Instant Payments: „Verification of Payee tut richtig weh“

Schwerpunkt: Instant Payments

Jede vierte Bank hat den Stichtag für Instant Payments am 9. Januar 2025 verpasst – und hatte Glück im Unglück, weil es in Deutschland weder Sanktionen noch Aufsicht gibt. Das entsprechende Gesetz hat der Bundestag nicht mehr verabschiedet. Doch eine Verschnaufpause gibt es nicht. Bis zum 9. Oktober 2025, wenn Instant Payments sowohl aktiv als auch passiv umgesetzt sein müssen, sind noch einige Nüsse zu knacken, sagen Thomas Riedel und Dr. Simon Albrecht vom Zahlungsverkehrsspezialisten PPI.

von Simon Albrecht und Thomas Riedel, PPI

Herr Albrecht, hat Sie überrascht, dass so viele Banken nicht mehr rechtzeitig fertig werden und den ersten Stichtag Anfang des Jahres verpassen würden?

Die deutschen Banken waren insgesamt ja gut dabei. Dass einige Spezialinstitute das Instant-Payments-Scheme nicht zeichnen würden, war abzusehen. Banken, die nur dafür da sind, etwas zu finanzieren, und ansonsten keine Zahlungskonten anbieten, fallen aus der IPR (Instant Payment Regulation) sowieso raus. Aber sie haben recht, bei einigen Namen, ohne die jetzt zu nennen, waren wir auch überrascht.

Wie geht es für diese Institute jetzt weiter?

Albrecht: Wie Sie schon richtig sagen, hat der Bundestag das Gesetz, mit dem die Aufsicht und auch die Sanktionen für Deutschland geschaffen worden wären, nicht mehr rechtzeitig beschlossen. Mein Kollege Jörn Bicker nennt das eine De-facto-Karenzzeit, in der die Banken ihre offenen Flanken womöglich noch schließen können.

Wer in den Seilen hängt, wird aber nicht allein davon wieder fit, dass der Schiedsrichter grad nicht hinschaut. Die Aufgaben, die bis zur aktiven Erreichbarkeit zu lösen sind, sind um einiges größer als für die passive.”

Riedel: Das stimmt. Ein Institut wirklich instant-ready zu machen, erfordert technisch noch so viel mehr als Echtzeitzahlungen anzunehmen. Verification of Payee gilt nach wie vor als einer der größten Knackpunkte. Das tut richtig weh, da die Wände von allen Seiten näherkommen und auch noch Graubereiche bestehen, die vom Gesetzgeber nicht vollständig ausgeleuchtet worden sind. Einige Vorgaben werden in der Branche auch als unpraktikabel bezeichnet, weil sie etablierten Abläufen beispielsweise bei den Firmenkunden zuwiderlaufen.

Lassen Sie uns konkreter werden. Wo sehen sie technisch die größten Hürden?

Riedel: Abstrakt formuliert, müssen Banken ein 1:n-Problem lösen. Jedes Institut muss alle anderen Institute erreichen können, um den Empfänger einer Zahlung zu identifizieren und mit den Transaktionsdaten abzugleichen, die ein Kunde aufgegeben hat.

Dafür fehlt bislang eine technische Lösung, die alle Banken nutzen können.”

Einer der Vorreiter ist sicherlich die niederländische Surepay, doch auch dieses Angebot ist noch nicht EU-weit verfügbar. Hinzu kommen die von EBA-Clearing entwickelten Dienste und SWIFT. Dass zum 9. Oktober 2025 wirklich ein vollständiges Puzzle vor uns liegt, halte ich für noch nicht garantiert.

Albrecht: Das Problem verdoppelt sich auch noch, weil es nicht ausreicht, jeden einzelnen dieser Dienste anzusprechen. Banken müssen sich auch ansprechen lassen, also auf die VoP-Dienste selbst zugreifen können, wenn sie eine Zahlung senden, oder eigene Kundendaten abrufen lassen, wenn sie eine Zahlung empfangen. Offen ist auch noch, wie Banken diesen Ablauf beeinflussen können. Beispielsweise ergibt es wenig Sinn, bei häufig wiederkehrenden Zahlungen, etwa an den Vermieter, immer wieder auch eine VoP-Abfrage zu starten. Dadurch entstehen zusätzliche Kosten beim VoP-Dienstleister.

