EUROPA

PSD2 - Chancen und Herausforderungen für Banken

Carsten Göbel, Foto: equensWorldline

Durch die Komplexität des Payment-Ökosystems ist die Implementierung der starken Kundenauthentifizierung nicht reibungslos, resümiert Carsten Göbel - daher die von der BaFin eingeräumte Kulanzfrist. Auch von den Banken fordert die BaFin noch ein Nacharbeiten bei den Schnittstellen. Nicht zuletzt wurde die starke Kundenauthentifizierung auch von Kriminellen genutzt. Bei all dem, so Göbel, sollten die Chancen der neuen Regelungen nicht vergessen werden. Denn die Schnittstellen zum Konto bieten auch Banken Möglichkeiten, neue Services im Personal Finance Management anzubieten. Red.

Seit dem 14. September ist die sogenannte starke Kundenauthentifizierung im elektronischen Zahlungsverkehr innerhalb des Europäischen Wirtschaftsraumes Pflicht. Seitdem reicht es nicht mehr aus, Transaktionen, oder den Zugang zum Online-Banking mit einem Passwort abzusichern. Vielmehr gilt es, mindestens zwei der drei vorgeschriebenen Faktoren Besitz, Wissen und Inhärenz, zu kombinieren. Der Faktor Besitz erfordert einen Gegenstand, den nur der Nutzer vorweisen kann, etwa eine bestimmte Chip-Karte. Der Faktor Wissen bedeutet, der Nutzer muss etwas, das nur er weiß, wie beispielsweise ein bestimmtes Passwort, zur Authentifizierung bereithalten. Es kann sich dabei auch um den Besitz eines Mobiltelefons handeln, an das eine TAN per SMS oder an eine App gesendet wird. TAN-Listen auf Papier sind nicht mehr zulässig. Der dritte Faktor Inhärenz erfordert, dass der Nutzer etwas zur Authentifizierung bereithält das ihm persönlich zu eigen ist, also beispielsweise der Fingerabdruck.

Die neuen elektronisch versendeten TANs sind an eine spezifische Transaktion gekoppelt, während die bisher verwendeten iTAN-Listen für beliebige Transaktionen verwendet werden konnten. Das macht das neue Verfahren wesentlich sicherer; Manipulation der Zahlungsinformationen würde die TAN ungültig machen.

Implementierung verläuft nicht reibungslos

Als Kompromiss zwischen Komfort und Sicherheit beim Bezahlen wurden einige Ausnahmefälle von der starken Kundenauthentifizierung im Zusammenhang mit Distanzzahlungen beschlossen: Hierbei handelt es sich um Zahlungen an vertrauenswürdige Zahlungsempfänger, beziehungsweise Aufnahme in eine Whitelist, Zahlungen an einen selbst, regelmäßig wiederkehrende Transaktionen, Kleinbetragszahlungen und solche, die im Unternehmensumfeld besonderes abgesichert sind sowie Zahlungen im Rahmen einer Transaktionsrisikoanalyse. Bei Zahlungen vor Ort gelten Ausnahmen für kontaktlose Zahlungen sowie an Fahrkarten- und Parkautomaten.

Durch die Komplexität des Ökosystems, die insbesondere bei Kreditkarten durch eine Vielzahl von involvierten und aufeinander abgestimmten Parteien gekennzeichnet ist, verläuft die Implementierung der starken Authentifizierung momentan jedoch nicht reibungsfrei. So wird seitens der BaFin die "alte" Autorisierungspraxis von Zahlungen im E-Commerce zurzeit noch geduldet.

Dies hat stark dazu beigetragen, dass es zum 14. September nicht zu größeren Verwerfungen kam. Dennoch werden noch einige Anstrengungen notwendig sein, bis E-Commerce Transaktionen nach den Vorgaben der PSD2 einerseits, für den Zahler aber auch weiterhin nachvollziehbar und reibungsfrei laufen können.

Die Regelungen zur starken Kundenauthentifizierung enthalten jedoch noch eine zweite große Neuerung für Zahlungsdienstleister. Banken sind nun verpflichtet, vertrauenswürdigen Dritten Zugriff auf die Transaktionsdaten ihrer Kunden zu geben, sofern diese zustimmen.

Möglichkeit für neue Angebote

Das klingt zunächst eher nach einer Gefahr, doch sollte man nicht vergessen, dass auch Banken solche Drittanbieter sein können, wenn sie im Auftrag ihrer Kunden auf Daten anderer Geldhäuser zugreifen können. Dadurch lassen sich neue Produkte für Kunden realisieren. Außerdem erfolgt dieser Zugriff über sichere Schnittstellen und ersetzt bisher genutzte, eher unsichere Verfahren, wie etwa Screen Scraping.

