260 Stellungnahmen zur PSD2: Streit über technische Standards (RTS) führt zu weiterer Verzögerung!
Die European Banking Authority (EBA) hat am 12. August 2016 ein Konsultationspapier sowie Entwürfe der RTS zur starken Kundenauthentifizierung sowie zur gemeinsamen sicheren Kommunikation unter der Payment Service Directive 2 (PSD2) veröffentlicht (mehr dazu hier). Seit Beginn des Konsultationsprozesses zu den RTS-Entwürfen sind ca. 260 Stellungnahmen bei der EBA eingegangen. Insbesondere hat auch der Ausschuss für Wirtschaft und Währung des Europäischen Parlaments (ECON) zahlreiche Kritikpunkte an den RTS-Entwürfen geäußert. Dies deutet darauf hin, dass es noch zu erheblichen Anpassungen bis zur Veröffentlichung der endgültigen RTS kommen wird.
von Dr. Christian Conreder, Rechtsanwalt & Manager, KPMG Rechtsanwaltsgesellschaft
Der ECON hat sich am 24. Oktober 2016 in den Konsultationsprozess zu den RTS Entwürfen der EBA zur starken Kundenauthentifizierung sowie zur gemeinsamen sicheren Kommunikation unter der PSD2 eingeschaltet. Die Stellungnahme des ECON enthält zahlreiche Kritikpunkte an den RTS-Entwürfen der EBA.Im Wesentlichen handelt es sich dabei um die folgenden Punkte
1. Bankenschnittstellen
Der ECON äußert seine Bedenken zu den Regelungen der RTS hinsichtlich den Bankenschnittstellen. Er kritisiert insbesondere, dass der RTS-Entwurf nicht vorsieht, dass das übliche Online-Banking als Zugang für dritte Zahlungsdienstleister ebenfalls zur Verfügung zu stellen ist („direct access“). Eine ausschließlich für dritte Zahlungsdienstleister geschaffene Schnittstelle, wie sie der RTS-Entwurf vorsieht, ist hingegen nicht ausreichend und verstößt nach Ansicht des ECON gegen die Vorgaben der PSD2.
2. Ausnahmen zur starken Kundenauthentifizierung
Die im RTS-Entwurf der EBA zur starken Kundenauthentifizierung enthaltenen Ausnahmen sind unklar und im Ergebnis zu eng. Insbesondere ist keine Möglichkeit vorgesehen, weitere Ausnahmen nach einer risikobasierten Analyse von bestimmten Zahlungspraktiken einzuführen. Außerdem muss nach Ansicht des ECON klargestellt werden, ob die Ausnahmen optional oder zwingend sind.
3. Schwellenwerte
Der ECON bemängelt schließlich die Schwellenwerte für die Ausnahmen zur starken Kundenauthentifizierung. Nach Ansicht der ECON ist der Schwellenwert von EUR 10 bei Fernzahlungen zu niedrig. Auch bei den kontaktlosen Zahlungen sind die Maximalbeträge ebenfalls anzuheben, bei deren Überschreitung eine erneute starke Kundenauthentifizierung gefordert wird.
Die kühle Reaktion der EBA – trotzdem Verschiebung
Die EBA hat auf die Stellungnahme des ECON in der vergangenen Woche reagiert und dargelegt, dass sie in vielen Punkten eine andere Ansicht vertritt:
1. Weder die PSD2 noch die darauf basierenden Vorschläge der EBA schreiben einen umfassenden direkten Zugang über alle Kundenkanäle für dritte Zahlungsdienstleister zu den Zahlungskonten bei kontoführenden Zahlungsdienstleistern vor. Nach Ansicht der EBA enthalte die PSD2 ohnehin keine konkrete Definition eines direkten Zugangs zu den Zahlungskonten oder eine Antwort auf die Frage, ob ein Zugriff via „Screen Scraping“ als direkter Zugang zu werten ist. 2. Eine Erweiterung der im RTS-Entwurf enthaltenen Ausnahmen nach einer risikobasierten Analyse würde den Anwendungsbereich der starken Kundenauthentifizierung zu stark einschränken. Vielmehr ist die risikobasierte Analyse als zusätzliches Sicherheitsverfahren neben der starken Kundenauthentifizierung zu sehen. 3. Die EBA wird jedoch kritisch prüfen, ob eine Veränderung der Schwellenwerte bei Fernzahlungen und bei kontaktlosen Zahlungen sinnvoll ist.Besonders beachtenswert für Banken und dritte Zahlungsdienstleister ist, dass es nach Angaben der EBA mit großer Wahrscheinlichkeit zu einer Verschiebung des Veröffentlichungsdatums der RTS um mindestens einen Monat kommen wird.
Die Vielzahl der Stellungnahmen zu den RTS-Entwürfen sowie die Ausführungen des ECON belegen, dass die RTS-Entwürfe zu den Anforderungen an eine starke Kundenauthentifizierung und gemeinsame sichere Kommunikation noch zahlreiche Schwachstellen aufweisen. Die Verschiebung der Veröffentlichung der RTS zeigt, dass wohl auch die EBA selbst noch einigen Anpassungsbedarf sieht. Banken und Dritte Zahlungsdienstleister sollten den Konsultationsprozess daher sorgsam beobachten und sich auf Änderungen bei den endgültigen Fassungen der RTS im Vergleich zu den Entwurfsfassungen einstellen.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/41385
Schreiben Sie einen Kommentar