Posts mit dem Label Consulting werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Consulting werden angezeigt. Alle Posts anzeigen

Wholesale-CBDC (Central Bank Digital Currency) des Eurosystems: alle Informationen auf einen Blick

Die EZB (Europäische Zentralbank) beschäftigt sich seit dem Jahr 2017 mit den Möglichkeiten der Distributed Ledger Technology (DLT) und ihrer Verwendung im Zahlungsverkehr. Gibt eine Zentralbank eine digitale Währung auf DLT-Basis aus, so wird von einer Central Bank Digital Currency (CBDC) gesprochen. Neben Retail-CBDC (rCBDC) für Privatkunden werden verschiedene Wholesale-CBDC-Lösungen (wCBDC) für Großbetragszahlungen zwischen Finanzinstituten im Euroraum angedacht, welche in diesem Beitrag vorgestellt werden. 

Die EZB und die Teilnehmer am Eurosystem sind Ende 2022 der Frage nachgegangen, welche Anforderungen an die zukünftige Infrastruktur gestellt werden. Die meisten Stakeholder gehen von einer signifikanten Zunahme an DLT-Lösungen in den nächsten 5-10 Jahren im Bereich wCBDC aus. Um nicht auf private Anbieter angewiesen zu sein, die womöglich die Nachfrage nach programmierbaren Zahlungen befriedigen, entschied man sich dazu, eigene Lösungsansätze zu testen. Das Ergebnis dieser ersten Recherchen waren drei mögliche Lösungen: die erste Lösung von der Deutschen Bundesbank, die zweite von der Banca d´Italia und die dritte von der Banque de France. Da nicht deutlich wurde, welche Lösung den Anforderungen an den Markt gerecht werden kann, werden nun alle drei zum Test angeboten. Wird das Vorgehen mit der TARGET2-Konsolidierung verglichen, so ist die Schnelligkeit von der Idee bis zur Umsetzung bemerkenswert. 

Im Folgenden werden die drei Lösungskonzepte der New Technologies for Wholesale Settlement – Contact Group (NTW-CG) der EZB vorgestellt sowie Vorteile und Nachteile erläutert. Die NTW-CG beschreibt sich selbst als Sounding Board und unterstützt das Eurosystem bei organisatorischen Entscheidungen und Richtungsentscheidungen. In der NTW-CG sind u. a. Marktteilnehmer unterschiedlicher Banken, Stakeholder und Zentralbanken vertreten. Der Fokus der angebotenen Lösungen liegt auf Use Cases wie Delivery vs. Payment (DvP), d. h. Lieferung gegen Zahlung im Wertpapierumfeld, und Payment vs. Payment (PvP), also Zahlung gegen Zahlung z. B. bei unterschiedlichen Währungen im Auslandszahlungsverkehrsumfeld. Die EZB nimmt jene Lösungen in den Blick, die als Interoperabilitätstypen klassifiziert werden. Die Eurozahlung („Cash Leg“ – Geldseite) soll innerhalb des Eurosystems abgewickelt werden, während sich die Asset Chains („Asset Leg“ – Wertpapierseite) und Fremdwährungen („Foreign Currency Leg“ – Fremdwährungsseite) außerhalb des Eurosystems befinden und die Wertpapiertransaktionen übernehmen. 

Bei der Triggerlösung der Deutschen Bundesbank, dem TIPS Hash-Link der Banca d´Italia und der DL3S DLT der Banque de France wird auf Interoperabilität gesetzt, da andernfalls strenge Anforderungen für die Kontrolle des Zentralbankgeldes und ggf. weitere Standards für die Integration der Lösung definiert werden müssten.

Alle drei Lösungen der EZB bauen auf den aktuellen Standards der TARGET2-Konsolidierung auf und können unabhängig voneinander getestet werden. Unter Umständen könnte sich jedoch im Laufe der Tests eine bestimmte Ausprägung der T2-Nachrichten als vorteilhaft erweisen. Die Teilnahme an den „Experiments“ (Testsystem) und „Trials“ (Produktion) ist freiwillig. 

Die Triggerlösung der Deutschen Bundesbank – eine kontobasierte CBDC 

Die Triggerlösung der Deutschen Bundesbank basiert auf einer Art Brücke zwischen der bestehenden T2-Infrastruktur und externen DLT-Plattformen. Zwei Komponenten werden durch diese Lösung bereitgestellt: ein Interoperabilitätsadapter und eine DLT-basierte Trigger Chain. Die Trigger Chain stellt dabei keine technischen Anforderungen an die Asset Chains (welche extern entwickelt und betrieben werden). Auf der Asset Chain werden tokenisierte Vermögenswerte ausgegeben und gehandelt. Die Lösung wurde bereits 2021, damals noch mit dem TARGET2-System, erfolgreich getestet.

Eine DvP-Transaktion wird in der Asset Chain ausgelöst und die Zahlungsinstruktion über einen Smart Contract (HTLC – Hashed Timelock Contract) an die Triggerlösung der Bundesbank übergeben. Dort wird die Transaktion in einer ISO20022-Nachricht über ESMIG an RTGS gesendet. Die erfolgreichen Buchungen in RTGS werden über die Trigger Chain an die Asset Chain weitergeleitet. Dort wird die Transaktion dann finalisiert. Der HTLC ist abgeschlossen. Von den Marktteilnehmern können ebenfalls zusätzliche Smart Contracts auf die Trigger Chain gebracht werden. 

Abbildung 1: Schematische Abbildung der Triggerlösung

Die TIPS-Hash-Link-Lösung der Banca d´Italia – eine kontobasierte CBDC 

Die Lösung der Banca d´Italia sieht eine TIPS-ähnlich ausgestaltete Plattform vor, die über ein API-Gateway mit den Anwendern kommuniziert. Anders als bei der Lösung der Banque de France, werden bei der Lösung der Deutschen Bundesbank und dem TIPS Hash-Link der Banca d´Italia keine Wallets benötigt, da es sich um eine kontobasierte CBDC handelt, wie wir später sehen. 

Auf der Markt-DLT (äquivalent zur Asset Chain) sperrt ein Smart Contract (HLC – Hash-Link Contract) den Vermögenswert und leitet die Zahlungstransaktion über ein API-Gateway weiter. Die Bestätigung einer Zahlung in Zentralbankgeld in den T2-Services führt zur Lieferung des Vermögenswerts oder einer Fremdwährung auf der Markt-DLT. Der Hash-Link Contract (HLC) hat dabei eine ähnliche Aufgabe wie der in der Lösung der Deutschen Bundesbank verwendete Hashed Timelock Contract (HTLC).

Abbildung 2: Schematische Abbildung des TIPS Hash-Link

Die Full-DLT-Lösung der Banque de France – eine tokenbasierte CBDC

Der Vorschlag der Banque de France sieht die Entwicklung einer DLT (DL3S) vor, auf welcher die Zentralbank tokenisierte Euros erstellen kann. Das Ergebnis ist also keine kontobasierte, sondern eine tokenbasierte CBDC.  Das Settlement von Assets mit einer Markt-DLT sieht wie folgt aus. 

  1. Ein Smart Contract (HTLC) auf einem Markt-DLT sperrt das Asset und leitet die Zahlungstransaktion über einen Interoperabilitätsmechanismus an das DL3S-DLT weiter.    
  2. Die Abwicklung des Cash Legs erfolgt im DL3S-DLT. 
  3. Der HTLC ist verantwortlich für den Abschluss der Lieferung des Cash Legs (in Form von Cash Token (wCBDC)) auf dem DL3S-DLT, und derjenige, der das Asset auf dem Markt-DLT freigibt.

Das Full-DLT-Interoperabilitätsmodell der Banque de France sieht als tokenbasiertes Modell auch die Haltung von Fremdwährungen vor. Bankkunden benötigen eine Cash Wallet (Sub-Wallet) bei ihrer Bank. Die Bank hält und transferiert somit nicht nur ihre eigenen Cash Token, sondern auch die ihrer Kunden. Während die Bank die Cash Wallets ihrer Kunden verwaltet, werden die eigenen Wallets von der Zentralbank verwaltet, über deren Node (Netzknoten/Verbindungspunkt) sie angebunden sind. Sollte die eigene nationale Zentralbank keinen eigenen Node besitzen, kann die Bank den Node der Banque de France verwenden. Banken sind für das Erstellen der HTLCs auf „All-or-None-Basis“ verantwortlich. Liquiditätsüberträge zwischen RTGS und DLT sind einfach möglich. 

Abbildung 3: Schematische Abbildung des DL3S-DLT

Zusammenfassung

Die drei genannten Lösungen sollen unter operativen, fachlichen und technischen Aspekten vorläufig bewertet werden, auch wenn die meisten Details noch nicht bekannt sind. Im Zusammenhang mit dem gefassten Zeitplan wurden bereits Themenfelder wie Settlement Performance, Effizienz, Sicherheit und Zuverlässigkeit definiert, die genauer in Betracht gezogen werden sollen. Diese wurden weiter in Ziele heruntergebrochen, auf deren Basis noch offene Punkte herausgearbeitet wurden. Ein offener Punkt ist bspw., inwiefern Instant Settlement ein zentraler Bestandteil der zukünftigen Infrastruktur sein wird (TIPS ist von dieser Frage unberührt) oder ob „Atomic Settlement“ ausreicht. Letzteres bedeutet in diesem Zusammenhang, dass ein Settlement entweder vollständig und erfolgreich durchlaufen wird oder komplett fehlschlägt.

Der Zeitplan

Für eine Teilnahme an den Tests der 1. Welle bleibt nicht mehr viel Zeit. Voraussetzung, um an den „Experiments“ und „Trials“ teilzunehmen, ist die Anmeldung über den öffentlichen „Call for Interest“ (Interessensbekundung) und die Teilnahme an den Testaktivitäten. Ursprünglich war der Start des „Call for Interest“ für November geplant, dieser verschiebt sich aktuell voraussichtlich in den Dezember. Die Testaktivitäten sollen u. a. die technische Anbindung sicherstellen. Die erste Testphase soll im Dezember 2023 stattfinden, eine zweite im Juli 2024. Deadlines für den „Call for Interest“ sind im Januar 2024 für die 1. Welle und im April für die 2. Welle. Auch für die Teilnehmer, die das zweite Onboarding-Fenster nutzen möchten, ist November 2024 das Ende der „Experiments“ und „Trials“. 

Über eine Teilnahme an den Tests und der damit einhergehenden genauen Auseinandersetzung mit dem Thema kann an der Erarbeitung einer Lösung aktiv mitgearbeitet werden. Durch die beschriebenen Versuche und Experimente soll eine Annäherung an die festgelegten Ziele stattfinden. In einem regelmäßigen Reporting sollen die Ergebnisse festgehalten werden.

Es bleibt also abzuwarten, welche Lösung sich am Ende durchsetzen kann und wie die genaue Umsetzung erfolgt. 

