IT-Infrastruktur und Services für Banken: Volle Datenhoheit bei höchster Sicherheit und Verfügbarkeit. noris network
Anzeige

Agentic Pay zwingt neu zu modellieren – und das ist gut so

Wenn KI-Agenten nicht nur beraten, sondern selbst kaufen und bezahlen, kollidiert Autonomie mit einem Grundprinzip des Zahlungsverkehrs: Die starke Kundenauthentifizierung ist heute pro Transaktion gedacht. In einem agentischen Umfeld, in dem potenziell viele kleine Zahlungen im Hintergrund laufen, wird genau dieses Modell zum Engpass – technisch, operativ und regulatorisch.

von Jan von Ketelhodt, Vice President, Mastercard Products and Solutions DACH

Die Konsequenz: Die Autorisierung muss sich von der einzelnen Zahlung lösen und in eine rechtlich bindende Delegation verlagern. Einmal sauber gesetzt, maschinenlesbar und kontrollierbar, kann ein Agent innerhalb klarer Grenzen handeln – abgesichert durch serverseitige Tokenisierung, Policies und eine Governance-Schicht, die jederzeit widerrufen und geprüft werden kann.

Mit Agent Pay hat Mastercard im April 2025 eine netzwerkweit einsetzbare Infrastruktur für agentische Zahlungen vorgestellt – ausdrücklich keine neue Wallet und keine eigene KI, sondern eine Orchestrierungsschicht, die Agenten verifiziert, Aufträge durchsetzt und Zahlungen tokenisiert. Dass dieses Modell praktisch funktioniert, zeigt die erste produktive, regulierte KI-Agentenzahlung über eine Live-Bankinfrastruktur: Anfang 2026 haben Banco Santander und Mastercard eine End-to-End-Transaktion in Europa umgesetzt. Genau an dieser Stelle beginnen die Chancen – und die echten Herausforderungen für Payment, IT und Legal.

Das Mastercard Developers Agent Toolkit verbindet KI-Assistenten und IDEs über das Model Context Protocol (MCP) mit Mastercard Developers.
Mastercard

Vom Transaktionsereignis zur rechtlich bindenden Delegation

Im klassischen E-Commerce gilt eine simple Regel: Eine Zahlung gleicht einem Autorisierungsereignis. Der Kunde klickt, authentifiziert sich, die Transaktion wird autorisiert. Agentic Pay bricht dieses Modell auf. Der kritische Unterschied:

Die Auftragserteilung liegt nicht mehr bei der einzelnen Zahlung, sondern beim Setup eines Auftrags.

Ein Nutzer definiert einmalig „Mein Agent darf Einkäufe bis 100 Euro autonom durchführen. Kategorien: Mode, Lebensmittel. Zeitraum: unbegrenzt.“ Das ist nicht eine Transaktion, sondern eine Delegation mit rechtlicher Gültigkeit. Jede nachfolgende Zahlung läuft innerhalb vordefinierter Parameter ab.

Off-Session Agentic Zahlungen brauchen delegierten Zugriff auf maschinenlesbare Aufträge

Das Kernproblem für die Infrastruktur: Es entsteht ein neuer Prozessschritt zwischen Kunde und Zahlung, der Trusted Agent Layer – eine Spezifikation, die derzeit über GitHub erreichbar ist. Die Komponente muss Agent-Verifikation, Auftrags-Validierung, Transaktions-Kennzeichnung und vor allem Tokenisierung mit Off-Session-Ausführung leisten. Off-Session bedeutet: Payments laufen serverseitig ab, ohne dass der Kunde sein Smartphone in der Hand halten muss. Das widerspricht klassischen 2-Faktor-AuthE oder App Modellen mit biometrischer Freigabe. Es braucht delegierten Zugriff und maschinenlesbare Aufträge – und genau das bringt viele bestehende Systeme an ihre Grenzen.

