Elektronische Zahlungssysteme haben bargeldlose Zahlungen enorm vereinfacht und die nächste Evolution im Zahlungsverkehr ist bereits in vollem Gange: «Instant Payments» reduzieren die Abwicklungsvorgänge auf wenige Sekunden. Erfahren Sie in diesem Blogbeitrag, welche Chancen und Risiken die geplante Einführung des neuen Standards SIC5 der Schweizerischen Nationalbank im Zahlungsverkehr mit sich bringt und was dies für Sie als Finanzdienstleister heisst.
Erste Instant-Payments-Lösungen gibt es bereits und nutzen wohl auch Sie: Twint. Bis zu 5000 Schweizer Franken können so sofort von Handy zu Handy überwiesen werden. Was die meisten Nutzer aber nicht wissen: Das Geld wird nur vordergründig in Echtzeit überwiesen. Im Hintergrund gehen die Banken der beteiligten Parteien in Vorleistung. Die Bank des Empfängers schreibt diesem den Betrag gut, bis sie das Geld schliesslich einen oder zwei Tage später von der Bank des Auftraggebers erhält.
Instant Payments werden den Zahlungsverkehr künftig noch bequemer machen. In Verbindung mit dem Internet of Things (IoT) sind automatisierte Zahlungsprozesse denkbar: Autos bezahlen Leasingraten selbstständig oder Maschinen begleichen Rechnungen für Reparaturen umgehend. Solche Visionen sind eng verknüpft mit «Request to Pay», der modernen Art der Zahlungsaufforderung. Nebst solchen Chancen bringt die neue Technologie jedoch auch Risiken mit sich – insbesondere betrügerische Zahlungen. Die ersten Erfahrungen zeigen es: In allen Ländern, die Instant Payments bereits eingeführt haben, nahmen die Betrugsfälle zu.
Damit Instant Payments auch mit grösseren Beträgen und über Landesgrenzen hinweg funktionieren, müssen sich sowohl die Clearing-Systeme der Staaten als auch die Infrastrukturen der Banken weiterentwickeln. In EU-Ländern sind Instant Payments seit dem Jahr 2019 über SEPA und die Finanzrichtlinie PSD2 umgesetzt. Auch in der Schweiz kommt die Beschleunigung des Zahlungsverkehrs ins Rollen. Die Schweizerische Nationalbank (SNB) entwickelt das Swiss Interbank Clearing System (SIC) momentan so weiter, dass die Abwicklung von Instant Payments ab August 2024 möglich ist. Instant Payments und der damit verbundene Zahlungsstandard SIC5 sind verpflichtend.
SIC5 der SNB ist ein Zahlungssystem, welches es ermöglicht, Geldbeträge in nahezu Echtzeit zwischen Banken in der Schweiz und Liechtenstein zu überweisen. Es ist für die Finanzbranche relevant, da es die Geschwindigkeit und Effizienz von Zahlungen erhöht und es Banken ermöglicht, schneller und zuverlässiger auf die Bedürfnisse ihrer Kunden einzugehen. SIC5 wird dabei gestaffelt eingeführt. Ab August 2024 müssen die grössten Schweizer Banken fähig sein, Instant Payments zu verarbeiten, bis 2026 sollen die restlichen Banken folgen.
SIC5 kann als eigentlicher «Game Changer» betrachtet werden, da es die Art und Weise, wie Zahlungen in der Schweiz durchgeführt werden, grundlegend verändert. Es ermöglicht Unternehmen und Verbrauchern, Zahlungen in Echtzeit durchzuführen, anstatt auf die Verarbeitung von Zahlungen über mehrere Tage oder sogar Wochen warten zu müssen. Der heutige Standard bei Inlandzahlungen ist die Beauftragung mit Ausführung am Folgetag. Darüber hinaus sind mit Expresszahlungen auch taggleiche Überweisungen möglich. Instant Payments sorgen für deutlich mehr Tempo: Verzögerungen aufgrund von Feiertagen und Wochenenden fallen weg, denn Instant Payments werden jederzeit ausgeführt – 24 Stunden am Tag und 365 Tage im Jahr. Der Zielwert für die Transaktionszeit liegt bei 10 Sekunden.
Aber wie funktioniert dieses System? SIC5 nutzt für die Übertragung von Nachrichten zwischen den beteiligten Banken vorhandene Schnittstellen, beispielsweise der SWIFT. Die bestehende Infrastruktur muss aber die neuen Herausforderungen, die sich aus 24/7 ergeben, abdecken. Hier ist mit erheblichen operationellen Investitionen zu rechnen.
Die SNB ist die primäre Aufsichtsbehörde für das SIC5-System. Allerdings gibt es eine gewisse Abhängigkeit mit internationalen Regulierungsstandards und Best Practices. Die SNB prüft daher in regelmässigen Abständen, ob das SIC5-System den Anforderungen der EU-Regulierungen entspricht, damit die Interoperabilität und die Nutzung von SIC5 in Europa ermöglicht und sichergestellt wird.