Autor/innen: Viktoria Liehmann, Philipp Uhinck

One-Leg Out Instant Credit Transfer Rulebook – der Startschuss für Cross-Border Instant Payments

Echtzeitzahlungen sind bereits in weiten Teilen der Welt verbreitet. Im SEPA-Raum sind Instant Payments seit 2017 verfügbar. Eine Gesetzgebungsinitiative der Europäischen Kommission sieht nun auch vor, stufenweise erst das Empfangen und einige Monate später auch das Senden von Echtzeitzahlungen verpflichtend zu machen. Auch in anderen Regionen sind bereits Echtzeitzahlungssysteme im Einsatz. So besitzen u. a. Brasilien, Indien und Singapur Systeme mit hohen Transaktionszahlen. Grenzüberschreitend gibt es allerdings noch keine Möglichkeit, in Echtzeit Geld zu überweisen. Auslandsüberweisungen sind häufig noch mit langen Ausführungszeiten und intransparenten Gebühren verbunden. Das kann sich jetzt ändern.

Instant Payments goes international
Im Bereich Cross-Border Instant Payments gibt es bereits viele Initiativen, die internationale Echtzeitzahlungen ermöglichen wollen. Beispiele hierfür sind Immediate Cross-Border Payments (IXB), Nexus und SWIFT Go. Diese und weitere Initiativen werden im PPI-Whitepaper zum Thema Global Instant Payments beleuchtet. Die Entwicklungen in dem Bereich kommen nicht von ungefähr, auch die internationale Politik macht sich für effiziente und kostengünstige Auslandszahlungen stark. Die G20-Staaten haben sich zum Ziel gesetzt, grenzüberschreitende Zahlungen günstiger, schneller und transparenter zu machen und dafür eine Roadmap entwickelt. Die Europäische Kommission verfolgt das strategische Ziel, die Rolle des Euro im internationalen Kontext zu stärken – wichtiger Bestandteil sind auch hier Echtzeitzahlungen.
Auch das European Payments Council (EPC) als Interessengemeinschaft der europäischen Zahlungsdienstleister bringt sich in die internationalen Diskussionen ein. Das EPC verwaltet die SEPA-Schemes und somit seit Einführung 2017 auch das SCT Inst Scheme. Mit dem One-Leg Out Instant Credit Transfer (OCT Inst) Rulebook geht das EPC jetzt einen Schritt weiter.

Das One-Leg Out Instant Credit Transfer Rulebook
Im November 2023 tritt das neue OCT Inst Rulebook in Kraft. Es gibt Regeln und Formate für grenzüberschreitende Echtzeitzahlungen in Euro vor – konkrete Technologien zur Umsetzung müssen aber noch entwickelt werden. Noch besteht für Zahlungsdienstleister keine Verpflichtung, das OCT Inst Rulebook zu zeichnen und diese Form internationaler Echtzeitzahlungen anzubieten. Das Rulebook deckt folgende Szenarien ab:

  • Internationale Instant Payments: Instant Payments, bei denen ein beteiligter Zahlungsverkehrsdienstleister im SEPA-Raum und einer im Nicht-SEPA-Raum sitzt und wo mindestens der SEPA-Teil der Transaktion in Euro denominiert ist. Darunter fallen also zum Beispiel Eurozahlungen in die USA.
  • Cross-Currency Instant Payments innerhalb des SEPA-Raumes: Instant Payments innerhalb des SEPA-Raums zwischen Euro und Nicht-Euro-Währungen (z. B. GBP, CHF)

Um Verwirrung zu vermeiden: Für Instant Payments innerhalb des SEPA-Raums in Euro gilt weiterhin das bekannte SCT Inst Scheme, hier findet das OCT Inst Rulebook keine Anwendung. Den Anwendungsbereich von OCT Inst in Abgrenzung zu SCT Inst und anderen Schemes verdeutlicht die folgende Tabelle:

Für die Teilnahme am OCT Inst Scheme sieht das Rulebook unterschiedliche Rollen vor. Finanzdienstleister, welche sich für eine Teilnahme entscheiden, können individuell entscheiden, welches Angebot sie auf Basis von OCT Inst anbieten wollen und dann die entsprechenden Rollen einnehmen. Mindestens muss ein Finanzdienstleister die Rolle des SEPA-based Payee‘s PSP einnehmen. Das heißt, er muss eingehende OCT Inst verarbeiten können. Daneben kann eine Bank sich entscheiden, ihren eigenen Kunden OCT Inst im Ausgang anzubieten. Dafür muss sie zusätzlich SEPA-based Payer’s PSP werden. Euro-Leg Entry PSPs und Euro-Leg Exit PSPs fungieren als Bindeglied zwischen dem SEPA Euro-Leg und anderen Legs der Transaktion. Daneben kann man als OCT Inst Processor weitere Dienstleistungen erbringen. Die folgende Übersicht veranschaulicht das Zusammenspiel der unterschiedlichen Rollen:


Die Vorteile von OCT Inst als Verfahren für internationale Zahlungen liegen auf der Hand. Endkunden können von effizienteren Zahlverfahren mit höheren STP-Quoten profitieren. Banken können an andere Anbieter im Auslandszahlungsverkehr verlorene Geschäfte zurückgewinnen oder auch neue Geschäftsmodelle und damit verbundene Ertragsmöglichkeiten erschließen. Zudem muss ein OCT Inst-Zahlverfahren nicht komplett neu auf der grünen Wiese implementiert werden – das Format ist an das SCT Inst Rulebook angelehnt und ist international kompatibel, da es auf CBPR+ und IP+ basiert.

Das Rennen ist eröffnet – was sollten Finanzdienstleister jetzt tun?
Aktuell herrscht noch Unklarheit bezüglich der Umsetzung, obwohl der mögliche Starttermin nur noch wenige Monate entfernt ist.  Zudem regelt das Rulebook nur die SEPA-Seite der Transaktion. Für das Non-Euro-Leg bedarf es entsprechender Vorgaben, welche außerhalb des Wirkungsbereichs des EPC liegen.

Die Kopplung von Echtzeitzahlungssystemen ist ein vielversprechender Ansatz, internationale Instant Payments zu ermöglichen. OCT Inst bildet hierbei auf SEPA-Seite die Grundlage für internationale Echtzeitzahlungen.

Aufgrund der Unklarheit und der Freiwilligkeit des Schemes verhalten sich die meisten Finanzdienstleister noch abwartend. Allerdings sollte sich jede Bank frühzeitig mit den strategischen Implikationen auseinandersetzen und ein Impact Assessment durchführen.

  • Wie sieht mein Geschäftsmodell im internationalen Zahlungsverkehr aus?
  • Welche Angebote habe ich und welche Erträge sind damit verbunden?
  • Welche Bereiche könnten durch OCT Inst ersetzt werden?
  • Welche Services kann ich anbieten, um neue Geschäftsfelder zu erschließen?

Cross-Border Instant Payments werden perspektivisch auch im Auslandszahlungsverkehr zum Standard werden. Noch ist offen, wer davon profitieren und wer dadurch belastet wird. Finanzdienstleister sollten die strategischen Weichen stellen, um auf der richtigen Seite zu stehen. Das Rennen ist eröffnet!

Autor: Ann Kristin Mundt, Lukas Schlotfeldt


Halbzeitpfiff – erste Bilanz der EZB zur zweijährigen Analysephase „Digitaler Euro“

Wie bereits in einem vorangegangenen Blogbeitrag berichtet, ist die Europäische Zentralbank (EZB) im Oktober 2021 mit einem zweijährigen Analyseprojekt gestartet, das bewertet, wie der digitale Euro gestaltet werden soll. Als Ergebnis dieser Analysephase wird 2023 entschieden werden, ob und in welcher Form die EZB den digitalen Euro bereitstellt.

Zur Halbzeit der zweijährigen Periode wurde am 29. September 2022 ein Zwischenbericht von der EZB veröffentlicht. Dieser Bericht beleuchtet zahlreiche Fragen und Thesen, mit denen wir uns in der vergangenen Blogserie zum digitalen Euro beschäftigt haben. So greift der EZB-Bericht die erzielten Fortschritte auf und geht auf die grundlegenden Gestaltungsoptionen des digitalen Euros ein, die kürzlich vom EZB-Rat genehmigt wurden. Welche das sind, wollen wir in diesem Beitrag kompakt darlegen:

Online- und offlinefähige Zahlungsausführung
Aktuell fokussiert sich die EZB auf die folgenden zwei Transaktionsoptionen:

  1. Ausführung von Onlinetransaktionen, die von einem Intermediär validiert werden
  2. Ausführung von Offlinetransaktionen im Peer-to-Peer-Kontext, die direkt bzw. ohne Intermediär validiert werden

Datenschutz, Anonymität und Guthabensteuerung
In puncto Verbrauchervertrauen beschreibt der EZB-Rat in seinem Bericht, dass der digitale Euro voraussichtlich ähnliche Datenschutzbestimmungen wie die aktuellen digitalen Zahlungsverfahren aufweisen wird. Zahlungen mit geringem Wert sollen einen höheren Datenschutz erhalten als Zahlungen mit vergleichbaren Höchstbeträgen. Eine vollumfängliche anonyme Zahlungsausführung ohne Betragsgrenzen ist aktuell nicht vorgesehen.
Darüber hinaus wird in Erwägung gezogen, dass Limits zur Guthabensteuerung eingeführt werden. Ziel soll es dabei sein, dass die Haltung des digitalen Euros eingeschränkt wird, um keine alternativen Anlageform für Verbraucher künstlich zu kreieren.

Wichtige Meilensteine im Jahr 2023

  1. Im ersten Quartal 2023 wird die Europäische Kommission einen Vorschlag für eine Verordnung zur Einführung des digitalen Euros erarbeiten.
  2. Bis Ende Oktober 2023 soll der EZB-Rat entscheiden, ob und wie die Entwicklung des digitalen Euros fortgesetzt wird. Die darauffolgende Phase kann sich über drei Folgejahre strecken.

Quelle: EZB
https://www.ecb.europa.eu/paym/digital_euro/investigation/governance/shared/files/ecb.degov220929.en.pdf


Öffentliche Gelder als Katalysator?
Auch wenn die Halbzeitbilanz noch viel Interpretations- und Gestaltungsspielraum lässt, werden erste Tendenzen deutlich. Ähnlich wie im Bericht beschrieben, sehen wir als PPI, dass öffentliches Geld in digitaler Form einen wichtigen Beitrag zum digitalen Zeitalter leisten kann. Der digitale Euro im aktuellen Verbraucherkontext wäre ein erster wichtiger Grundstein. Daher verfolgen wir dieses Thema weiterhin mit großer Begeisterung und werden auch in Zukunft im EBICS-Blog die Entwicklungen zum digitalen Euro genau verfolgen. 

Bis zum nächsten Mal.


Autor: Philipp Schröder

DORA – Digital Operational Resilience Act Teil 2: Ausblick und Ziele

Mit DORA soll den wachsenden Cyberrisiken begegnet werden. Welche Regelungen sind geplant? Wer wird von den Regelungen betroffen sein?

Dieses wollen wir in zwei separaten und aufeinanderfolgenden Blogbeiträgen beleuchten. Im ersten Teil sammeln wir Informationen über Steuerung und Organisation und betrachten die umfangreichen Anforderungen an das IKT-Risikomanagement, die Meldung IKT-bezogener Vorfälle sowie die Risiken durch IKT-Drittanbieter.

Im zweiten Teil geben wir einen Ausblick auf die bevorstehenden Entwicklungen – bis hin zu der Frage, wie US-amerikanische Cloudanbieter dazu motiviert werden können, Niederlassungen in der EU zu erwägen.


