt werden, um ein Umfeld der Zugänglichkeit und Gleichberechtigung zu fördern.

Überprüfung des Zahlungsempfängers

Die Verordnung legt großen Wert auf Sicherheit und Benutzerkontrolle. PSUs, die Zahlungen veranlassen, müssen die Möglichkeit haben, die Angaben des Begünstigten zu überprüfen. In Fällen, in denen Unstimmigkeiten auftreten, werden PSUs vor der Auslösung der Zahlung gewarnt. Bei einer engen Übereinstimmung wird der korrekte Name des Zahlungsempfängers angegeben, sodass die PSUs entscheiden können, ob sie fortfahren oder die Angaben korrigieren möchten.

Der im allgemeinen Sprachgebrauch als IBAN/Name-Check oder Confirmation of Payee (COP) bekannte Service ist aktuell ein sehr heiß diskutiertes Thema und der Name wird diesem Service wohl nicht gerecht. Denn es kann nicht nur ein Name gegen einen IBAN geprüft werden, sondern auch andere Arten der Identifikation wie beispielsweise der Legal Entity Identifier (LEI), wenn es sich beim Begünstigten nicht um einen Konsumenten, sondern um ein Finanzinstitut oder andere Art der Rechtsform handelt.

Das European Payments Council arbeitet derzeit an dem sogenannten Payments Account Verification Rulebook. Nach aktuellem Kenntnisstand werden die Banken den IBAN/Name-Check untereinander auf Basis von ISO-20022-Nachrichten über die Clearing-Plattform (TIPS oder EBA RT1) ausführen.

Hier gilt das Request-(acmt.023)-und-Response-(acmt.024)-Prinzip. Das Verfahren ist nicht komplett neu, sondern wurde in Teilen vom Nordics Payments Council (NPC) übernommen.

Das NPC verwaltet die nordischen Zahlungssysteme mit dem Ziel, den Zahlungsverkehr in den nordischen Ländern zu harmonisieren. Es hat ein Confirmation-of-Payee-Verfahren etabliert und bietet als Ergänzung eine API-Anbindung an, wodurch ein Austausch der XML-Nachrichten nicht zwingend notwendig ist.

Große Themen sind hier die Haftung sowie auch das Ergebnis der Prüfung, welches ein Match, Partial Match oder No Match sein kann. Im Falle einer teilweisen Übereinstimmung soll der PSP des Begünstigten den vollen Namen des Kontoinhabers zurückliefern. Auf Basis dessen soll der Zahler dann entscheiden können, ob er die Zahlung ausführt oder nicht.

Das Thema IBAN/Name-Check ist ein sehr heißes Thema. Wir werden Sie dazu weiterhin auf dem Laufenden halten.

IBAN/Name-Check über alle Kanäle

Um ein nahtloses Benutzererlebnis zu gewährleisten und die Betrugsprävention zu verbessern, müssen PSPs den IBAN/Name-Check in alle Kanäle zur Initiierung von Überweisungen integrieren und sowohl Massen-/Einzeltransaktionen als auch sofortige/nicht unmittelbare Transaktionen abdecken. Damit wird auch der gewöhnliche SEPA-Zahlungsverkehr von diesem Service profitieren.

Für Banken hat dies enorme Auswirkungen. Einerseits ist die Einführung des IBAN/Name-Checks an sich schon eine große Herausforderung. Andererseits soll dieser alle Kundenkanäle miteinschließen. Das bedeutet, dass der IBAN/Name-Check schon in der Bankfiliale am Schalter beim Mitarbeiter in der Filiale oder beim Geldautomaten nebenan verfügbar sein muss. Konsumenten sollen den IBAN/Name-Check in ihrem Online- oder Mobile-Banking nutzen können. Und Firmenkunden werden aller Voraussicht nach vor Einreichung ihrer pain.001-Dateien die Namen und Accounts ihrer Zahlungsaufträge über pain.013-Dateien verifizieren können. Banken müssen darauf mittels pain.014 zeitnah antworten können.

