Die Ausführungen hier bauen auf der allgemeinen Einführung der Rubriken Transaktionsmodell und 4-Parteien-Modell auf. Im weiteren wird auf die Eigenheiten des Kartengeschäftes fokussiert.
IDENTIFIKATION BEI KARTENZAHLUNGEN
Die Identifikation bei Kartenzahlungen erfolgt durch Auslesen einer Zahlungskarte. Die Zuordnung der anschließend ausgelösten Transaktion zum Kartenkonto erfolgt über die PAN. Die PAN ist eine technische Routing-Information. Ähnlich einer IP-Adresse oder einer Anschrift. Die PAN ist dann wiederum an ein Kartenkonto geknüpft (z. B. bei Kreditkarten) oder an ein klassisches Zahlungsverkehrskonto (z. B. bei einer girocard zum Girokonto).
Wegen der zentralen Bedeutung der PAN zur Auslösung von Kartenzahlungen ist sie ebenfalls wichtiger Aufsatzpunkt für diverse Betrugsmuster. Dem daraus folgenden Schutzbedarf versuchen die Kartenorganisationen durch verschiedene Maßnahmen im Rahmen der gemeinsamen Initiative PCI (Payment Card Industry) gerecht zu werden.
Zwei Mittel zum Schutz der Kartennummer sind der Einsatz moderner Chiptechnologie und die Tokenisierung der PAN, die im Folgenden weiter beschrieben wird.
TOKENISIERUNG IM KARTENGESCHÄFT (IDENTIFIKATION)
Die Tokenisierung ist eine der Schlüsseltechnologien bei der Digitalisierung des Zahlungsverkehrs. Seit Verbreitung des eCommerce gab es zahlreiche Angriffe auf Server von Online-Händlern und ihren Zahlungsabwicklern, durch die oft jeweils mehrere Millionen Kartendaten kompromittiert wurden. Durch Verpflichtung der Händler – also der Payees – auf die Umsetzung der PCI-Standards und der damit verbundenen (proprietären) Tokenisierung konnten bereits massive Kosteneinsparungen erzielt werden. Moderne Tokenisierungsansätze beinhalten zusätzliche interessante Funktionen für Payees und Payers.
HINTERGRUNDINFORMATIONEN TOKENISIERUNG (IDENTIFIKATION)
Im Automatengeschäft ersetzen Wertmünzen – Tokens – echte Münzen, um den Schaden durch Aufbruch zu reduzieren. Im digitalen Kartenzahlungsverkehr ist es ähnlich. Sensible Zahlungsinformationen wie die Kartennummer werden durch einen einmalig verwendbaren, ggf. an die Transaktion gebundenen Wert ersetzt. Wird die Transaktion mit einem Karten-Token gehacked, kann bspw. die ausgegebene Karte weiterverwendet werden.
So können umfangreiche Kartenaustauschprogramme aufgrund kompromittierter Payee-Server vermieden werden. Herstellung und Austausch einer einzelnen Karte verursachen inkl. Versand Kosten im mittleren einstelligen Euro-Bereich. Je angegriffener Payee-Infrastruktur, wurden regelmäßig mehrere Millionen Kartendaten erbeutet. Diese Daten wurden in professionell organisierten Netzwerken meist über das Darknet vermarktet. Hierdurch sind neben den Austauschkosten sowie hohen Betrugsschäden auch immense Betrugsbearbeitungskosten für die teilnehmenden PSP entstanden.
Neben einer höheren Netzwerksicherheit und einer finanziellen Risikoreduktion, sind weitere Vorteile erzielbar. So sind durch Kombination mit anderen Technologien, z. B. automatisierten Token-Updates oder Payment-Wallet-Angebote möglich, welche durch Einsatz aktueller Tokenisierungsservices die Lösung zahlreicher Transaktions- und Sicherheitsprobleme im Kartenzahlungsverkehr darstellen. Tokenisierung ist damit eine der Schlüsseltechnologien bei der Digitalisierung des Zahlungsverkehrs.
Mehr zum Thema
Tokenisierung.
AUTHENTIFIZIERUNG BEI KARTENZAHLUNGEN
Im Präsenzgeschäft erfolgt die Authentifizierung bei Kartenzahlungen inzwischen im Regelfall durch die Prüfung der Zahlungskarte selbst in Verbindung mit der Eingabe einer PIN (abnehmende Verbreitung der Unterschrift)
Im Fernabsatzgeschäft ist eine technische Prüfung der Echtheit der Zahlungskarte über den Chip nicht möglich. Neben Angabe der Kartennummer (PAN) wird zusätzlich auf den CVV2/CVC2 zurückgegriffen. Als statische Daten werden jedoch sowohl PAN als auch CVV2/CVC2 nicht mehr als ausreichend für eine Authentifizierung angesehen. Es erfolgt daher eine Zweifaktor-Authentifizierung im von EMV co spezifizierten 3DS2-Standard. 3DS2 dient als globaler Branchenstandard für Händler und die Banken der Karteninhaber bei der Authentifizierung von Fernabsatzzahlungen (eCommerce-Transaktionen).