Teil 2

Das Europäische Parlament und der Rat werden den offiziellen Verordnungstext, voraussichtlich im Herbst 2022 annehmen und anschließend wird dieser im Amtsblatt der Europäischen Union veröffentlicht. Erwartet wird, dass die DORA-Verordnung Ende 2024 in der gesamten EU gilt. Bereits zum jetzigen Zeitpunkt sollten sich Banken und Finanzdienstleister über die Umsetzung eines angemessenen IKT-Risikomanagements Gedanken machen und geeignete Maßnahmen in Betracht ziehen.

Finanzunternehmen im Zahlungsverkehr haben ein intrinsisches Interesse daran, ihre digitale Betriebsstabilität zu schützen und resilienter gegenüber Cyberangriffe zu machen, weil Betriebsstörungen zu erheblichen Umsatzeinbußen und – damit einhergehend – zu immensen Reputationsschäden führen können. Die Tatsache, dass große Kreditinstitute und Fin- und BigTechs eine große Projektionsfläche für Hackerangriffe darstellen und die exponenziell voranschreitende Digitalisierung immer relevanter wird, untermauern die Erfordernis, EU-Maßnahmen zur Stärkung der digitalen Betriebsstabilität von Finanzunternehmen zu implementieren.

Dadurch, dass Finanzunternehmen in der Regel sehr stark miteinander vernetzt sind, kann schon ein lokal begrenzter Cybervorfall enorme Systemrisiken für den Finanzsektor bergen und die Finanzstabilität gefährden. Die von Finanzunternehmen bereitgestellten Produkte und Dienstleistungen sind oft elementar für das Funktionieren einer Gesellschaft. Die Kosten, die durch einen Cyberangriff entstehen, bedeuten oft sehr hohe Kosten für Gesellschaft und Finanzunternehmen.

Einerseits könnten Finanzunternehmen angesichts von Meldekosten und möglichen Reputationsschäden abgeschreckt sein, Cybervorfälle an die zuständigen Behörden zu melden. Andererseits könnten Meldungen über Cybervorfälle einen erheblichen externen Nutzen dahingehend erzeugen, dass andere Finanzunternehmen Sicherheitslücken erkennen und schließen könnten. Dem Verordnungsvorschlag mangelt es jedoch an der Verhältnismäßigkeit. Das IKT-Risikomanagement von Finanzunternehmen sollte sich lediglich auf kritische Elemente der digitalen Betriebsstabilität konzentrieren. DORA umfasst hingegen alle physischen Komponenten, Infrastrukturen, Räumlichkeiten und Rechenzentren, unabhängig von deren operationellem Risiko. 

DORA verpflichtet Finanzunternehmen, Verträge mit kritischen IKT-Drittanbietern zu kündigen, wenn diese gegen Gesetze, Verordnungen, Richtlinien oder Vertragsbedingungen verstoßen oder wenn sie von einer Finanzaufsichtsbehörde dazu gezwungen werden.

Das dürfte das operationelle Risiko für Finanzunternehmen erhöhen, weil es schwierig sein dürfte, ad hoc geeignete alternative Anbieter zu finden. Stattdessen sollte DORA, die enge Abstimmung der betroffenen Akteure fördern, einen Sanktionsstufenkatalog artikulieren und zumindest Übergangsfristen vorsehen. Ein striktes Vertragskündigungsmandat sollte das letzte Mittel sein.

Die Beschränkung, IT-Lieferverträge mit kritischen IKT-Drittanbietern aus Drittländern abzuschließen, ist ein starker Eingriff in die Vertragsfreiheit der europäischen Finanzunternehmen. Diese Maßnahme könnte der Stärkung der digitalen Betriebsstabilität paradoxerweise zuwiderlaufen, weil sich Finanzunternehmen gezwungen sehen könnten, Verträge mit Anbietern abzuschließen, die einen geringeren Cyberreifegrad aufweisen. Diese Einschränkung hat das Potenzial, die Auswahl und den Zugang zu cybersicheren und innovativeren IKT-Lösungen, Produkten und Dienstleistungen zu begrenzen.

Die Ziele der EU-Kommission, die Abhängigkeit des europäischen Finanzsektors von US-amerikanischen Cloud-Anbietern zu vermindern, sollte nicht in Aktionismus umschlagen. Eine zielgerichtetere Maßnahme wäre es, diese Anbieter durch regulatorische Maßnahmen dazu zu veranlassen, Niederlassungen in der EU zu gründen, damit diese effektiver von den hiesigen Aufsichtsbehörden im Zusammenhang mit operationellen Risiken überwacht werden könnten.

In 2023 obliegt der European Banking Authority (EBA) das Mandat, die regulatorischen Rahmenbedingungen für MiCAR und DORA zu schaffen. Neben der Aufsichtspflicht ist die EBA mit der Aufgabe betraut, Aufsichtsrichtlinien und Verfahren zu entwickeln, sowie Guidelines zu erstellen, die den Informationsaustausch zwischen allen relevanten Parteien sicherstellen sollen. Dazu gehören unter anderem beaufsichtigte Emittenten von Krypto-Assets, die zuständigen nationalen Behörden, die EZB und andere relevante Zentralbanken. Die Zeit hierfür ist knapp bemessen, da alles noch vor dem Anwendungsdatum von MiCAR und DORA passieren muss. Das zu entwickelnde Framework für DORA wird einen aufsichtsrechtlichen Rahmen bilden, um die Überwachung und die Eindämmung von Cyberrisiken und IKT-bezogenen Vorfällen zu gewährleisten. Für die MiCAR-Verordnung hingegen wird die EBA spezifische Anforderungen zur Ausgabe von Krypto-Assets und das Angebot von Kryptodienstleistungen ausarbeiten müssen.

Quelle der Abbildung: EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Autoren:
Salar Hydary (Bachelor of Laws/ Werkstudent PPI AG, Consulting Payments, Bereich Regulierung Zahlungsverkehr)
Judith Petersen (Senior Manager PPI AG, Consulting Payments, Leitung Bereich Regulierung Zahlungsverkehr)

DORA – Digital Operational Resilience Act: Teil 1: Warum die digitale Betriebsstabilität einheitlich auf EU-Ebene zu bewerten ist

Mit DORA soll den wachsenden Cyberrisiken begegnet werden. Welche Regelungen sind geplant? Wer wird von den Regelungen betroffen sein?
Dieses wollen wir in zwei separaten und aufeinanderfolgenden Blogbeiträgen beleuchten. Im ersten Teil sammeln wir Informationen über Steuerung und Organisation und betrachten die umfangreichen Anforderungen an das IKT-Risikomanagement, die Meldung IKT-bezogener Vorfälle sowie die Risiken durch IKT-Drittanbieter.
Im zweiten Teil geben wir einen Ausblick auf die bevorstehenden Entwicklungen – bis hin zu der Frage, wie US-amerikanische Cloudanbieter dazu motiviert werden können, Niederlassungen in der EU zu erwägen.

Teil 1

Die Europäische Kommission, der Rat der Europäischen Union und das Europäische Parlament, haben am 22. Mai 2022 eine vorläufige Einigung über den Vorschlag zur digitalen Betriebsstabilität (Digital Operational Resilience Act – DORA) erzielt. DORA rückt somit im Rahmen der Strategie zur Digitalisierung des gesamten europäischen Finanzsektors als ein integraler Bestandteil in den Mittelpunkt. Die Europäische Kommission hatte den Legislativvorschlag zu DORA erstmals am 24. September 2020 im Zuge des Digital Finance Package veröffentlicht. Das Triumvirat aus Kommission, Rat und Parlament hat bereits im September 2020 das Digital Finance Package zur Realisierung einer grenzüberschreitenden Digitalisierung verabschiedet.
Das Digital Finance Package umfasst die folgenden Teile:

  • Strategie zur Digitalisierung des Finanzsektors
  • Legislativvorschläge zu Kryptowerten (Markets in Crypto Asset Regulation, Distributed-Ledger-Technology-Pilotregelung und die Transfer of Funds Regulation)
  • Legislativvorschläge zur Betriebsstabilität digitaler Systeme (DORA) des Finanzsektors
  • Strategie für den Massenzahlungsverkehr  

Die europäische Strategie zur digitalen Betriebsstabilität wurde mit den beiden wichtigen Kryptoverordnungen Markets in Crypto Assets Regulation (MiCAR) und der Transfer of Funds Regulation (ToFR) komplettiert. Am 30. Juni 2022 gab die Europäische Union grünes Licht für die MiCAR-Verordnung zur Überwachung der Kryptobranche.
Bereits einen Tag zuvor, am 29. Juni 2022, hatte das Europäische Parlament eine Einigung über die ToFR-Verordnung erzielt.
Mit DORA soll das Ziel verfolgt werden, einerseits die Finanzstabilität, den Verbraucherschutz und die Marktintegrität zu gewährleisten und andererseits, regulatorische Hindernisse im Finanzsektor durch eine Rechtsharmonisierung effektiv zu beseitigen. Außerdem wird ein EU-weites, sektorübergreifendes Framework geschaffen, um die Risiken, die im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT-Risken) auftreten, zu steuern und zu mindern. Von der DORA-Verordnung betroffen sind traditionelle Finanzakteure wie Banken, Versicherungen und Investmentgesellschaften, aber auch Fin- und BigTechs, Krypto-Dienstleister und Handelsplätze. Vom Anwendungskreis ausgenommen sind Kleinstunternehmen, die weniger als 10 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet. (Art. 3 S. 1 Ziff. 50 in Verbindung mit Artikel 2 Absatz 3 des Anhangs der Empfehlung 2003/361/EG).

Steuerung und Organisation
Banken und Finanzdienstleister sollten über interne Governance- und Kontrollrahmen verfügen, die eine wirksame und umsichtige Steuerung aller IKT-Risiken gewährleisten (Art. 4 Abs. 1). Banken und Finanzdienstleister sollten über einen soliden, umfassenden und gut dokumentierten IKT-Risikomanagementrahmen verfügen, welcher es ihnen ermöglicht, IKT-Risiken unmittelbar und effizient anzugehen (Art. 5 Abs. 1). Das Leitungsorgan definiert, genehmigt und überwacht den IKT-Risikomanagementrahmen und ist für dessen Umsetzung rechenschaftspflichtig. Um eine gut funktionierende Governance zu gewährleisten, sollten Gelder für Investitionen in IKT-Ressourcen, einschließlich Schulungsmaßnahmen zu IKT-Risiken für Mitarbeitende, bereitgestellt werden (Art. 4 Abs. 2). 