Opt-In- und Opt-Out-Option für Geschäftskunden

Unter Berücksichtigung der besonderen Bedürfnisse von Nicht-Verbraucher-PSUs, meist auch Firmenkunden, schreibt die Verordnung vor, dass PSPs diesen Nutzern die Möglichkeit geben, sich vom IBAN/Name-Check abzumelden, wenn sie mehrere Zahlungsaufträge auf einmal einreichen. Gleichzeitig sollen PSPs sicherstellen, dass PSUs, die sich vom IBAN/Name-Check abgemeldet haben, das Recht haben, sich jederzeit für die erneute Aufnahme dieses Services zu entscheiden.

Beschränkte Haftung für PSPs

Zahlungsdienstleister haften nicht für Echtzeitüberweisungen, sofern sie die in der Gesetzgebung festgelegten IBAN/Name-Check-Anforderungen erfüllen. Dies fördert ein Gleichgewicht zwischen Verantwortlichkeit und betrieblicher Flexibilität.

Kommt der Zahlungsdienstleister des Zahlers dieser Verpflichtung nicht nach und führt diese Nichterfüllung zu einem fehlerhaft ausgeführten Zahlungsvorgang, so hat der Zahlungsdienstleister des Zahlers unverzüglich den überwiesenen Betrag dem Zahler zu erstatten.

Die genauen Spielregeln des IBAN/Name-Checks sind bis dato nicht bekannt. Allerdings sei gesagt, dass bei einer teilweisen Übereinstimmung (sogenanntes Partial Match) der PSP des Begünstigten den Namen des Kontoführers an den PSP des Auftraggebers weiterleiten darf. Das vermeidet zu viele No-Match-Ergebnisse, da Banken sonst viel häufiger ein No-Match-Ergebnis liefern würden, um sich etwaigen Haftungsansprüchen zu entziehen.

Tägliche Überprüfung auf Sanktionen

Um die Zahlungsabwicklung zu vereinfachen und gleichzeitig den Verbraucherschutz zu erhöhen sowie die Betrugsprävention zu verbessern, müssen PSPs, die Echtzeitüberweisungen anbieten, täglich überprüfen, ob es sich bei ihren PSUs um von der EU gelistete natürliche oder juristische Personen handelt. Im Falle einer Übereinstimmung müssen die Vermögenswerte dieser PSUs sofort eingefroren werden. Die mindestens anzuwendende Liste ist auf EU-Homepage zu finden.²

Wichtig ist, dass bei der Ausführung einer Echtzeitüberweisungen die Zahlungsdienstleister des Zahlers und Zahlungsempfängers von der Pflicht zur Prüfung auf Einzeltransaktionsebene ausgenommen sind.

Für die Banken ist das ein schwerer Eingriff in ihre gewohnten Prozesse. Bereits heute gibt es aufwendige KYC-, Anti-Geldwäsche- und Embargo-Prozesse, um die Identität von Kunden zu verifizieren und sicherzustellen, dass Finanzinstitute die Anti-Geldwäsche-(AML-) und Terrorismusfinanzierungsgesetze (CFT) einhalten.

Zukünftig wird der bestehende Prozess dahingehend verändert, dass die PSPs die einzelnen Instant-Payments-Transaktionen nicht mehr in ihr Embargo/Betrugspräventionssystem leiten müssen, sondern direkt an ihr Gateway zum Clearing und Settlement, zum Beispiel an TIPS oder EBA RT1, übergeben können. Stattdessen müssen die PSPs mindestens täglich ihren Kundebestand gegen definierte Listen prüfen und die Konten beziehungsweise die Mittel einfrieren und an die zuständigen Behörden melden.