Riedel: Schwierig bleibt auch, wie genau die vom Kunden übermittelten Empfängernamen mit den Stammdaten beim Zielinstitut abgeglichen werden sollen.

SEPA lässt alle Zeichen im Empfängerfeld zu, also neben den deutschen Umlauten auch das ß oder französische Accents, so dass es bei eventuellen Lautschreibungen mit ae statt ä oder ss statt ß darauf ankommt, wie sensibel die Systeme eingestellt sind.”

Tippfehler, Spitz- und Kosenamen oder Rufnamen, die vom Personalausweis, mit dem sich die meisten Kunden bei der Kontoeröffnung ausweisen, abweichen, kommen auch noch dazu.

Ließe sich das nicht vom VoP-Dienstleister vorab filtern?

Albrecht: Theoretisch, ja. Praktisch haftet aber die Bank. Sie muss deshalb entscheiden, wie sie damit umgeht, wenn der VoP-Dienstleister den Zeichensatz bereinigt, die internen Systeme aber trotzdem Alarm schlagen, weil die durchgeleiteten Daten nicht mit dem Zeichensatz auf dem Host übereinstimmen.

Ärgerlich ist halt, dass Kunden dann vielleicht nicht immer sofort nachvollziehen können, warum ihre Zahlung abgelehnt wird.”

Ich sehe schon die vielen Memes vor mir, die es bald in den sozialen Netzwerken geben wird.

Riedel: Und das ist nur die Verbraucherseite. Bei den Firmenkunden bedeutet VoP, dass sie mindestens einen zusätzlichen Schritt beim Bezahlen gehen müssen. Aber es gibt auch noch gar keine Software dafür, die das Ergebnis einer VoP-Prüfung verstehen kann. Zwar steht der Grund im pain.002 drin. Doch damit der verstanden werden kann, müssen die IT-Systeme in den Betrieben angepasst werden. Was wird also passieren? Die meisten Firmenkunden werden auf VoP verzichten. Anders als Verbraucher dürfen sie einen Opt-Out vornehmen. Doch damit wird der ursprüngliche Sinn, den Zahlungsverkehr im Echtzeitzeitalter sicherer zu machen und gegen Betrügereien abzusichern, unterhöhlt.

Den Opt-Out soll es doch aber nur bei Sammlern geben. Oder nicht?

Riedel: Doch, das stimmt. Dabei entsteht aber auch der größte Ärger, weil die Unternehmen diese Sammler über spezielle Software einreichen und über einen eigenen Kanal. Meistens ist das EBICS. Die Sammlerdatei wird dann von der Bank zerlegt in Einzeltransaktionen, für die dann unter anderem auch VoP durchgeführt werden muss. Wenn da auch nur eine Transaktion scheitert, muss das Unternehmen reagieren, weil die Bank den Auftrag zurückgibt.

Offen ist auch noch, ob nur die betroffenen Transaktionen oder gleich der gesamte Sammler an den Absender zurückgeht.”

Theoretisch könnten sich von Land zu Land unterschiedliche Usancen durchsetzen. Schlimmstenfalls erhält ein Unternehmen dann kurz vor Ultimo Ablehnungen von der Bank, die es vorher nicht gab.

Albrecht: Ich würde gerne noch ergänzen, dass wir hier über etwas reden, das alle Länder im Euroraum betrifft. SEPA-Sammler sind keine rein deutsche Erfindung, sondern Standard. Wo wir etwas weiter sind als andere EU-Länder, ist bei den Instant-Sammlern. Das sind Aufträge, die, wie von Thomas beschrieben, gesammelt eingereicht, dann in Einzeltransaktionen zerlegt und anschließend verarbeitet werden. In der Instant Payment Regulation gibt es aber auch den Ausdruck „packaged initiations“. Darin werden mehrere Einzelaufträge gebündelt. Das ist aber nicht dasselbe wie ein Sammler in Deutschland.

Wenn wir das genauso umsetzen, wäre das ein Rückschritt gegenüber dem von der #DK standardisierten Echtzeitsammlern.”

Warum genau wäre das ein Rückschritt, Sammler wie packaged initiations zu behandeln?