Anforderungen an das IKT-Risikomanagement
Die in DORA aufgeführten Anforderungen zur Erfüllung eines angemessenen IKT-Risikomanagements verlangen spezifische Funktionen. Der IKT-Risikomanagementrahmen wird mindestens einmal jährlich, sowie beim Auftreten schwerwiegender IKT-bezogener Vorfälle, die sich aus Prüfungen oder Auditverfahren für die digitale Betriebsstabilität ergeben, dokumentiert und überprüft. Das Ziel ist es, potenzielle Bedrohungen frühzeitig zu identifizieren, Erkenntnisse zu gewinnen und eine kontinuierliche Verbesserung des IT-Risikomanagements zu gewährleisten. (Art. 5 Abs. 9 DORA)
Das IKT-Management muss den Schutz und die Prävention vor Cyberangriffen sicherstellen bzw. die Anfälligkeit für Cybervorfälle auf ein Mindestmaß reduzieren, sowie Strategien und Verfahren implementieren, die die "Resilienz, Kontinuität und Verfügbarkeit von IKT-Systemen" und "hohe Standards in Bezug auf Sicherheit, Vertraulichkeit und Integrität von Daten" gewährleisten (Art. 8 Abs. 2).
Banken und Finanzdienstleister sollten eine IKT-Strategie implementieren, die darauf ausgerichtet ist, auf alle IKT-bezogenen Vorfälle, insbesondere Cyberangriffe, unverzüglich, wirksam und angemessen reagieren zu können, sodass Schäden möglichst begrenzt auftreten, die Wiederaufnahme von Tätigkeiten und die Wiederherstellung des Betriebs möglichst gewährleistet werden können (Art. 10 Abs. 2). Die Implementierung von Mechanismen, die sowohl Schwachstellen aufdecken als auch alle IKT-bezogenen Vorfälle aufzeichnen, ist unabdingbar.
Als besonders kundenorientierter und als integer geltender Marktakteur, sollten Banken und Finanzdienstleister über Kommunikationspläne verfügen, die „eine verantwortungsbewusste Offenlegung IKT-bezogener Vorfälle oder erhebliche Anfälligkeiten gegenüber Kunden und anderen Finanzunternehmen, sowie der Öffentlichkeit ermöglichen“ (DORA Art. 13 Abs. 1). 

Meldung IKT-bezogener Vorfälle
DORA verlangt von Banken und Finanzdienstleistern die Einführung von Managementverfahren zur Überwachung, Ermittlung, Klassifizierung, Verfolgung, Protokollierung und Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden (Art. 15 Abs. 1).
Adressaten der Meldungen schwerwiegender IKT-Vorfälle sind die zuständigen nationalen Behörden. Banken und Finanzdienstleister müssen anderen Institutionen oder Ämtern – beispielsweise den European Supervisory Authorities (ESA), der Europäischen Zentralbank (EZB) oder den gemäß der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) benannten zentralen Anlaufstellen, sachdienliche Einzelheiten zu den Vorfällen mitteilen. Schwerwiegende IKT-bezogene Vorfälle sind durch die Behörden auf Unionsebene zentralisiert zu melden. Finanzunternehmen werden verpflichtet, Erst-, Zwischen- und Abschlussberichte vorzulegen. Sollte ein IKT-bezogener Vorfall Auswirkungen auf die finanziellen Interessen von Dienstnutzern und Kunden des jeweiligen Finanzunternehmens haben, sollten diese unverzüglich darüber unterrichtet werden (Art. 17 Abs. 2).

Eine wesentliche Aufgabe der ESA ist es, jährlich einen umfassenden Bericht in anonymisierter Form zu veröffentlichen, der Auskunft über die Meldungen zuständiger Behörden zu schwerwiegenden IKT-bezogenen Vorfällen gibt. Dies betrifft die Mindestanzahl schwerwiegender Vorfälle, ihre Art, die Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden, sowie die Kosten (Art. 20 Abs. 2). Darüber hinaus verpflichtet der Verordnungsentwurf Finanzinstitute sicherzustellen, dass Verträge über die Nutzung von IKT-Diensten gekündigt werden, wenn IKT-Drittanbieter gegen geltende Gesetze, Verordnungen oder Vertragsbedingungen verstoßen (Art. 25 Abs. 8). 

Prüfung der digitalen Betriebsstabilität
Das IKT-Risikomanagement von Banken und Finanzdienstleistern muss regelmäßig auf die Abwehrbereitschaft und die Aufdeckung von Schwachstellen, Mängeln oder Lücken sowie auf die umgehende Umsetzung von Korrekturmaßnahmen geprüft werden. IKT-Systeme müssen regelmäßig auf Herz und Nieren geprüft werden. Eine solche Überprüfung muss mindestens einmal jährlich durchgeführt und entsprechend dokumentiert werden. Die Durchführung von Präventions-, Erkennungs-, Reaktions- und Wiederherstellungstests sind unabdingbar, um alle Schwachstellen, Mängel oder Lücken umfassend zu beheben (Art. 21 Abs. 5).

Als wichtigste Instrumente für die Prüfung der digitalen Betriebsstabilität sind folgende zu benennen (Art. 22):

  • Bewertungen und Überprüfungen der Anfälligkeit
  • Analysen von Open-Source-Software
  • Bewertungen der Netzsicherheit
  • Lückenanalysen
  • Analysen der physischen Sicherheit
  • Überprüfungen der physischen Sicherheit
  • Fragebögen und Scansoftwarelösungen
  • Quellcodeprüfungen, soweit durchführbar
  • szenariobasierte Tests
  • Kompatibilitätstests
  • Leistungstests
  • End-to-End-Tests
  • bedrohungsgesteuerte Penetrationstests


Wie anspruchsvoll die Belastbarkeitstests sein müssen, hängt maßgeblich von der Größe des Geschäfts- und Risikoprofils eines jeden Finanzunternehmens ab.
Besonders hohe Anforderungen für die Prüfungen der digitalen Betriebsstabilität gelten für bedeutende Institute im Zahlungsverkehr, zum Beispiel große Kreditinstitute, große Zahlungsinstitute und große E-Geld-Institute. Dies gilt auch für Teilsektoren, die eine zentrale Rolle im Zahlungsverkehr, im Bankenwesen, im Clearing und in der Abrechnung spielen. 

Risiken durch IKT-Drittanbieter
Einen besonderen Fokus legt DORA auf die EU-Aufsicht über sogenannte IKT-Drittanbieter und das damit einhergehende IKT-Drittrisiko. Die Auslagerung von digitalen Funktionen spielt heutzutage eine wichtige Rolle in der IKT-Strategie von Finanzunternehmen. Hier kommen die IKT-Drittanbieter ins Spiel. Sie offerieren den Finanzunternehmen die Bereitstellung von Speicherplatz oder Rechnerleistung (Infrastructure as a Service) bis hin zur Bereitstellung von Softwareapplikationen (Platform as a Service).
Auslagerungen können nur dann funktionieren, wenn die Finanzinstitute die Untervergabeprozesse vollwertig überwachen und kontrollieren können. Finanzunternehmen, die IKT-Dienstleistungen von IKT-Drittanbietern in Anspruch nehmen, sind dafür verantwortlich, dass sich diese an die DORA-Verordnung halten (Art. 25 Abs. 1). Stellt ein Finanzunternehmen indes fest, dass der IKT-Drittanbieter bei der Erbringung von IT-Dienstleistungen gegen geltende Gesetze, Verordnungen oder Vertragsbedingungen verstößt, muss diesem gekündigt werden (Art. 25 Abs. 8). Die Finanzunternehmen müssen Ausstiegsstrategien einrichten, um mit Ausfällen von IKT-Drittanbieter umgehen zu können. Die Vertragskündigung darf der Einhaltung regulatorischer Anforderungen nicht zuwiderlaufen oder die angebotenen Dienstleistungen qualitativ beeinträchtigen (Art. 25 Abs. 9).
Zusammenfassend kann man konstatieren, dass DORA darauf abzielt, dass ein EU-Aufsichtsrahmen für "kritische" IKT-Drittanbieter geschaffen werden soll (Art. 28 Abs. 1). DORA räumt dem Finanzunternehmen das Recht ein, die zu erbringenden Leistungen des IKT-Drittanbieters vollumfänglich zu überwachen (Art. 27 Abs. 2). Dabei können die zuständigen Finanzaufsichtsbehörden die Finanzunternehmen zwingen, ihre Verträge mit IKT-Drittanbietern vorübergehend teilweise oder vollständig auszusetzen, bis die Risiken beseitigt sind. Behörden können von Finanzunternehmen erforderlichenfalls verlangen, die einschlägigen vertraglichen Vereinbarungen, die mit kritischen IKT-Drittanbietern geschlossen wurden, ganz oder teilweise zu kündigen (Art. 37 Abs. 3).
Vor Vertragsschluss mit einem IKT-Drittanbieter müssen Banken und Finanzdienstleister prüfen, ob der jeweilige IT-Lieferant als kritischer Anbieter einzustufen ist oder ob dieser wichtige digitale Funktionen abdeckt. Banken und Finanzdienstleister sollten überprüfen, ob ihr IKT-Drittanbieter ersetzbar ist oder ob mehrere Verträge mit diesem abgeschlossen werden (Art. 25 Abs. 5). Die Beurteilung dieser Kriterien ist insofern wichtig, als dass Finanzunternehmen keine vertraglichen Beziehungen zu kritischen IKT-Drittanbietern unterhalten dürfen, die ihren Sitz außerhalb der EU haben und somit nicht in der EU niedergelassen sind (Art. 28 Abs. 9).

Quelle der Abbildung: EU Digital Operational Resilience Act (DORA) | Compliance | Haufe


Autoren:
Salar Hydary (Bachelor of Laws/ Werkstudent PPI AG, Consulting Payments, Bereich Regulierung Zahlungsverkehr)
Judith Petersen (Senior Manager PPI AG, Consulting Payments, Leitung Bereich Regulierung Zahlungsverkehr)

SEPA 2.0 ist in vollem Gange – Umstellung auf neue Formatspezifikationen startet!

Seit November 2021 gelten neue Formatspezifikationen der Deutschen Kreditwirtschaft. Die Änderungen haben bisher keine allzu großen Auswirkungen auf Banken und deren Kunden. Im November 2023 ändert sich dies allerdings schlagartig!

Die SEPA-Formate für Überweisungen und Lastschriften ändern sich umfassend, und sowohl alle zahlungsverkehrsverarbeitenden Dienstleister als auch deren Endkunden müssen sich auf die anstehenden Änderungen vorbereiten und Vorbereitungen treffen.

Denn SEPA 2.0 wird de facto alle Komponenten und alle Systeme betreffen, so dass eine frühzeitige Beschäftigung mit dem Thema und all seinen Abhängigkeiten von großer Bedeutung für eine reibungslose Verarbeitung und unterbrechungsfreie Weiterverarbeitung von Zahlungen ist. 

 
Das EPC hat im Juni diesen Jahres Implementation Guidelines veröffentlicht, die neben den entsprechenden Spezifikationen weiteren Aufschluss über die bevorstehenden Änderungen geben. Die Verwendung strukturierter Adressdaten ist ein wesentliches Thema der bevorstehenden Anpassungen. Konnten Adressen bis dato unstrukturiert durch Angabe des Namens und der Adresse eingereicht und weiterverarbeitet werden, so müssen Adressen mit SEPA 2.0 strukturiert angegeben werden. Es gibt zukünftig eigene Felder für den Namen, die Straße und Hausnummer, die PLZ und den ISO-Ländercode. Neben der Verwendung strukturierter Adressdaten haben Anpassungen einzelner Felder, wie z. B. das Batch-Booking-Kennzeichen, weitreichende Folgen. Per neuer Defaulteinstellung true des Batch-Booking-Kennzeichens wird zukünftig eine Sammelbuchung ausgeführt. Nur wenn eine entsprechende Vereinbarung für Einzelbuchungen mit dem Kunden vorliegt, wird im Falle einer Belegung mit false jede Transaktion einzeln auf dem Kontoauszug des Zahlers (Auftraggebers) dargestellt.