Auch im Präsenzgeschäft können in Ausnahmefällen Transaktionen ohne PIN authentifiziert werden. Dies gilt besonders für niedrige, risikoarme Transaktionsbeträge.
Beitrag von Sam Boboev; Auch auf LinkedIn: https://www.linkedin.com/feed/update/urn:li:activity:7245522593745653761/
Kontaktlose Kartenlimits in jedem Land im Jahr 2024
Kontaktlose Zahlungen werden durch die Nahfeldkommunikationstechnologie (NFC) ermöglicht. Das Konzept wurde erstmals in den 1990er Jahren im Verkehrsnetz von Seoul eingesetzt. Im Jahr 2003 führte Transport for London das äußerst erfolgreiche Oyster-Kartenprogramm ein, um Papiertickets bei seinen Diensten zu ersetzen; dies wiederum inspirierte Barclaycard dazu, 2007 die erste kontaktlose Bankkarte für Kunden in Großbritannien anzubieten.
🌏 Großbritannien ist Vorreiter bei der Einführung des kontaktlosen Bezahlens in Europa
Trotz des weit verbreiteten Vertrauens der skandinavischen Länder in ihre Regierungen und Banken hat das Vereinigte Königreich das großzügigste Limit für kontaktlose Zahlungen in Europa - es ist auf 100 Pfund (120,65 Dollar) pro Transaktion im Jahr 2023 festgelegt. Nach Angaben von UK Finance wurden im Jahr 2020 9,6 Milliarden Kartenzahlungen ohne Chip und PIN getätigt - ein Anstieg um 12 % gegenüber dem Vorjahr. Kontaktlose Zahlungen machen inzwischen ein Viertel aller Transaktionen im Land aus, wobei die Kompatibilität mit Smartphones ein wichtiger Faktor für die Wahl der Verbraucher ist.
In der Europäischen Union werden die Höchstbeträge für Zahlungen von der Europäischen Bankenaufsichtsbehörde (EBA) geregelt, die während der Covid-19-Pandemie eine Anhebung auf 50 € (53 $) empfahl, um die soziale Distanzierung der Händler zu fördern. Kürzlich hat der europäische Gesetzgeber ein Verfahren gegen Apple eingeleitet, weil es durch die NFC-Technologie seines Dienstes Apple Pay gegen das Wettbewerbsrecht verstoßen hat.
🌏 Kanada hat das höchste kontaktlose Limit im Westen
Während die meisten Länder zum Schutz der Kunden vor Betrug ein Transaktionslimit einführen, sind die Vereinigten Staaten eines von zwei Ländern, in denen es keine solchen Beschränkungen gibt. Stattdessen können Händler nach eigenem Ermessen eine Obergrenze für Zahlungen festlegen. Das bedeutet, dass das praktische Limit bei Visa, Mastercard, Discover, American Express und JCB bei 10.000 US-Dollar liegt - dem Höchstbetrag einer Standard-Kreditkarte. Apps wie Google Pay und Apple Pay unterstützen jedoch Zahlungen von bis zu 50.000 US-Dollar - Kunden sollten also beim Kauf Vorsicht walten lassen.
Unsere Recherchen haben ergeben, dass Kanada neben den USA die höchsten Limits für kontaktlose Transaktionen in Nordamerika hat, wobei Verbraucher bis zu 250 C$ (185,80 $ oder 154,09 £) für eine einzige Zahlung ausgeben dürfen. Die großen Händler Visa und Mastercard arbeiteten mit der kanadischen Regierung zusammen, um die Obergrenze von 100 C$ (74 $ oder 62 £) während der Covid-19-Pandemie anzuheben und den Verbrauchern mehr Wahlmöglichkeiten bei der Bezahlung von Waren und Dienstleistungen zu geben.
🌏 Drei Länder des Nahen Ostens haben ein kontaktloses Limit von über 100 Pfund
Die Untersuchung zeigt, dass die Region drei der zehn höchsten kontaktlosen Transaktionslimits der Welt hat, was den Käufern mehr Freiheit bei ihren Einkäufen gibt. Jordanien (150 JD, 211,19 $ bzw. 175,14 £) liegt an der Spitze, begünstigt durch das aufstrebende Fintech-Zentrum des Landes. Ende 2021 führte Mastercard als erster Händler eine biometrische Karte ein und führte die Technologie in Zusammenarbeit mit der Jordan Kuwait Bank ein.
DISPOSITION/AUTORISIERUNG VON KARTENZAHLUNGEN
Die Autorisierung erfolgt im Kartengeschäft über das Terminal bei einem Händler in Echtzeit und führt zu einer Garantie der Zahlung durch das kartenausgebende Institut. Zusätzlich zur Disposition am Kartenkonto und zur Garantie der Zahlung werden bei der Autorisierung technische Aspekte berücksichtigt (z. B. Geldautomatenlimit, kryptographische Echtheitsprüfung der Karte).