Strafrahmen der Mitgliedstaaten

Die Mitgliedstaaten werden damit beauftragt, innerhalb von 12 Monaten nach der Veröffentlichung der Rechtsvorschriften Sanktionsregeln festzulegen, um einen robusten Durchsetzungsmechanismus dieser EU-Verordnung und Abschreckung bei Nichteinhaltung sicherzustellen.

Zudem soll es möglich sein, Strafen nicht nur gegen die Zahlungsdienstleister zu verhängen, sondern auch gegen natürliche Personen, die Mitglieder der Geschäftsleitung oder des Leitungsorgans eines Zahlungsdienstleisters sind.

Jährliche Berichtspflichten

Um die Transparenz zu fördern, müssen Zahlungsdienstleister jährlich darüber berichten, was sie für Überweisungen und Zahlungskonten berechnen. Darüber hinaus müssen sie den Anteil der abgelehnten Echtzeitüberweisungen offenlegen, der auf Sanktionslistenprüfungen zurückzuführen ist, was den Stakeholdern wertvolle Einblicke in die Leistung und Compliance von Zahlungsdienstleistern bietet.

PSPs sind es bereits gewohnt, verschiedenste Statistiken an die Bundesbank zu melden. Doch diese Meldungen scheinen komplett neu. Die Banken müssen hier womöglich erneut verschiedene Datentöpfe anfassen, um solche Meldungen abzugeben. Die Branche wird also gespannt sein, wie dieses zukünftige Reporting aussieht und vor allem, wer den Hut aufhat.

PSD2-Änderungen und Nichtbankinstitute

Der endgültige Text der Verordnung umfasst Änderungen der PSD2, in denen die Überarbeitung dargelegt wird. Zahlungsinstitute und E-Geld-Institute sollten dazu beitragen, die Einführung von Echtzeitüberweisungen zu erleichtern. Daher sollten auch sie den Anforderungen dieser Verordnung unterliegen.

Allerdings sind Zahlungsinstitute und E-Geld-Institute aktuell nicht in der Liste der Unternehmen aufgeführt, die unter die Definition des Begriffs Institut in der Richtlinie 98/26/EG des Europäischen Parlaments und des Rates fallen.

Folglich ist es Zahlungsinstituten und E-Geld-Instituten faktisch untersagt, an Systemen teilzunehmen, die von den Mitgliedstaaten gemäß dieser Richtlinie benannt wurden. Diese Unfähigkeit, an solchen Zahlungssystemen teilzunehmen, kann Zahlungsinstitute und E-Geld-Institute daran hindern, Echtzeitüberweisungen in Euro effizient und wettbewerbsfähig anzubieten. In diesem Sinne wird der Geltungsrahmen ausgeweitet, um alle beteiligten Parteien am selben Strang ziehen zu lassen (Haftung miteingeschlossen).

Fazit

Schlussendlich lässt sich (noch) nicht mit Bestimmtheit sagen, ob der europäische Rat und das europäische Parlament die Verordnung so am 5. Februar 2024 verabschiedet oder nicht. Allerdings kann vermutet werden, dass es keine allzu großen Änderungen an der EU-Verordnung mehr geben wird.

Im Falle der Verabschiedung wird die angenommene Verordnung im Amtsblatt der EU veröffentlicht, was das offizielle Inkrafttreten markiert. Folglich tritt die Verordnung 20 Tage nach ihrer Veröffentlichung in Kraft und wird von der Kommission überwacht.

Der Umfang und vor allem die Fristen für die Umsetzung (9 und 18 Monate) sind äußerst sportlich. Zudem müssen die Banken diverse Services (zum Beispiel IBAN/Name-Check, Limite, Sanktionslisten) bei sich etablieren und eine hochperformante Infrastruktur, die jeden Tag zu jeder Zeit läuft, bereitstellen.

Banken sind daher gut beraten, sofern nicht schon geschehen, unverzüglich mit fachlichen und technischen Analysen zu beginnen und ein Umsetzungsprojekt einzuleiten.

Aktuelle Marktstudie