Die bevorstehenden Änderungen haben somit nicht nur Auswirkungen auf die Zahlungsdatei und Zahlungssysteme an sich, sondern betreffen ebenso Umsysteme, wie z. B. Stammdatensysteme. Viele Banken, die auf Konverterlösungen oder ältere SEPA-Formatversionen setzen, haben nun die Chance, ihre Systeme ganzheitlich zu betrachten und im Rahmen eines Projektes eine reibungslose Weiterverarbeitung von Zahlungen sicherzustellen. Bei diesem Vorgehen empfiehlt es sich, auf Mappingtabellen zurückzugreifen, welche die Analysen, Auswertungen und Umsetzungsempfehlungen einfacher und zielgerichteter machen. So können für jedes Institut eigene Regeln und Mechanismen etabliert werden.

Bereits die TARGET2/T2S-Konsolidierung hat gezeigt, dass die Umstellung vom MT- auf das MX-Format nicht zu unterschätzen ist und entsprechende Projekte durchaus mehr Zeit beanspruchen, als viele Institute gedacht hatten. Eine Verschiebung des Termins durch den EZB-Rat kam vielen Banken entgegen. Eine Verschiebung und neue Übergangsszenarien, die über die Szenarien der Implementation Guidelines hinausgehen, darf allerdings bei der Umstellung auf SEPA 2.0 nicht vorausgesetzt werden. Wer nicht auf einen frühzeitigen Start setzt, nimmt ein enormes Risiko in Kauf.

Autorin: Rebecca Stannull



Project Possible im Cross-Border-Zahlungsverkehr

Haben Sie schon mal versucht, Ihr 11.000 Teilnehmer großes und internationales Netzwerk zu überzeugen, gemeinsam den Mount Everest zu besteigen? Ein unmögliches Projekt – sagen Sie. Ehrlich gesagt würde es bei den meisten von uns wohl bereits am Netzwerk scheitern. Doch die Society for Worldwide Interbank Financial Telecommunication (SWIFT) hat es geschafft, sich seit ihrer Gründung 1973 ein entsprechend großes Netzwerk aufzubauen und das Project (Im)Possible gestartet – nur dass nicht tatsächlich der Mount Everest bestiegen wird, sondern die Messageschnittstelle im internationalen Zahlungsverkehr erneuert.

Showdown im November 2022

Wer heutzutage also in die Zahlungsverkehrsbüros weltweiter Banken schaut, dem begegnet das Project (Im)Possible überall. Lassen Sie mich kurz zusammenfassen, worum es geht:
 
SWIFT ändert ab 2022 die derzeitige Kommunikationsbasis. Während heute im internationalen Zahlungsverkehr mittels MT-Transaktionen gemäß ISO 15022 kommuniziert wird, findet ab 2022 eine Umstellung auf MX-Transaktionen statt. Die MX-Transaktionen wurden durch eine internationale Arbeitsgruppe Cross-Border-Payments and Reporting (CBPR+) definiert und basieren auf der ISO-20022-Norm. Daher wird auch gerne von CBPR+-Transaktionen oder MX-Transaktionen gesprochen. Im Scope sind die Transaktionsformate aus den Bereichen Payments, Reporting und Investigation. In der "alten MT-Welt" entspricht das den Kategorien MT1xx, MT2xx und MT9xx.  

Die neuen Transaktionen werden ebenfalls über eine neue Schnittstelle versendet. Der InterAct-(FIN+)-Kanal wird ab November 2022 für den Zahlungsverkehr geöffnet. Ein kompletter Wechsel vom FIN- auf den InterAct-(FIN+)-Kanal wird mit November 2025 forciert. SWIFT bezeichnet die Zeitspanne zwischen November 2022 und November 2025 als Koexistenzphase und spricht von einer "User driven"-Migration. Jede Bank im SWIFT-Netzwerk darf selbst entscheiden, wann sie auf MX im Ausgang umstellt. Im Eingang muss jedoch ab November 2022 mit MX-Transaktionen gerechnet werden.
 
Ein vermeintlich kleines Migrationsprojekt, welches sich zu einer der größten Herausforderungen im Zahlungsverkehr in den letzten Jahren entwickelt hat. Alte Hostsysteme, die Verarbeitung neuer Datenfelder, die Abstimmung mit Partnerbanken und die sich ständig ändernden Bedingungen bringen immer wieder neue Herausforderungen und Fragen mit sich, die gelöst werden wollen:
 
Wann soll ich als Bank nun genau umstellen? Was passiert mit Rich-Data-Elementen? Soll ich alle Subelemente abspeichern oder kann ich auf die Garnishment Remittance vielleicht doch verzichten? Was passiert genau zwischen November 2022 und November 2025? Was braucht es im November 2022 mindestens?
 
Mit November 2022 hat SWIFT den frühestmöglichen Go-live-Startpunkt gesetzt. Drei Monate bleiben also den First-Mover-Banken noch Zeit, die letzten dringenden Fragen zu beantworten, die letzten Defects zu fixen und die letzten Kunden zu informieren. Die First-Mover-Banken, welche gemäß Aussage von SWIFT mehr als 50% des gesamten Cross-Border-Transaktionsvolumens ausmachen, stehen bereit und doch gibt es immer noch Änderungen und Empfehlungen, die einen Go-live in Frage stellen könnten.

Zu spät, um umzudrehen

Die Verschiebung des Transaction Managers von SWIFT auf Ende Q1 2023 anstatt November 2022 gehört zu einem der großen Schreckmomente. Der Transaction Manager wurde lange als „heilsbringende SWIFT-Applikation“ präsentiert, die mittels der Sicherung einer sogenannten Golden Copy für einen Truncation-freien Transaktionsaustausch über die gesamte Zahlungskette hinweg sorgen sollte. Ganz gleich ob informationsstarke MX-Transaktionen oder rudimentäre MT-Transaktionen verschickt bzw. weiterverarbeitet werden, der Transaction Manager sollte die Transaktionen jeweils mit der ursprünglich verschicken Datenvielfalt erweitern und damit die konsequente Weiterreichung aller Informationen sicherstellen. Nun kommt mit der Verzögerung die Angst auf, dass wichtige Informationen verloren gehen.
 
Um das Problem in den Griff zu bekommen, publizierte die PMPG (Payment Market Practice Group) im Juli die Empfehlung, bis November 2023 auf Rich Data zu verzichten (https://www.swift.com/swift-resource/251867/download). Mit Rich Data sind jene Informationen gemeint, die neu mit den MX-Transaktionen mitgegeben werden. Zu Recht kann ich mich als Bank nun fragen, ob es überhaupt Sinn ergibt, das Projekt fortzusetzen, wenn weiterhin eine solche Unsicherheit herrscht.
 
Doch es ist zu spät, um umzudrehen. Das Projektbudget ist gesprochen, die Entwicklungsteams sind mitten in der Entwicklung, die ersten Releases wurden bereits durchgeführt, der interne Go-live-Plan steht, die Kommunikationskampagnen laufen heiß und die Projekttimeline für die nächsten Monate ist bereits gefüllt. Wie agil sich eine Bank auch aufstellen möchte, ein Migrationsprojekt, welches vom E-Banking, über die Kernverarbeitung bis hin zur Kontoabstimmung die gesamte Bank beschäftigt, lässt sich nicht einfach stoppen.

Wir haben das Basecamp erreicht – der Aufstieg folgt erst noch

SWIFT treibt mit regulatorischer und marktgetriebener Härte seine Teilnehmer den Mount Everest hinauf und wie es auf jeder Wanderung üblich ist, sind einige weiter vorne und einige liegen etwas zurück. Fest steht, dass eine Reihe von Banken ab November 2022 MX-Transaktionen versenden wird. Doch haben sie damit schon den angestrebten Gipfel erreicht? Wirft man einen Blick auf das Erreichte und den angedachten Scope seitens SWIFT, so kann nur von der Erreichung des Basecamps gesprochen werden – der Aufstieg folgt erst noch. Überwachung der Produktion, Mehraufwand im Betrieb, Umstellung der Reportingmeldungen, Umstellung der Investigation-Meldungen, Verarbeitung der Rich-Data-Elements und etwaigen Änderungen und Vorschläge seitens SWIFT, dürften das Project (Im)Possible weiterhin bei vielen Banken als festen Bestandteil der Projektagenda belassen.
 
Abschließend muss festgehalten werden: Die SWIFT-Community krempelt den Cross-Border-Zahlungsverkehr derzeitig gewaltig um und baut mit der Migration auf den ISO 20022 eine Basis auf, die den Zahlungsverkehr langfristig verbessern und optimieren dürfte. Auch wenn die vollmundig versprochenen Vorteile von strukturierten und granular aufgebauten Daten, einer höheren Datenqualität, besseren Analysemöglichkeiten und internationaler Interoperabilität noch nicht mit 2022 oder 2023 eintreten werden, so wird die Basis für mehr geschaffen. Wir dürfen gespannt sein, was in den nächsten Jahren im internationalen Zahlungsverkehr noch passiert.
 
Wo stehen Sie derzeitig mit Ihrem SWIFT-MX-Migrationsprojekt und wie sehen Sie die aktuelle Situation? Lassen Sie es uns wissen oder schenken Sie uns einen Kommentar.
 

Autor: Florian Stade

Werden Banken bei der Implementierung des digitalen Euros eine Rolle spielen?

Die zweijährige Analysephase der Europäischen Zentralbank (EZB) zum digitalen Euro ist noch nicht beendet und viele Fragen sind aktuell noch unbeantwortet. Bei manchen Themen, wie zum Beispiel dem Umsetzungsmodell bzw. der Rollenverteilung, gibt es jedoch bereits erste Tendenzen.

Unter Berücksichtigung der Grundvoraussetzung einer digitalen Zentralbankwährung (CBDC) wie beispielsweise bargeldähnliche Sicherheit, Schutz der Privatsphäre, nutzerfreundliche Peer-to-Peer-Zahlungen und einer flächendeckenden Verbreitung werden aktuell verschiedene Umsetzungsszenarien diskutiert.

In diesem Artikel werden wir auf zwei verbreitete Umsetzungsszenarien eingehen:

1. Direkter CBDC
Bei dem direkten Ansatz würde die Europäische Zentralbank den digitalen Euro in Eigenregie entwickeln und die Schnittstelle zu den Nutzern darstellen.

Folglich ist die EZB dafür verantwortlich, die Infrastruktur aufzubauen, das System zu betreiben, das Kundenonboarding durchzuführen und die Zahlungen abzuwickeln.
All diesen Themen stehen enorme Aufwände aufseiten der EZB gegenüber, da neben der Entwicklung von Back- und Frontend auch die anschließende Administration und Verwaltung auf die EZB wartet. Kunden müssen beispielsweise durch Prozesse wie KYC- und AML-Prüfungen geführt werden. Offen bleibt darüber hinaus, ob Nutzer in diesem Modell ein separates Konto bei der EZB für die Zahlungsaktivitäten erhalten.

Neben den Faktoren Aufwand und Zeit wird zusätzlich noch das aktuell bestehende Ökosystem untergraben, da weder Geschäftsbanken noch Finanzdienstleister als Distributoren an der Kunde-Bank-Schnittstelle agieren werden.

Weitaus wahrscheinlicher ist daher das Szenario des indirekten CBDC:

2. Indirekter CBDC
 
Der digitale Euro wird in diesem Modell von der EZB emittiert und über geprüfte Intermediäre, z. B. Banken und Zahlungsdienstleister an den Endkonsumenten verteilt. Die Distribution wird ähnlich dem aktuellen Bargeldsystem aussehen, nur eben in digitaler Form. Der Nutzer hat folglich keinen direkten Kontakt zur Zentralbank, jedoch einen direkten Rechtsanspruch gegenüber dieser.