Albrecht: Gleich aus zwei Gründen. Erstens macht es für Unternehmen keinen Unterschied, ob sie Sammler für SEPA-Transaktionen oder Instant Payments einreichen, weil das Format dasselbe bleibt und der Kanal – EBICS – auch. Zweitens ermöglicht das den Banken, alles, was reinkommt, über die Instant-Strecken abzuwickeln. Das ist deshalb vorteilhaft, weil die Institute daran interessiert sind, ihre SEPA-Strecken, die sie derzeit noch parallel zu Instant Payments betreiben, mittel- bis langfristig abzustellen, um Kosten zu sparen.

Das müssen Sie erklären. In einem Sammler könnte doch auch eine einzige Transaktion stecken, die dann wie eine Echtzeitzahlung behandelt werden muss. Packaged Initiations wären doch dann ganz viele Sammler mit nur einer Transaktion.

Riedel: Das müsste in die Software, mit der ein Unternehmen Zahlungen ausführt, eingebaut werden. Bislang lassen sich die Sammler automatisch zusammenstellen, etwa um Gehälter oder andere Massenzahlungen ohne großen Aufwand bei der Bank einzureichen. Dazu kommt der ausgewählte Kanal. EBICS ist ein asynchrones Verfahren, egal, ob Sie tausend Sammler mit nur einer Transaktion oder einen Sammler mit tausend Transaktionen einreichen. Unter Juristen wird derzeit auch heiß diskutiert, ob es bei einem Sammler mit nur einer Transaktion einen Opt-Out für VoP geben darf oder nicht.

Was raten Sie den Banken?

Riedel: Ich rate den Banken, sich dafür einzusetzen, dass die bestehenden Sammelprozesse der Deutschen Kreditwirtschaft beibehalten werden dürfen.”

Sehen Sie Probleme, was die Zehn-Sekunden-Regel angeht? Das klingt so, als ob es viele Unwägbarkeiten gibt, ob sich die Zahlungen wirklich so schnell ausführen lassen.

Albrecht: Nein und ja. Nein bezogen auf Verification of Payee, weil die Zahlung gar nicht erst initiiert wird, falls Empfänger und IBAN nicht übereinstimmen. Das können Sie sich wie bei einer falsch eingegebenen IBAN vorstellen. Sie werden gar nicht erst gefragt, ob die Zahlung freigegeben werden soll, sondern gleich darauf hingewiesen, dass die IBAN falsch ist. VoP wird sich für Verbraucher im Online-Banking so ähnlich anfühlen. Blöd ist das nur, wenn Sie als Firmenkunde von einer Ablehnung nicht sofort erfahren, sondern erst, wenn Sie über den EBICS-Kanal die entsprechende Nachricht abrufen und vielleicht mit einer Software arbeiten, die den pain.002 nicht mit allen Details auslesen kann. Die reine Zeitvorgabe von zehn Sekunden wirkt sich aber woanders aus.

Riedel:

10 Sekunden – das hat mit dem Zeitverhalten im Zahlungsverkehr zu tun.”

Es gibt drei relevante Messpunkte dafür. Erstens, den Zeitpunkt, zu dem der Kunde eine Zahlung autorisiert. Dann beginnen die zehn Sekunden zu laufen. Der zweite kritische Messpunkt liegt zwischen der neunten und zehnten Sekunde. In diesem kurzen Zeitfenster darf die sendende Bank erstmals nachforschen, was mit der Zahlung passiert ist, falls der Clearer bis dahin noch nicht bestätigt hat, dass die Zahlung auf dem Empfängerkonto eingegangen ist. Und der dritte Messpunkt liegt bei den zehn Sekunden, die es maximal dauern darf. Dann nämlich muss die Bank dem Auftraggeber verbindlich mitteilen, ob die Zahlung ausgeführt worden ist oder nicht. Und falls nicht, das Geld sofort erstatten. Daraus entstehen völlig neue Risiken, die aber erstmal nichts mit Verification of Payee zu tun haben.

Welche Risiken sind das?

Albrecht: Rein technisch gesprochen, könnten die Umsysteme in der Senderbank zu langsam sein, um größere Transaktionsvolumina abzuwickeln. Innerhalb weniger Sekunden muss die Bank Sanktions- und Embargolisten prüfen, auf Geldwäsche kontrollieren und ihre Liquidität am Zentralbankkonto managen. Wenn da etwas schiefgeht, kann das die Bank richtig Geld kosten…

… Moment, die Bank? Falls etwas nicht funktioniert, wird die Zahlung doch einfach nicht ausgeführt. Wo kann die Bank dabei Geld verlieren?