Autor: Jan von Ketelhodt, Vice President, Mastercard Products and Solutions DACH
Jan von Ketelhodt ist Vice President Products & Solutions für die DACH-Region bei Mastercard und verantwortet er die kommerzielle Strategie, die Kundenentwicklung sowie das Wachstum durch plattformbasierte Lösungen. Jan verfügt über mehr als zehn Jahre Erfahrung in leitenden Positionen in den Bereichen Issuing, Acquiring und Produktmanagement.
Nutzerinnen und Nutzer beauftragen ihre Agenten einmalig – wie man einem Freund die Schlüsselkarte gibt, aber nur für bestimmte Räume. Der Agent erhält dadurch einen digitalen Token, mit dem er autonom handeln darf, ohne das Passwort des Nutzers zu kennen. Das ist sicherer als klassische Passwort-Übergaben und genau das, was Off-Session Zahlungen erst praktikabel macht.

Das P2D2/SCA-Paradoxon: Autonomie versus Transaktions-SCA

Die europäische Zahlungsrichtlinie PSD2 schreibt vor, dass jede Transaktion mit starker Authentifizierung, sogenannte Strong Customer Authentication oder SCA, abgesichert sein muss. Hier liegt das Paradoxon: Wenn jede Zahlung eine Bestätigung braucht, ist der Agent nicht autonom. Löst er ohne Bestätigung aus, verletzt er die PSD2-Vorgaben. Regulatorisch ist das noch nicht durchgehend geklärt, denn Merchant-Initiated-Transactions sind Merchant-zentriert, Agentic Pay ist Nutzer-Agent-zentriert.

Technisch ist die Richtung eindeutig: Starke Kundenauthentifizierung auf Transaktionsebene skaliert nicht für autonome Systeme, welche mehrere Aufträge zeitverzögert ausführen. Die Lösung liegt in der Verlagerung von SCA in die Governance‑Schicht: einmalige Authentifizierung beim Auftrags‑Setup, serverseitig kontrollierte Tokenisierung und laufende Regel‑Validierung zur Laufzeit und zum Verifiable Intent. Zahlungsnetzwerke müssen dabei Aufträge, Tokens und Haftungslogik einheitlich abbilden. Ohne diese Verschiebung bleibt Agentic Commerce regulatorisch blockiert — und operativ nicht autonom. Hier ist eine formelle Klarstellung seitens der Europäischen Kommission bzw. der Europäischen Bankenaufsicht (EBA) erforderlich. Ohne diese Klarstellung könnten einige nationale Regulierungsbehörden für jede Zahlung eine starke SCA verlangen.

Erste produktive KI-Agentenzahlung in Europa

Die Banco Santander führte Anfang März 2026 die erste vollständig durch einen KI-Agenten ausgeführte End-to-End Zahlung in Europa in einer kontrollierten Umgebung auf Basis von Mastercard Agent Pay durch. Diese stellt einen bedeutenden Meilenstein in der Anwendung von KI-Systemen dar. Die Transaktion wurde über die Live-Zahlungsinfrastruktur von Santander abgewickelt, um das End-to-End-Betriebs- und Kontrollsystem unter realen Bedingungen zu testen. Dadurch wird es KI-Agenten ermöglicht, Zahlungen im Namen von Kunden innerhalb vordefinierter Grenzen und Berechtigungen auszuführen. In diesem Zusammenhang sei auch nicht unerwähnt, dass Mastercard Payment Passkeys mittlerweile ein Gold Standard in der User Experience sind.

Agentic Tokens als Schlüssel zur echten Autonomie

Das kritische Element wird Tokenisierung mit serverseitiger Hoheit. Network-Tokenisierung bei Karten funktioniert, denn Netzwerke wie Mastercard haben seit Jahrzehnten eine entsprechende Infrastruktur. Account-to-Account-Verfahren (A2A-Verfahren), also Zahlungen direkt von Bankkonto zu Bankkonto, sind dagegen komplexer: Wenn jede SEPA-Zahlung eine TAN braucht, kann von Autonomie nicht die Rede sein. Der Token muss serverseitig verwaltbar sein. Das bedeutet: Netzwerk-Tokenisierung statt Geräte-Bindung, flexible API-Steuerung, maschinenlesbare Auftragsreferenzen und eindeutige Transaktions-Kennzeichnung. Mastercard setzt hier auf Agentic Tokens – eine Erweiterung der bestehenden Tokenisierung.