Das Modell würde das bestehende Ökosystem stärken, indem die Rolle der Intermediäre gesichert wird und diese in die Bereitstellung des digitalen Euros eingebunden sind.
Neben der Verwaltung werden die Intermediäre auf etablierte Prozesse (u. a. KYC- und AML-Prüfungen), Onboardingmechanismen und Frontend-Entwicklungen aufbauen können.
In diesem Modell ist darüber hinaus zu berücksichtigen, dass die Weiterentwicklung von Mehrwertdiensten im Zusammenhang mit bestehenden Anwendungsfällen der Banken und dem digitalen Euro entstehen können. Die Innovationsfähigkeit wird gesteigert und Konsumenten können auf eine optimierte User Experience hoffen.

Aus den benannten Gründen gehen wir aktuell davon aus, dass die Geschäftsbanken in die Verteilung des digitalen Euros eingebunden werden, um etablierte Prozesse zu nutzen und den direkten Kundenkontakt zu stärken. Offen bleibt allerdings die Frage, ob neben klassischen Geschäftsbanken auch andere Anbieter die Rolle eines Intermediär einnehmen können.

Wir von PPI verfolgen dieses Thema mit großer Begeisterung und sehen die Innovationsfähigkeit des Zahlungssystems als unabdingbar für die Wirtschaft. Um Sie über aktuelle Entwicklungen auf dem Laufenden zu halten, werden wir Sie auf diesem Wege regelmäßig über Neuigkeiten zum digitalen Euro informieren.

Übrigens: Am 20. September findet der dritte Teil unserer Webinar-Reihe zum Thema digitaler Euro statt. Auf dieser Seite können Sie sich für das Webinar anmelden. Sollten Sie Teil 1 und/oder Teil 2 der Webinar-Reihe verpasst haben, können Sie sich die Aufzeichnungen dort auch noch einmal ansehen.

Autor: Philipp Schröder

Die europäische Retail Payments Strategy – ein Zwischenstand

Im heutigen Beitrag gehen wir in einem kurzen Interview auf die Entwicklung der European Payments Strategy ein. Was gibt es an Bewegung, Neuerungen und Ausblicken? Dazu haben wir als Expertin auf diesem Gebiet unsere Kollegin Swaantje zum Gespräch eingeladen.

EBICS-Blog:
Hallo Swaantje! Schön, dass du dir die Zeit nimmst. Magst du eingangs kurz etwas zu dir sagen?

Swaantje:
Hallo! Ja, gern. Ich bin Swaantje Völkel, Managing Consultant im Consulting Payments-Bereich für die PPI AG in Hamburg und widme mich den Anpassungen, die auf europäischer Ebene initiiert werden. So auch der EU Digital Finance Strategy und im Konkreten der EU Retail Payments Strategy.

EBICS-Blog:
Worin liegt hier die größte Herausforderung?

Swaantje:
Nun, das Wichtigste vorneweg – eine Strategy ist kein Gesetz, sondern nur eine Art Absichtserklärung, ein Rahmenplan für die Zukunft, für zukünftige Ereignisse. Es gibt keine verpflichtenden Vorgaben und auch keine Termine, es ist ein Wachstumsprozess, wobei Beobachtungsgabe, Interpretation, Erfahrung und Urteilsvermögen gefragt sind.

EBICS-Blog:
Der Wunsch nach Autonomie ist stark, aber das Fleisch ist schwach?

Swaantje:
Die EU Retail Payments Strategy ist Teil der EU Digital Finance Strategy. Beide werden unter anderem durch die Open Strategic Autonomy der EU vorangetrieben, und sollen diese unterstützen. Ja, richtig – der Fokus liegt deutlich auf der Förderung der Open Strategic Autonomy der EU. Die EU Retail Payments Strategy beschreibt 17 Maßnahmen mit unterschiedlicher Größe und Gewichtung. Ein Hauptthema ist die Überprüfung der PSD2, hier setzen wir bei PPI an.

EBICS-Blog:
Bedeutet das, dass es hier konkreter wird und man sich auf Änderungen einstellen kann?

Swaantje:
In der Tat. Dort wird es langsam konkreter: In zwei aktuellen Konsultationen wird aktuell um Feedback zu den Zielen der PSD2 gebeten, einschließlich der Frage, wie erfolgreich die PSD2 bei der Erreichung ihrer Ziele war. Außerdem geht es um Meinungen zur Durchsetzung der PSD2 durch die nationalen Regulierungsbehörden und zu etwaigen Änderungsvorschlägen, die nach Ansicht der Befragten an der Richtlinie vorgenommen werden sollten. Auch wird gefragt, ob der Anwendungsbereich, die Maßnahmen und die Verfahren der PSD2 angemessen sind, wobei ein zukunftsorientierter Ansatz verfolgt wird. Die Antworten auf diese Konsultationen sollen jetzt im Sommer eingereicht werden.

EBICS-Blog:
Gerade die Aufwandsschätzung ist doch entscheidend – lässt sich hier eine Vermutung formulieren?

Swaantje:
Die PSD2 hat sehr große Veränderungen durch die Einführung des Kontenzugriffs durch Third Party Provider und neue Anforderungen an die starke Kundenauthentifizierung mit sich gebracht. Nach der Überprüfung und Änderung der PSD2 erwarten wir Änderungen, aber keine ganz so gravierenden. Aber es können schon große und wichtige Änderungen dabei sein – nur nicht so große wie bei der initialen Einführung der PSD2. Unterm Strich kommt viel Arbeit auf uns zu – denn kleine Änderungen können große Auswirkungen haben und umgekehrt, daher halte ich mich mit Vorhersagen zurück.
 
EBICS-Blog:
Ist das hilfreich, so unprognostizierbar anzusetzen?

Swaantje:
Darin liegt doch eine wertvolle Kreativphase, die uns bisher immer nützliche Erkenntnisse geliefert hat. Ich verweise auf die schwierige Wegfindung beim letzten Mal. Insgeheim hoffen wir aber, dass der Weg zur PSD3 nicht ganz so lang wird wie damals. Insbesondere die permanente Lobbyarbeit, die einerseits für Fortschritte bei der Strategie sorgt, leider auch viele konkurrierende Wünsche aufzeigt, abwägt und versucht unter einen Hut zu bringen, fördert Verzögerungen. Das ist kein beschleunigender Aspekt.

EBICS-Blog:
Dann Hand aufs Herz – wann klappt es mit dem Entwurf einer PSD3?

Swaantje:
2023! (lacht)

Der digitale Euro als Innovationsgrundlage für die Wirtschaft

Die Digitalisierung von Wirtschaft und Gesellschaft schreitet mit rasantem Tempo voran. Vor allem das Internet of Things (IoT) verspricht revolutionäre Geschäftsmodelle, bei denen sich die europäische Industrie als Weltmarktführer positionieren kann. Hierbei bezeichnet der Begriff IoT die zunehmende Vernetzung von Maschinen und Geräten. Dabei werden Geräte mit einer digitalen Identität ausgestattet, sodass sie miteinander kommunizieren und ohne menschliche Eingriffe autonom Prozesse ausführen können. Dieser Trend wird in der Zukunft immer mehr an Relevanz gewinnen. 

Um das volle Potenzial der Digitalisierung der Industrie auszuschöpfen, muss der komplette Prozess inklusive Zahlungsverkehr optimiert und auf IoT-Payments abgestimmt werden, sodass auch Zahlungen in Zusammenhang mit diesen neuen Geschäftsmodellen effizient, automatisiert und in Echtzeit abgewickelt werden können. 

Das heutige Zahlungssystem weist im Zusammenhang mit IoT jedoch noch folgende Ineffizienzen auf:

  1. Begrenzte Umsetzbarkeit von Internet of Things (IoT)-Geschäftsmodellen
    Pay-per-Use- und Machine-to-Machine-Zahlungen erfordern menschlichen Eingriff

  2. Keine durchgehende Standardisierung
    Für eine durchgängige automatisierte Verarbeitung fehlen noch geeignete Standards.

  3. Fehlende Automatisierung beim Onboarding
    Mit der Etablierung von autonomen Maschinen ist ein automatisiertes Onboarding notwendig.

  4. Hohe Transaktionskosten
    Besonders grenzüberschreitende Transaktionen und Kleinstbetragszahlungen sind mit hohen Kosten verbunden.

  5. Langsame Settlement-Mechanismen
    Mit Instant Payments sind zwar Echtzeitzahlungen möglich, aber die Verbreitung ist eingeschränkt.

  6. Fehlende Know-your-Object-Prozesse
    Geeignete Compliance-Prozesse zum Erkennen und Prüfen von Maschinenidentitäten müssen noch geschaffen werden.

Zur Minimierung dieser Prozessineffizienzen und Limitationen des Zahlungssystem wäre die Etablierung eines innovativen Geldsystems von großem Vorteil. So sollte die Europäische Zentralbank (EZB) während der zweijährigen Analysephase zum digitalen Euro nicht nur die Auswirkungen auf den Konsumenten berücksichtigen, sondern auch Lösungen für die voranschreitende digitale Transformation der Wirtschaftsprozesse entwickeln. Da es jedoch gegenwärtig unklar ist, welche Ergebnisse während der Analysephase für die Wirtschaft entstehen, hat der Privatsektor bereits begonnen, den Euro zu digitalisieren, sodass (Übergangs-)Technologien für Wirtschaftsprozesse Einzug erhalten. 

Wir von PPI verfolgen dieses Thema mit großer Begeisterung und sehen die Innovationsfähigkeit des Zahlungssystems als unabdingbar für die Wirtschaft. Um Sie über aktuelle Entwicklungen auf dem Laufenden zu halten, werden wir Sie in diesem Jahr auf diesem Wege regelmäßig über Neuigkeiten zum digitalen Euro informieren.

Autor: Philipp Schröder

Zahlungsverkehr 2022: Jahr der Weichenstellungen

Die Fülle der Aufgaben im Zahlungsverkehr bleibt gewaltig. Für viele Vorhaben wird 2022 ein entscheidendes Jahr. Angesichts schwieriger Rahmenbedingungen – nicht zuletzt durch die anhaltende Pandemie – stellt sich allerdings die Frage, ob alle von ihnen wirklich fahrplanmäßig über die Zielgerade gehen beziehungsweise maßgeblich weiter vorangetrieben werden können.

Zu den bedeutendsten Initiativen im Jahr 2022 zählen sicherlich die großen Projekte im internationalen und Großbetragszahlungsverkehr: der Go-live der TARGET2-Konsolidierung und der Start der SWIFT-Umstellung auf das ISO-20022-Format, beide im November 2022. Belastbare Aufschlüsse, wie weit die Finanzdienstleistungsbranche bei ihren Vorbereitungen für die TARGET2-Umstellung wirklich ist, werden die im Frühjahr Fahrt aufnehmenden Nutzertests und ihre Überwachung durch die Zentralbanken zeigen.

Darüber hinaus zeichnen sich am Horizont des internationalen Zahlungsverkehrs bereits zwei weitere Vorhaben ab: die Abwicklung grenzüberschreitender Zahlungen in Echtzeit sowie die Vereinfachung und Verbesserung internationaler Zahlungen für kleinere Unternehmen und Verbraucher. Treiber hinter dieser Entwicklung sind die G-20-Staaten und der Erfolg alternativer Anbieter wie Wise.

