PSD2: Was bedeutet der RTS-Draft (Regulatory Technical Standards) für Banken in der Praxis?
Seit Inkrafttreten der Payment Service Directive 2 (PSD2) im Januar 2016 sind die beiden größten Unbekannten die Details zu den Themen sichere Kommunikation und starke Authentifizierung. Mit der Auflösung dieser Unbekannten befasst sich das leicht verspätet veröffentlichte Consultation Paper zu den Regulatory Technical Standards (RTS), welches am 12. August 2016 veröffentlicht wurde. Trotz Verspätung erwartet die EBA, die finale Fassung wie geplant im Januar 2017 zu verabschieden. Die derzeit geplante Frist von 18 Monaten für die Implementierung beginnt somit im Januar 2017.
von Dennis Reuter, Capgemini Consulting
Da die Implikationen der RTS hauptsächlich Bereiche der IT betreffen, ist schon jetzt klar, dass eine detaillierte Analysephase zu Beginn der Implementierungsfrist von (im schlimmsten Fall, es wird diskutiert diese Frist zu verlängern) 18 Monaten nicht umsetzbar ist.Es lohnt sich daher bereits jetzt, einen Blick auf die Kernaussagen der RTS zu werfen, da ein hoher Reifegrad der bestehenden Vorgaben angenommen werden kann.”
Die verbleibende Zeit sollte genutzt werden, um sich mit den strategischen Fragestellungen der RTS jetzt zu befassen und die Implementierungsfrist zur echten Umsetzung der Anforderungen zu nutzen.
1. Sichere Kommunikation
Der erste wesentliche Teil der RTS spezifiziert die Anforderungen an eine sichere Kommunikation zwischen Banken, Drittanbietern und Nutzern. Unter dem Stichwort „sichere Kommunikation“ fällt auch die bedeutendste Implikation für die Bankenwelt: Der Zugriff Dritter auf Kundenkonten, der sogenannte „Access to Accounts“.
Kommunikationsschnittstelle
Die Regelungen fordern, dass Banken eine Infrastruktur für die sichere Kommunikation bereitstellen, um über eine Kommunikationsschnittstelle einen geschützten Datenaustausch zu Drittanbietern zu gewährleisten. Dies betrifft ebenfalls die Infrastruktur zur Identifizierung der Drittanbieter sowie zur Authentifizierung der Nutzer gegenüber der Bank. Die Schnittstelle muss Standards, wie etwa der ISO 20022, entsprechen sowie die gleichen Service Level wie das Online-Banking erfüllen.
Wie hoch der Anpassungsbedarf schlussendlich für Banken ausfällt, ist abhängig von der strategischen Entscheidung, welche Schnittstelle entwickelt wird, ob Dienstleister diese Aufgabe wahrnehmen (können) oder ob sogar mit gewissen Anpassungen das Online-Banking selbst genutzt werden soll.
Datenaustausch: Art der Information und Verschlüsselung
Drittanbieter haben zukünftig ein Recht auf die gleichen Informationen bezüglich Initiierung, Inhalt und Ausführung der Zahlungstransaktion bzw. Kontoinformationen wie Nutzer im Online-Banking selbst. Drittanbieter dürfen immer dann Daten abfragen, wenn der Nutzer dies wünscht. Positiv hierbei hervorzuheben ist, dass die EBA dem für Banken potenziell stark geschäftsschädigenden, kontinuierlichen Abfragen der Kontoinformationsdienste einen Riegel vorschiebt, da Abfragen durch die Drittanbieter selbst maximal zweimal pro Tag erfolgen dürfen.
Zudem fordern die RTS, dass bei diesem Datenaustausch keine sensiblen Zahlungsdaten angezeigt werden.”
Zur Wahrung der technologischen Flexibilität existiert auch keine Auflistung, was als sensibel gilt. Dies wird zwar zu Mehraufwand bei Uneinigkeit zwischen Drittanbietern und Banken führen, ist aber insgesamt positiv zu bewerten.
2. Starke Authentifizierung
Der zweite wesentliche Teil der RTS befasst sich mit den Regelungen zur starken Authentifizierung. Neben den Authentifizierungselementen an sich ist die fast genauso lange Liste an Ausnahmen ebenso relevant und wird im Folgenden vorgestellt.
Vorgehen & Elemente
Die Durchführung der starken Authentifizierung verlangt die Generierung eines nur einmalig verwendbaren Authentifizierungscodes. Die Errechnung des Authentifizierungscodes erfolgt über die Elemente Wissen, Besitz und Inhärenz. Banken müssen Anforderungen und Sicherheitsmerkmale der starken Authentifizierung definieren, die jedes Mal angewandt werden, wenn ein Nutzer auf ein Konto zugreift (stark eingeschränkt, siehe Kapitel „Ausnahmen“), eine elektronische Zahlung initiiert oder weitere Maßnahmen über einen Fernkanal ausführt. Hier haben gerade deutsche Banken nach ersten Analysen kaum Auswirkungen zu befürchten, da die MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) bereits so gut wie alle Anforderungen vorweggenommen hat. Auch dass Drittanbieter ihre eigenen Authentifizierungsverfahren anbieten dürfen, hat wenig Auswirkungen – so müssen diese doch vertraglich festgehalten und können somit von der Bank geprüft werden.
Zukünftig müssen Banken betrügerische Transaktionen bereits vor der finalen Autorisierung feststellen und stoppen. Für diesen Punkt ist zu erwarten, dass die EBA betrügerische Transaktionen in den finalen RTS näher definiert, wie Banken diese Transaktionen feststellen und wie sie damit weiter verfahren sollen.