Dadurch, dass Banken nun auf die Girokontendaten ihrer Kunden bei anderen Instituten zugreifen können, lassen sich neue Personal-Finance-Management-Lösungen ins Produktportfolio aufnehmen, die dem Kunden Mehrwert bieten.

Zudem ist auch Potenzial vorhanden, Kundenprozesse, etwa in der digitalen Antragsstrecke, zu verbessern. Dies ermöglicht Banken bei Ratenkrediten zum Beispiel, das papierhafte Einreichen und Prüfen der Gehaltsnachweise durch einen digitalen Prozess am Bankkonto zu ersetzen. Auch Risiko- und Bonitätsprüfungen können so in Echtzeit noch durch Kontodaten angereichert werden.

Grundsätzlich ist zu erwarten, dass die Vorgaben der PSD2 hier nur den Anfang darstellen und Banken darüber hinaus neue Dienstleistungen auf Basis des gleichen Prinzips offener Schnittstellen entwickeln werden.

Schnittstellenstandards meist mit nationalem Fokus

Der Zugriff auf Daten anderer Institute basiert auf offenen Programmschnittstellen, sogenannten APIs (Application Programming Interfaces). Hierbei wurde auf die Definition eines Schnittstellenstandards aus Innovationsgründen verzichtet und dem Markt überlassen. Somit war abzusehen, dass sich mehrere Standards in Europa etablieren, die meisten mit einem nationalen Fokus.

Der bekannteste, und europaweit am meisten verbreitete, ist hierbei der NextGenPSD2 Standard der Berlin Group. Laut einer Studie waren Ende März 41 Prozent der Banken in Europa noch nicht so weit und hatten eine Sandbox als sichere Testumgebungen implementiert. Das allerdings war Voraussetzung, um seit dem 14. September von einem Fallback-Zugang befreit zu sein.

Schnittstellen auch über Plattformen

Auch hier wurde seitens der BaFin eine Verlängerung des Status quo eingeräumt. Somit sind Anbieter, die auf das Bankkonto zugreifen, bisher noch nicht verpflichtet, dies über die von der Bank angebotenen Schnittstelle zu tun. In der Konsequenz werden Banken auch an dieser Stelle noch nacharbeiten müssen, um die Regulierer davon zu überzeugen, dass ihre Schnittstellen marktgängig funktionieren.

Um sich diesen Aufwand zu sparen, können Banken und Unternehmen diese auch über Plattformen von Drittanbietern beziehen. Dies reduziert Zeit und Kosten, um mit einfach bedienbaren und innovativen Lösungen in den Markt zu gehen. Die Schnittstellen lassen sich dank dem offenen Standard an die individuellen Bedürfnisse verschiedener Organisationen anpassen. Auf den Open-API-Plattformen von Worldline können interne und externe Entwickler durch einfachen Zugriff auf standardisierte Interfaces kollaborieren.

Umstellung auch von Kriminellen genutzt

Die Umstellungen im Rahmen der starken Kundenauthentifizierung wurde augenscheinlich auch von krimineller Seite genutzt. Phishing-Mails mit unterschiedlichen gefälschten Absendern wie Paypal forderten Kunden zur Freigabe ihrer Kunden- und Zugangsdaten im Rahmen von PSD2 auf. In den E-Mails wird häufig mit der Einfrierung des Kontos gedroht, solle man der Aufforderung der Freigabe nicht nachkommen. Leider wissen noch immer nicht alle Kunden, dass diese Art der Abfrage von seriösen Instituten niemals angewendet wird und illegal ist.

Als Fazit lässt sich festhalten: An der PSD2 ist niemand wirklich vorbeigekommen, weder Banken noch Händler, wobei Letzteren noch eine Gnadenfrist eingeräumt wurde. Doch neben dem Fokus auf Compliance und neuen Regularien sollte man Geschäftschancen, die sich daraus ergeben, nicht vernachlässigen.

Die Direktive fördert Plattformökonomien und erlaubt Teilnehmern aus anderen Branchen, durch Mehrwertdienste den Banken die Beziehung zum Kunden streitig zu machen. Aus dieser Sichtweise bildet PSD2 einen Imperativ, in den Innovationswettbewerb mit einzusteigen, zum Beispiel in Kooperation mit einem international aufgestellten Payment Service Provider.

Carsten Göbel, Business Development Manager, equensWorldline SE Germany, Frankfurt am Main
Carsten Göbel , Business Development Manager, equensWorldline SE Germany, Frankfurt am Main
Noch keine Bewertungen vorhanden


X