CLEARING/SETTLEMENT BEI KARTENZAHLUNGEN
Die internationalen Kartenorganisationen saldieren täglich alle Transaktionen mit Karten eines kartenausgebenden Instituts und übermitteln den Betrag zum Ausgleich. Das kartenausgebende Institut bereinigt den Tagessaldo und ordnet die Einzeltransaktionen den entsprechenden Kartenkonten zu. Umgekehrt schüttet der PSP die Summe der Einzeltransaktionen an die jeweiligen Zahlungsempfänger aus.
Neben der Summe der Einzeltransaktionen werden in diesem Prozess ebenfalls Gebühren und reklamierte Transaktionen geregelt.
GEBÜHRENABRECHNUNG BEI KARTENZAHLUNGEN
Auf Seiten des Zahlers werden als Fixkosten bei den meisten Produkten Jahresgebühren berechnet. Diese beinhalten den Kartenpreis selbst und ggf. einen Preis für zusätzliche Leistungen wie etwa Zusatzversicherungen. Als variable Transaktionsgebühren sind etwa Auslandseinsatzentgelte, Währungsumrechnungsgebühren oder Gebühren für die Bargeldversorgung. In einigen Märkten beziehen kartenausgebende Institute Erträge durch versteckte Kosten. Dies wären bspw. eigene Umrechnungskurse für Fremdwährungen. Hier wurde in den letzten Jahren jedoch verstärkt regulatorisch eingegriffen.
Für den Zahlungsempfänger fallen die Kartenakzeptanz-Gebühren seines Acquirers an (sog. Disagio oder ICF++). ICF steht dabei für die sogenannte Interchange Fee, also der Gebühr, die vom Zahlungsempfänger an das kartenausgebende Institut abzuführen ist. Diese unterliegen in vielen Märkten seit zwei Jahrzehnten einer stärkeren Regulierung durch die Wettberbsaufsicht. Insbesondere bei großen Handelskunden wird die Interchange Fee sowie die Gebühren der Kartenorganisationen vom Acquirer ausgewiesen und durchgereicht. Dies mündet in einer höheren Transparenz der letztlich durch den Acquirer selbst in Rechnung gestellten Gebühren. Kleinere Händler werden meist mit Pauschalpreisen bedient (Disagio-Modell).
REKLAMATION BEI KARTENZAHLUNGEN
Eine Reklamation im Zahlungsverkehr beruht in der Regel auf einer Reklamation im dazugehörigen, materiellen Geschäft oder auf betrügerische Transaktionen. Meist sind Reklamationsvorgänge und –rechte in Geschäftsbedingungen zwischen Institut und Zahler/Zahlungsempfänger geregelt. Auch Intermediäre zwischen Instituten von Zahler/Zahlungsempfänger insbesondere die Kartenorganisationen legen spezifische Rahmenbedingungen für Reklamationen fest.
Grundsätzlich ist eine Reklamation im 4-Party-Model auf mehreren Ebenen denkbar und auch lösbar. Liegt die Reklamation im materiellen Geschäft zwischen Payer und Payee begründet, kann sie auf dieser Ebene gelöst werden. Adressiert der Payer die Reklamation über seinen Issuing PSP spricht man im Kartengeschäft von einem "Dispute".
Ein Dispute im Zusammenhang mit Kartenzahlungen bezieht sich also auf eine Unstimmigkeit oder eine fehlerhafte Transaktion, die auf der Kartenabrechnung eines Karteninhabers ausgewiesen ist. Dies kann verschiedene Situationen umfassen, wie zum Beispiel:
- Unbekannte oder unbefugte Transaktionen: Wenn eine Person eine Transaktion auf ihrer Kreditkartenabrechnung bemerkt, die sie nicht autorisiert hat oder von der sie nichts weiß, kann sie einen Dispute einreichen, um die Transaktion zu bestreiten und eine Rückerstattung zu erhalten.
- Doppelte Abbuchungen: Es kann vorkommen, dass eine Transaktion versehentlich zweimal auf der Kreditkartenabrechnung erscheint. In einem solchen Fall kann der Karteninhaber einen Dispute einreichen, um die doppelte Abbuchung anzufechten und eine Erstattung für den überschüssigen Betrag zu erhalten.
- Qualitätsprobleme oder Nichterfüllung der Vereinbarung: Wenn eine Person Waren oder Dienstleistungen mit ihrer Kreditkarte bezahlt hat und mit der Qualität der erhaltenen Produkte unzufrieden ist oder feststellt, dass die vereinbarten Bedingungen nicht erfüllt wurden, kann ein Dispute eingereicht werden, um eine Rückerstattung oder eine angemessene Lösung zu erhalten.
Um eine weltweit einheitliche Bearbeitung von Disputes sicherzustellen, reicht die Anlehnung an nationalen Rechtsstandards nicht aus. Weltweit operierende Kartenorganisationen pflegen daher umfangreiche Dispute-Regelwerke, zu deren Einhaltung sich Issuer und Acquirer vertraglich verpflichten. Die Schritte von der ersten Einreichung einer Belastung (Presentment) durch alle Eskalationsstufen einer Chargeback-Verarbeitung sind im folgenden exemplarisch aufgezeigt.