Banken haben die Möglichkeit, mit verschiedenen Anbietern zusammenzuarbeiten, um die Anforderung zu erfüllen, dass Zahlungsinitiierung und –vorbereitung bei gegebener Unabhängigkeit und Trennung von Kanal auch auf einem Endgerät (z.B. Smartphone) erfolgen kann. Dies stellt keine Änderung zur aktuellen Situation dar, und unterstützt weiterhin Flexibilität und Innovation.
Auch Audits werden durch die neuen Regelungen verschärft. Um Risiken im Zusammenhang mit Betrug und unbefugtem Zugriff zu begrenzen, müssen Banken Maßnahmen erlassen, die die Vertraulichkeit und Integrität schützen. Diese Maßnahmen sind von unabhängigen und zertifizierten Auditoren zu dokumentieren und periodisch zu testen.
Ausnahmen
Die spezifizierten Ausnahmen in dem Entwurf der RTS sollen sicherstellen, dass trotz der hohen regulatorischen Anforderungen Nutzerfreundlichkeit, Flexibilität und Innovationsfähigkeit im Zahlungsverkehr weiterhin gewährleistet bleiben. Die meisten der genannten Ausnahmen stärken Drittanbieter bzw. Verbraucher und stellen Banken vor Herausforderungen.
So muss der Kontozugang nicht bei jedem Zugang stark authentifiziert werden, lediglich der erstmalige Zugang und der erste Zugang nach Ablauf einer Zeitspanne von einem Monat ohne Zugriff. Der letzte Punkt ist dabei bei vielen Banken noch nicht umgesetzt. Ebenfalls müssen Aktivitäten, bei denen es nicht zu einer Offenlegung von sensiblen Zahlungsinformationen kommt, nicht stark authentifiziert werden.
Die Anhebung der Betragsgrenzen für Kleinstbeträge, bei denen nicht stark authentifiziert werden muss, führt zur weiteren Ausweitung der Nutzerfreundlichkeit mit einer kleinen Einschränkung zu Gunsten der Sicherheit. Kontaktlose Kartenzahlungen am Point of Sale können zukünftig bis zu einer Summe von 50 EUR pro Transaktion (früher 30 EUR) ohne starke Authentifizierung durchgeführt werden, wenn der Wert aller Transaktionen ohne starke Authentifizierung 150 EUR nicht überschreitet. Die Herausforderung für Banken wird darin bestehen, eine starke Authentifizierung fordern, wenn diese bestimmte Summe überstiegen wird.
Zahlungsaufträge an (vom Nutzer zu definierende) vertrauenswürdige Personen, Serien von Überweisungen an denselben Empfänger oder Transaktionen zwischen zwei Konten des Nutzers bei einer Bank erfordern keine starke Kundenauthentifizierung. Banken können damit größtenteils ihre bestehenden Regelungen weiterverwenden.
Fazit: Erfreuliche Punkte
Zusammenfassend verdeutlicht diese Version der RTS erfreulicherweise mehrere zentrale Punkte im Vergleich zu den bisherigen Fassungen der RTS sowie der PSD 2 im Allgemeinen:
1. Über die Access-to-Account Schnittstelle dürfen Drittanbieter genau die Informationen abfragen, die auch Nutzer einsehen können2. Kontoinformationsdienste dürfen ohne spezielle Anfrage des Nutzers nur zwei Kontoabfragen pro Tag durchführen
3. Prüfungen auf betrügerische Transaktionen müssen immer vor der Ausführung der Transaktion geschehen, diese und erweiterte Maßnahmen sind von externen Auditoren zu prüfen
4. Smartphones dürfen weiterhin unter bestimmten Bedingungen alleine als Träger einer Zwei-Faktor Authentifizierung dienen
5. Zugriff auf Kontoinformationen unterliegt nur in sehr wenigen Ausnahmefällen der starken Authentifizierung
6. Kontaktlose Zahlungen bis 50 EUR je Einzelumsatz können weiterhin “schwach” authentifiziert werden, erst ab konsekutiven Umsätzen von 150 EUR muss zwingend eine starke Authentifizierung erfolgen
Insgesamt gesehen bleiben einige Fragen wie „wie wird der kumulative Umsatz von 150€ bei kontaktlosen Zahlungen gezählt?“ ungeklärt. Den Erläuterungen der EBA nach wird sich dies in den meisten Fällen aber in der finalen Version auch nicht ändern, um Flexibilität für zukünftige technologische und produktspezifischen Entwicklungen zu gewährleisten.
Dies unterstreicht den Punkt, dass in der finalen Version der RTS im Januar keine fundamentalen Änderungen mehr zu erwarten sind. Gerade die oben erwähnten sechs Punkte sind bereits so ausdetailliert, dass sie als gute Grundlage für strategische Diskussionen genutzt werden können. Gleiches gilt für die zentralste Herausforderung der PSD 2 RTS an sich, die Access-to-Account Schnittstelle, für die ebenfalls kein großer Wandel in den nächsten Monaten erwartet wird.
Mit Blick auf die kurze, verbleibende Zeitspanne bis zur Umsetzung sei damit abschließend allen Betroffen eine schnellstmögliche Auseinandersetzung mit den strategischen Implikationen für das eigene Unternehmen empfohlen. Wir werden uns bei Veröffentlichung der finalen Version der RTS noch einmal mit einem neuen Artikel zu den Änderungen im Vergleich zu dieser Version und den finalen Implikationen äußern.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/40450
Schreiben Sie einen Kommentar