Haftung, Regulierung und Vertrauen als zentrale Bewährungsprobe

Hier wird es regulatorisch kritisch: Wer haftet? Der AI-Act klassifiziert Agentic Commerce als High-Risk-System.

Die neue Produkthaftungsrichtlinie macht Software zum Produkt – ein fehlerhafter Agent ist ein klarer Fall von Produkthaftung. Doch die PSD2 definiert nicht, ob agentische Zahlungen „vom Zahler veranlasst“ sind. Die DSGVO wirft Fragen auf, wer letztlich der Verantwortliche ist. Für Issuer-Banken heißt das konkret: sie brauchen klare AGBs, die agentische Transaktionen rechtlich erfassen. Denn hier zeigt sich genau die Kernherausforderung von Agentic Pay: Vertrauen, Haftung und Nachvollziehbarkeit. Hier wird es ein Authentication Framework für Agent Pay geben, das auch ein Issuer Enablement beinhaltet. Die Issuer von Mastercard in Deutschland sind technisch gesehen hier bereits einsatzfähig.

Agentic Pay ist Architekturarbeit und keine Feature-Diskussion

Für ITler bedeutet das: Agentic Pay ist keine zusätzliche Funktion, sondern eine Architekturentscheidung. Im Zentrum steht Tokenisierung mit serverseitiger Kontrolle: Können sie delegierbare, kontrollierbare Zahlungsidentitäten bereitstellen, die sich unabhängig vom Endgerät nutzen und widerrufen lassen? Dafür müssen Aufträge so definiert sein, dass Systeme diese verstehen und durchsetzen können – maschinenlesbar, eindeutig und prüfbar. Gleichzeitig muss starke Kundenauthentifizierung aus der Transaktion heraus in das Auftrags-Setup und dessen Governance verlagert werden. Und schließlich braucht es einen Trusted-Agent-Layer, der Agenten verifiziert, Aufträge validiert, Token verwaltet und jede Ausführung nachvollziehbar macht. Kurz: Agentic Commerce ist ein gemeinsames Thema für Payment, IT und Legal – nicht Innovationstheater, sondern neue Architektur.

Die entscheidende Frage ist daher nicht, ob Agenten zahlen werden, sondern ob ihre Systeme Delegation sauber abbilden können. Wer früh klare, maschinenlesbare Aufträge, tokenisierte Zahlungsidentitäten mit serverseitiger Hoheit und Off-Session-Fähigkeiten aufbaut, wird in Agentic Commerce die Regeln definieren – als Gatekeeper des Ökosystems. Wer das verschleppt, bleibt auf die Rolle des reinen Zahlungsprozessors reduziert.
Jan von Ketelhodt, Vice President, Mastercard Products and Solutions DACH

Mehr Informationen zu Mastercard Agent Pay

Die fünf Fundamente von Mastercard Agent Pay:
Verifizierte Agenten & klare Identitäten: Nur registrierte, geprüfte KI-Agenten dürfen Zahlungen auslösen – eindeutig identifizierbar im Mastercard-Netzwerk

Tokenisierung als Sicherheitsanker: Statt sensibler Zahlungsdaten kommen zweckgebundene, kontextbezogene Tokens zum Einsatz

Regelbasierte Mandate: Zahlungen basieren auf explizit definierten Budgets, Regeln und Freigaben nachvollziehbar – vor, während und nach der Transaktion

Starke Authentifizierung & Betrugsschutz: Biometrische Verfahren, KI-gestützte Betrugserkennung und etablierte Dispute-Prozesse schützen Verbraucher und Unternehmen

Technologiepartnerschaften: Zusammenarbeit mit Microsoft, IBM, Google, PayPal, Acquirern und Checkout-Plattformen zur Skalierung von Agentic Commerce