Albrecht: Das läuft so. Wenn eine Zahlung angewiesen wird, wird eine Vormerkung auf dem Konto eingerichtet über den Betrag, der transferiert werden soll. Damit verhindert die Bank, dass das Geld innerhalb kürzester Zeit doppelt angewiesen wird. Sie kennen das Prinzip von der Kreditkarte, wenn Sie beispielsweise ein Hotelzimmer buchen und mit der Kreditkarte die Zahlung garantieren. Wenn die Bank nach zehn Sekunden nicht weiß, ob die Zahlung auf dem Zielkonto eingegangen ist, ist sie verpflichtet, diese Disposition zu stornieren. Als Kunde können Sie also wieder über das Geld verfügen und etwa nochmals anweisen oder über einen anderen Kanal die Zahlung tätigen. Sollte die Zahlung aber doch durchgegangen sein, muss die Bank sich den für die ursprüngliche Transaktion vorgesehenen Betrag von der Bank des Empfängers wiederholen. Dafür gibt es noch keinen garantierten Weg.

Riedel: Das heißt natürlich auch, dass die IT-Systeme aufseiten der Empfängerbank und bei den beteiligten Clearern schnell genug sein müssen. Denkbar wäre auch, dass plötzlich viel zu viele Transaktionen auf einmal ankommen, um sie rechtzeitig zu verarbeiten und das den auftraggebenden Instituten zu bestätigen.

Sehen Sie da eine ernsthafte Gefahr? Der Start am 9. Januar 2025 verlief doch alles in allem relativ ruhig.

Riedel: Die Kette droht bekanntlich immer am schwächsten Glied zu reißen. Wirklich sehen können die Banken aber nur, was im eigenen Haus passiert. Beispielsweise wäre es möglich, die Kernverarbeitung im Zahlungsverkehr zu drosseln, um die Umsysteme zu entlasten. Was aber bei den Clearern oder den Empfängerbanken möglich ist, wissen sie nicht. Wenn dort zu viele Transaktionen auf einmal ankommen, kann das die Systeme lahmlegen. Bei Webseiten nennen wir das Denial of Service oder im Falle eines Cyberangriffs DOS-Attacke. So ähnlich kann man sich das auch bei der Infrastruktur innerhalb der Zahlungsverkehrskette vorstellen, nur dass das nicht gezielt und mit krimineller Energie geschieht.

Albrecht: Einen echten Belastungstest gab es auch noch nicht. Es sind bei weitem noch nicht alle Banken auch aktiv sendefähig, was Instant Payments angeht.

Wie stabil die Plattformen laufen, sehen wir erst ab dem 9. Oktober, wenn durchweg in Echtzeit Geld transferiert werden kann.”

Dazu kommt auch noch, dass die Kunden künftig quasi direkt in die Prozesse eingreifen können, weil die Regulierung vorschreibt, dass sich Limite in Echtzeit ändern lassen müssen. Das klingt erst mal harmlos. Bei Firmenkunden reden wir aber von ganzen Personengruppen mit unterschiedlichen Berechtigungen und Freigaben. Da darf kein Schluckauf entstehen.

Glauben Sie, dass es alle Banken bis zum 9. Oktober 2025 schaffen mit Instant Payments?

Riedel (schmunzelt): An unserer Software scheitert es jedenfalls nicht. Aber im Ernst, häufig haben wir es nicht mehr mit isoliert technischen oder isoliert organisatorischen Problemen zu tun, sondern damit, dass das Gesamtorchester im Takt spielen muss. Ich bin zuversichtlich, dass das überwiegend gut funktionieren wird. Das Gesamtsystem wird sich aber einschwingen müssen. Wir dürfen nicht vergessen, dass Europa innerhalb kürzester Zeit die gesamte ZV-Infrastruktur umgebaut hat. Davon werden Unternehmen und Verbraucher gleichermaßen profitieren. Deshalb sollten wir, auch nach dem 9. Oktober, auftretende Schwierigkeiten sachlich analysieren und gemeinsam eine Lösung finden.

Vielen Dank für das Gespräch!“Simon