Für Banken ist die Umsetzung von Instant Payments mit erheblichen Aufwänden verbunden. Denn um Kunden IP anbieten zu können, müssen Finanzinstitute mitunter umfangreiche und komplexe Änderungen an Infrastruktur, den Applikationen und Kernbanksystemen sowie den internen Abläufen vornehmen. Einerseits sind neue fachliche Anforderungen für IP umzusetzen, beispielsweise in Form der Anbindung an SIC5 mit dem dazugehörigen Kommunikationsprotokoll (inklusive Security Framework, Nachrichtentypen sowie Änderungen an den Risk- und Compliance-Screening-Prozessen). Andererseits müssen die zugrundeliegenden Systeme auf Bankenseite strengere nicht-funktionale Anforderungen erfüllen, da Transaktionen innerhalb kürzester Zeit prozessiert werden und eine 24/7/365-Verfügbarkeit sichergestellt werden muss.
Diese grundlegenden Anforderungen werden zu Änderungen führen, die eine Mehrzahl von Systemen in der IT-Landschaft eines Finanzinstituts betreffen, sowie zu Änderungen der betrieblichen Prozesse, die sich auf mehrere Geschäftsbereiche auswirken. Die meisten Funktionen, die für IP angepasst werden müssen, sind sowohl für die Verarbeitung von ausgehenden als auch von eingehenden Zahlungen relevant. So ist es beispielsweise für beide Fälle genauso erforderlich, das Protokoll von SIC5 zu unterstützen und die erforderlichen Echtzeitbuchungen und Risk- und Compliance-Checks durchzuführen.
Somit hat SIC5 weitreichende Auswirkungen auf die Architektur, Prozesse, Technologien und auch auf die (Cyber-Security-)Kontrollen, da es die Art und Weise, wie Zahlungen verarbeitet werden, grundlegend verändert. Wir haben die wichtigsten Punkte für Sie zusammengefasst:
Schnelle Verarbeitung
Hohe Leistung
Risiko- und Liquiditäts-Management
Compliance
Technologie-Anpassungen
In Anbetracht der Anpassungen, die eine reibungslose Umsetzung der IP-Fähigkeit zu einem komplexen Unterfangen machen, wird schnell klar, dass ein Projekt dieser Grössenordnung einen erheblichen Durchlauf hat. Um fristgerecht bis 2024 IP-fähig zu sein, ist eine zeitnahe Analyse notwendig. Aufgrund der Anzahl und Komplexität der Änderungen – sowohl technisch, organisatorisch als auch prozessual – bedarf es umgehend eines Überblicks über die auf eine IP-Bereitschaft abzielenden Eingriffe. Ausgehend von einer SIC5-Verfügbarkeit und einem IP-Go-live 2024 ergibt sich der Handlungsbedarf und es ist sinnvoll, bereits jetzt wichtige Entscheidungen zu treffen, so dass ein Start eines solchen Transformationsprojekts rechtzeitig terminiert werden kann.
Auf Basis der Empfehlungen zur Endpunktsicherheit von Grossbetragszahlungssystemen der Bank für Internationalen Zahlungsausgleich (BIZ), hat die SNB neue Anforderungen erarbeitet, welche für alle SIC-Teilnehmenden gelten.
Das Framework «Endpunktsicherheit im SIC-System» – Version 2024 (1.00 vom 05.10.2022) definiert eine Reihe von verbindlichen, sprich obligatorischen und einigen empfohlenen Sicherheitsmassnahmen für die Teilnehmenden am SIC-Netzwerk. Diese dienen dazu, einen durchgehenden Grundschutz zu etablieren. Empfohlene Massnahmen basieren auf Best Practices und sollten, wenn möglich, berücksichtigt werden. Die Einhaltung muss jährlich im Rahmen einer «Self-Attestation» von einer unabhängigen Stelle überprüft werden. Dies kann entweder eine interne Kontrollstelle sein (z.B. interne Revision; Risk oder Compliance Manager) oder ein qualifizierter externer Dienstleister (z.B. InfoGuard).
InfoGuard unterstützt in den unterschiedlichen Phasen – von der Beratung, Planung und dem Design über die kontinuierliche Entwicklung und Optimierung bis hin zum Schutz und der Überprüfung der SIC-Infrastruktur (technisch, organisatorisch und prozessmässig). Darüber hinaus bieten wir ein dediziertes «SIC Assessment» zur Überprüfung der Compliance mit den im Framework definierten Massnahmen. Dies kann alleine oder durch die nahe Verwandtschaft mit der SWIFT-konformität in Kombination mit einem SWIFT CSCF Assessment erfolgen.
IP für Banken wird bald auch in der Schweiz Realität und die Entwicklungen in anderen Ländern zeigen, dass Kunden dies schnell als «New Normal» akzeptieren und fordern werden. Für Banken bedeutet die SIC5-readiness einen umfassenden Umbau in den IT-Landschaften und Prozessen. Deshalb gilt es sich, zeitnah für eine Strategie für die Einführung von IP zu entscheiden und den Gestaltungsraum aktiv zu nutzen, um die Strukturen und technischen «Altlasten» zu bereinigen. Partner wie die InfoGuard können Sie dabei tatkräftig unterstützen – wir freuen uns über Ihre Anfrage.