Die Haftungsverschiebung: Warum Tokenisierung Ihren Risk-Manager glücklich macht
Sicherheit im Zahlungsverkehr ist ein ständiges Wettrüsten. Lange Zeit waren EMV-Chips das Maß aller Dinge. Im E-Commerce und Mobile Payment ist der Token die neue Firewall. Der Sicherheitsgewinn basiert auf zwei Säulen: Entwertung der Daten und Domain Restriction.
Ein abgefangener Token ist für einen Hacker praktisch wertlos. Warum? Weil ein Token, der für ein bestimmtes iPhone generiert wurde, kryptografisch an dieses Gerät gebunden ist. Er kann nicht einfach auf einen Rohling kopiert oder für eine Online-Bestellung am PC genutzt werden. Das senkt das Betrugsrisiko bei „Card Present“-Transaktionen (via Handy) drastisch.
Doch für Banken gibt es ein noch gewichtigeres Argument: Den Liability Shift (Haftungsumkehr).
Die Schemes belohnen sichere Technologien. Bei Wallets wie Apple Pay oder Google Pay ist die Authentifizierung des Nutzers (via FaceID, TouchID oder PIN) in das Gerät integriert. Dies gilt als „Strong Customer Authentication“ (SCA).
Für den Issuer bedeutet das in vielen Fällen: Wenn eine tokenisierte Transaktion durchgeführt wird, liegt die Beweislast und Haftung im Betrugsfall oft nicht mehr bei der Bank, sondern beim Wallet-Provider oder Händler, falls diese die Sicherheitsstandards nicht einhalten. Zudem sind die Betrugsraten bei tokenisierten Transaktionen historisch gesehen signifikant niedriger als bei klassischen PAN-Eingaben.
Aber auch hier gilt: Technik allein reicht nicht. Die Parameter für die Betrugserkennung müssen angepasst werden. Ein Token-Verhalten unterscheidet sich von einem Karten-Verhalten. Wer seine alten Fraud-Regeln 1:1 auf Token anwendet, wird mit „False Positives“ kämpfen – also echten Kunden, deren Zahlung fälschlicherweise abgelehnt wird. Die Feinjustierung dieser Systeme ist ein kritischer Erfolgsfaktor für jedes Token-Projekt.