Im Massenzahlungsverkehr (SEPA) müssen sich Zahlungsdienstanbieter in diesem Jahr für die 2023 anstehende Umstellung der SEPA-Schemes auf die neuere ISO-Version fit machen. Zudem müssen sie die konkreten Auswirkungen der EU-Richtlinie gegen Mehrwertsteuerbetrug auf ihren Geschäftsbetrieb einschätzen. Hintergrund: Die EU ergreift massive gesetzliche Maßnahmen zur Eindämmung der Mehrwertsteuerlücke innerhalb der Union und führt dazu eine Art Steuerdatenhaltung im Zahlungsverkehr ein. Die neuen Meldepflichten treffen Finanzdienstleister ab Januar 2024. 


Schicksalsjahr für RTP

Bei den SEPA-Verfahren wird sich das Augenmerk in diesem Jahr darauf richten, ob es gelingt, Request to Pay (RTP) in den Markt zu tragen. Anwendungsszenarien gibt es reichlich. RTP ist unter anderem im E-Commerce, im E-Billing-Prozess und für wiederkehrende Zahlungen, ja sogar am Point of Sale einsetzbar. Dennoch zögern Finanzdienstleister offenbar mit der konkreten Umsetzung. Bislang sind kaum Bestrebungen erkennbar, Produkte auf Basis einer RTP-Nutzung aufzulegen. Mögliche Gründe hierfür sind eine mangelnde Nachfrage, wirtschaftliche oder technische Hürden:
 

  • Kunde-Bank-Schnittstelle: Es gibt aktuell kein zentrales Verzeichnis, welcher Kunde sein Konto bei welchem Institut hat.
  •  RTP-Clearing: Bislang bietet nur EBA CLEARING solche Prozesse, die mit RTP konform sind. Um möglichst viele Zahlungsempfänger und Zahler abzudecken, müssen andere Clearinghäuser nachziehen.
  • Zahlungsablauf: Zum einen ist eine technische Lösung für das Matching gefragt, also für die Zuordnung von Antwortmeldungen an die Bank des Zahlungsempfängers zum ursprünglichen RTP. Zum anderen gilt es zu entscheiden, welche Zahlungsmöglichkeiten angeboten werden sollen.

Beim Zahlungsablauf von RTP beruhen viele Anwendungsfälle auf dem Einsatz von SEPA Instant Payments. 2022 wird Klarheit bringen, ob die EU-Kommission Instant Payments im Rahmen einer Anpassung der SEPA-Verordnung oder der Payment Services Directive (PSD) – zumindest im Hinblick auf Erreichbarkeit – verbindlich für alle Zahlungsinstitute vorschreiben wird. Denn zum Ende des Jahres 2021 hatten nur rund 60 Prozent aller europäischen Zahlungsdienstleister das entsprechende Scheme gezeichnet. Entsprechend erfolgen nur – oder immerhin – gut zehn Prozent aller Überweisungen im SEPA-Raum auf Basis von SEPA Instant Credit Transfer (SCT Inst).


Wenig Dynamik bei EPI zu erwarten

Die Verbreitung von RTP und Instant Payments wird auch für die Verwirklichung der European Payments Initiative (EPI) eine wichtige Rolle spielen. Im Moment ist allerdings fraglich, ob es überhaupt gelingt, eine einheitliche gesamteuropäische Zahlungslösung als Alternative zu bestehenden internationalen Zahlungslösungen und -systemen zu schaffen. In Deutschland scheinen nur noch die Sparkassen-Finanzgruppe und die Deutsche Bank der Initiative zu folgen. Scheitert die EPI, machen sich die Europäer endgültig von US-amerikanischen und wohl auch chinesischen Verfahren abhängig. Es bleibt zu hoffen, dass sowohl die Politik als auch die öffentliche Hand gegenüber der Finanzbranche den Druck, aber auch die Unterstützung noch einmal deutlich erhöhen. Und vielleicht bildet ja auch ein französisch-deutscher Kern den Nukleus für EPI.

Und wie geht es 2022 mit dem digitalen Euro weiter? Das Zukunftsprojekt steht immer noch auf dem Prüfstand. Dabei gilt die Prämisse, dass der digitale Euro das Bargeld nicht ablösen, sondern ergänzen soll. Aus Verbrauchersicht muss die digitale Alternative ein Höchstmaß an Anonymität und Sicherheit bieten. Darüber hinaus sind Bereitstellung, Verfügbarkeit und Interoperabilität von hoher Bedeutung. Nach aktuellem Kenntnisstand will die EZB Geschäftsbanken und Zahlungsdienstanbieter (Payment Service Providers, kurz PSP) in das Vorhaben einbinden. Sie sollen als Vermittler zwischen Zentralbanken und Verbrauchern fungieren.


So oder so: Der digitale Euro wird kommen

Aber digitales Geld muss ja nicht zwangsläufig von einer Zentralbank herausgegeben werden. Auch Finanzinstitute können Lösungen für die sogenannten programmierbaren Zahlungen schaffen. Ein Beispiel hierfür sind eurobasierte Stablecoins – digitale Token, die mit einem bestimmten Geldwert unterlegt sind. Auch bei diesen Verfahren sind 2022 Fortschritte zu erwarten.

Wie auch immer die digitale Währung am Ende aussieht, sie wird kommen. Denn nur dadurch kann die deutsche Industrie von den Potenzialen des Internet of Things (IoT) in vollem Umfang profitieren. Besonders die fortschreitende Automatisierung in der Warenlogistik oder auch die immer beliebteren Asset-as-a-Service-Modelle sind ohne vollständig autonome Zahlungen in Echtzeit dauerhaft kaum vorstellbar.

Angesichts der mit den oben genannten Umstellungen verbundenen Kosten werden Kreditinstitute – vornehmlich Tier-2-Institute – auch 2022  die Abwicklung des Zahlungsverkehrs zunehmend auslagern oder zumindest Zahlungsverkehrssoftware als Software as a Service einkaufen.


Kampf um die Talente

Last, but not least wird sich ein gesamtgesellschaftlicher Trend der vergangenen Jahre weiter verstärken: der Mangel an beziehungsweise der Kampf um Ressourcen. Die Preise für Experten und Dienstleistungen in der IT werden weiter steigen. Denn die Frage ist zunehmend nicht mehr, wer eine Aufgabe übernehmen kann, sondern ob man überhaupt jemanden findet, der sie erledigt. Die Einkaufsabteilungen der Kreditinstitute werden sich zu Headhuntern für externe Ressourcen entwickeln.


Autor: Hubertus von Poser, Head of Consulting Payments, PPI AG


Der digitale Euro und die Alternative zum Bargeld

Die Europäische Zentralbank (EZB) beobachtet nicht erst seit der Covid-19-Pandemie, dass Verbraucherinnen und Verbraucher im Euroraum seltener Bargeld nutzen. Der Einsatz von Zahlungsmethoden hat sich bereits durch den zunehmenden E-Commerce, digitale Zahlungsmethoden und Homebanking verändert.

Das dennoch innige Verhältnis vieler Europäer zum Bargeld wird getrieben durch die Begleichung kleinerer Beträge: Ob das Bezahlen im Restaurant, den wöchentlichen Einkauf auf dem Wochenmarkt oder die Euro-Münze für die Nutzung des Einkaufswagens – das Bargeld ist nicht komplett wegzudenken.

Darüber hinaus bietet das Bargeld weitere Vorteile für Bürger:

  • Zahlungen bleiben anonym, und es gibt kaum datenschutzrechtliche Bedenken.
  • Es ist sicher – beispielsweise vor einer Bankeninsolvenz.
  • Es wird nicht durch den Staat versteuert oder durch negative Zinsen belastet.
  • Bargeld ist in der Akzeptanz weit verbreitet und kann leicht transportiert werden.


Neben Bargeld haben Verbraucher die Möglichkeit, digital zu bezahlen – etwa mit dem Smartphone am Point of Sale, ihrer Kredit- oder Debitkarte oder Onlinezahlungsmethoden im E-Commerce. Diese Zahlungen werden jedoch überwiegend mit Geschäftsbankengeld, also Geld, welches durch Banken herausgegeben wird, durchgeführt. Eine digitale Alternative des Bargelds, das durch die EZB vergeben wird, gibt es derzeit nicht.

Die wichtigen Aspekte des Bargelds und die Differenzierung zu digitalen Zahlungsmethoden will die EZB für die Einführung einer europäischen Digitalwährung untersuchen. Mit dem kürzlichen Start einer zweijährigen Analysephase wird die Arbeit an einem digitalen Euro erstmals konkret. Als Ergebnis der Analyse soll unter anderem entschieden werden, ob und in welcher Form die genannten Aspekte berücksichtigt werden.

Dabei gilt die Prämisse, dass der digitale Euro das Bargeld nicht ablösen, sondern ergänzen soll. Aus Verbrauchersicht muss die digitale Alternative ein Höchstmaß an Anonymität und Sicherheit darstellen. Verbraucher fordern, die digitale Alternative des Euros so zu gestalten, dass anonymes Bezahlen – zumindest kleinerer Beträge am Point of Sale – weiterhin möglich ist.

Neben Datenschutz und Sicherheit ist die Bereitstellung, Verfügbarkeit und Interoperabilität von hoher Bedeutung. Nach aktuellem Kenntnisstand will die EZB Geschäftsbanken und Payment Service Provider (PSPs) einbinden. Sie sollen als Vermittler zwischen Zentralbanken und Verbrauchern tätig bleiben. Aufgaben wie die Identifizierung, das Onboarding und die Bereitstellung der Wallet müssen bewerkstelligt werden. Schaut man jedoch genauer hin, bleiben viele offene Fragen bisher unbeantwortet:
 

  • Wie viele Bezahl-Wallets dürfen Verbraucher besitzen?
  • Welche Bereitstellungsmethoden wird es geben (Mobile Wallet, physische Karte, Bezahlarmbänder, etc.)?
  • Wie können Offlinezahlungen sichergestellt werden?
  • Kann mit dem digitalen Euro auch im E-Commerce gezahlt werden?
  • Welche Höchstbeträge für einzelne Zahlungen und die gesamte Haltung wird es geben?


Wie diese Fragen beantwortet werden und sich der digitale Euro schlussendlich von baren oder bestehenden digitalen Zahlungen abhebt, wird die EZB voraussichtlich erst in zwei Jahren bekannt geben. Nach einer anschließenden dreijährigen Entwicklungsphase könnte der digitale Euro 2026 pilotiert werden.

Wir von PPI verfolgen dieses Thema mit großer Begeisterung und sehen die eindeutige Abgrenzung der Nutzung für Privatpersonen zwischen dem digitalen Bargeld und digitalen Bezahlmethoden als essenzielles Element der Analysephase. Um Sie über aktuelle Entwicklungen auf dem Laufenden zu halten, werden wir Sie im kommenden Jahr auf diesem Wege regelmäßig über Neuigkeiten zum digitalen Euro informieren.

Autor: Philipp Schröder


Ein Jahr bis zur TARGET2-Umstellung – Sind Sie bereit?

In weniger als zwölf Monaten ist es so weit. Am 21. November 2022 stellt TARGET2 von MT auf MX um, ein Jahr später als ursprünglich geplant. Nach Angaben der Bundesbank betrifft die Migration ca. 1220 Teilnehmer, von denen sich 955 im Co-Management befinden (https://www.die-bank.de/news/fachtagung-zahlungsverkehr-der-zukunft-update-19327/). Zeitgleich beginnt die Übergangsphase der ISO-Migration von SWIFT. Nach der Schweiz und Japan ist das TARGET2-(EUR)-System eines der nächsten Systeme, welches auf ISO20022 migriert. Im Jahr 2023 folgen Großbritannien und die USA, die die Umsetzung sicher genau beobachten werden.  

Der straffe Zeitplan der Konsolidierung wird neben dem Tagesgeschäft und weiteren Projekten, wie der ISO-Migration von SWIFT, eine Herausforderung für viele Banken, die ihre IT auf MX umstellen. Die Zeit ist schnell vergangen, und das zusätzliche Jahr war von weiteren Vorbereitungen geprägt. Die Fachkonzepte sind geschrieben, die Umsetzung und internen Tests im vollen Gange. 

 Ein kurzer Blick zurück

Bereits Anfang September wurde mit den Connectivity-Tests gestartet. Das E-Ordering für die technische Registrierung für die TARGET-Services erfolgte mit dem jeweiligen Network Service Provider (NSP): SWIFT oder SIA. Einige Banken konnten so schon Anfang Oktober z. T. eine U2A- oder A2A-Verbindung mit ESMIG herstellen. Jeder Teilnehmer ist dabei verpflichtet, seine Testergebnisse selbst der Bundesbank mitzuteilen. Diese Verpflichtung besteht auch, sollte die Anbindung über einen Dritten, beispielsweise durch ein SWIFT-Service-Büro, durchgeführt werden. Alle Nachweise waren bis zum 30. November zu erbringen. Die Anbindungstests an ESMIG waren bis zum 1. Dezember vorzunehmen.

Der Blick nach vorne

Mit Umsetzung der verbleibenden Meilensteine in den nächsten Monaten werden die Teilnehmer optimal auf die Migration vorbereitet. Das bedeutet aber auch, dass spätestens ab jetzt Mitarbeiter den Tests zugewiesen werden sollten, die mit höchster Priorität die Einhaltung dieser letzten Meilensteine sicherstellen. 

Die anstehenden Connectivity- und Community-Tests wurden in den Schulungen der Bundesbank im Oktober und November weiter beleuchtet. Mit Einreichung des Formulars für die Anlage der Stammdaten werden seitens der Bundesbank automatisch die notwendigen Einstellungen im Testsystem vorgenommen und Benutzerdaten angelegt. 

Vom Teilnehmer sind dann alle Stammdaten 1x für das Testsystem und danach 1x für das Produktionssystem zu erfassen. Es werden keine Stammdaten aus den bestehenden Systemen übernommen. Die entsprechenden Einträge können also im Testsystem verinnerlicht werden, und die Teilnehmer können sich mit den Anwendungen vertraut machen. 

Ab Anfang Dezember, nach Anlage der ersten Stammdaten aus dem Formular durch die Bundesbank, sind die weiteren Stammdaten durch den Teilnehmer verpflichtend anzulegen. Diese bilden die Grundlage für die weiteren „Mandatory Test Cases“, die ab dem 1. Januar 2022 durchgeführt werden können. Im November wurde für das „Operational Related Testing“ ein Information Guide for TARGET Participants zur Verfügung gestellt. Insgesamt 7 Monate können darüber hinaus selbstdefinierte Tests durchgeführt werden, um die Funktionalitäten aller TARGET-Services und deren Zusammenspiel zu prüfen. 

Eine Übersicht der wichtigsten Termine

  • Der nächste Meilenstein „Community Test“ startet Anfang Dezember und deckt das „Business Day Testing“ (inklusive T2S und TIPS) und das „Operational Related Testing“ (u.a. ECONSII) ab.

  • Im Jahr des Big Bangs 2022 findet in der Woche vom 28. März – 01. April das „Migration Week Rehearsal“ (MWR) statt. Diese Tests finden unter der Woche statt und stellen sicher, dass die Stammdaten korrekt eingestellt worden sind. Die Initialisierung der Salden auf T2 wird geprüft.

  • Die „Migration Weekend Dress Rehearsals“ (MWDR) finden am 8. Juli, 23. September und optional am 15. Oktober statt. Hier werden weitere Funktionalitäten am Wochenende geprüft. Für alle Teilnehmer sind die von der Bundesbank veröffentlichten Termine für das MWR und die MWDR verpflichtend.   

Von der Bundesbank werden zusätzlich Tutorials, d. h. Videos für die Testdurchführung, bereitgestellt. In den Schulungen wurde beispielsweise auf die unterschiedlichen Eingaben der U2A- und A2A-DN hingewiesen. Hier unterstützt das Tutorial und führt den Teilnehmer Schritt für Schritt durch die Eingaben. Für Fragen rund um das Thema Test hat die Bundesbank zusätzlich die E-Mail-Adresse targetservices-test@bundesbank.de zur Verfügung gestellt.

Testnachweise für verschiedene „Mandatory Tests“ sollten möglichst zusammen versendet werden. Einzelne Testnachweise können aber auch nachgereicht werden. Sollten Testfälle nicht durchgeführt werden können, weil diese für die Bank nicht relevant sind, z. B. wenn diese kein RTGS DCA besitzt, so ist in Abstimmung mit der Bundesbank auch kein Test durchzuführen. Eine schriftliche Erklärung zu dem einzelnen Fall muss der Bundesbank gegenüber erbracht werden.

Die Schulungen haben einen Teil der Komplexität aufgezeigt, die es jetzt umzusetzen gilt. Dabei reicht es nicht mehr aus, nur eine grobe Einschätzung in Form einer Ampelfarbe zum Stand der Umsetzung der TARGET2-Konsolidierung zu geben. Jetzt sind Nachweise der Testergebnisse gefragt, und es wird sich zunächst zeigen, wem die technische Umsetzung gelungen ist. 

Ungefähr ein Viertel bis Drittel der Zentralbanken, „Closely Monitored Participants“ und „Regularly Monitored Participants“ meldeten bisher gelb und sehen somit Risiken, die ihre TARGET2-Migration schwieriger gestalten könnten (https://www.ecb.europa.eu/paym/intro/events/shared/pdf/fs12/2021-09-30-focussession-t2t2sconsolidation-marketreadiness.pdf, https://www.ecb.europa.eu/paym/intro/events/shared/pdf/fs11/T2-T2S_Consolidation_Market_Readiness.pdf). Obwohl Ende August die internen Tests der Teilnehmer beendet sein sollten, sind viele Teilnehmer mitten in der Testphase. Eine Abgrenzung der einzelnen Meilensteine scheint daher schwierig. Alle TARGET2-Teilnehmer müssen besonders jetzt darauf achten, mit Beendigung des Meilensteins diesen auch erfüllt zu haben. 


Autorinnen: Viktoria Liehmann, Sabine Aigner


Startschuss für SEPA 2.0

SEPA 2.0, also die Umstellung der SEPA-Formate auf die ISO-Version 2019 des ISO-20022-Standards, startet im November 2021. Die drohende Dreifachumstellung – bestehend aus TARGET2-Konsolidierung, SWIFT MT auf MX und SEPA 2.0 – ist durch eine stufenweise Umstellung für SEPA 2.0 abgewandt. Die verbleibende Zeit gilt es nun für Vorbereitungen intensiv zu nutzen.

Hinweis: Unterscheidung zwischen DK und EPC gilt für Deutschland

*https://www.europeanpaymentscouncil.eu/what-we-do/other-schemes/sepa-request-pay-scheme

 

 

Die Umstellung der ab November geltenden Formatspezifikation der Deutschen Kreditwirtschaft betrifft zunächst die Echtzeitüberweisung (pain001.001.09), das Haben-Avis für eingehende SCT Inst auf Basis von ISO 2019 (camt.054.001.08) sowie die Formate für Kontoinformationen (camt.052, camt.053 und camt.054). Die Version 09 für Echtzeitüberweisungen stellt hierbei eine Erweiterung der SCT-Inst-Formate dar, da die bisherigen Spezifikationen (pain.001.001.03 ohne Uhrzeit und pain.001.001.08 mit Uhrzeit) unverändert gültig bleiben. Ein aufwändiger Austausch bestehender Formate an der Kunde-Bank-Schnittstelle mit umfangreicher Endkundeneinbindung wird hierbei also zunächst nicht erforderlich und auf einen späteren Zeitpunkt vertagt.

Im November 2022 wird die ISO-Version 2019 mit der Aufnahme der Formatspezifikation für Request to Pay (RTP) in das DFÜ-Abkommen fortgesetzt. Da dieser neue Standard zunächst optional ins DFÜ-Abkommen aufgenommen wird, ist eine Parallelaktivität zur TARGET2-Konsolidierung nicht explizit vorgegeben, sondern bleibt den Banken vorbehalten, die in die Verbesserung des Kundenerlebnisses investieren möchten.

Der größte Aufwand für die Einreichung durch Endkunden wird im November 2023 entstehen, da zu diesem Zeitpunkt die Umstellung der SEPA-Formate für Überweisungen und Lastschriften vorgesehen ist. Die verbleibende Zeit sollte für die Vorbereitung der dafür erforderlichen Kundeneinbindung genutzt werden, um eine Verschiebung von Umstellungszeitpunkten analog zur verpflichtenden SEPA-Einführung im Jahr 2014 zu vermeiden. 

Eine intensive Vorbereitung gemeinsam mit involvierten Kunden ist auch für das Finale der SEPA-2.0-Umstellung dringend geraten. Im November 2025 entfallen die Formate MT940 für Kontoinformationen vom Vortag und MT942 für tagaktuelle Kontoinformationen als DK-Standard. Kunden, die auf diese Informationen für ihre Buchhaltung angewiesen sind, müssen ab diesem Zeitpunkt die Kontoinformationen in den camt-Formaten in der Version ISO 2019 verarbeiten können, was auf der Endkundenseite einen erheblichen Aufwand und somit einer langen und intensiven Vorbereitung bedarf.

Die Veränderungen, die mit der Umsetzung von SEPA 2.0 einhergehen, beeinflussen das Zusammenspiel von Formaten in der Verarbeitungskette und somit auch die Funktionsweise von Zahlverfahren. Alle bankinternen Systeme, die änderungsrelevante Formate produzieren und/oder entgegennehmen, sowie die zuliefernden bzw. empfangenden Kunden sind maßgeblich betroffen. Das Risiko einer fehlerhaften Weiterverarbeitung oder auch das Risiko von Zahlungsablehnungen lässt sich durch eine frühzeitige Auseinandersetzung mit der Thematik begrenzen. Es können sogar vielmehr Mehrwerte geschaffen, Prozesse ganzheitlich optimiert und Systemfunktionalitäten durch Anpassung und Verzahnung von Banksystemen gesteigert werden.

Wir stehen aktuell in den Startlöchern für die SEPA-2.0-Umstellung. Der Aufwand für die Umstellung wird durch die skizzierte Entzerrung der Umstellungsschritte zwar insgesamt nicht geringer, aber zumindest besser planbar. Wir werden die Umsetzung eng begleiten und über aktuelle Entwicklungen an dieser Stelle berichten.  

Rebecca Stannull, Eric Waller