Der große PSD2/XS2A-Test: Welche Banken könnten auf eine Ausnahmegenehmigung hoffen?
Seit etwas mehr als einem Jahr ist die zweite Stufe der PSD2 in Kraft: Seitdem gilt neben der starken Kundenauthentifizierung auch die Öffnung der Zahlungskonten für regulierte Drittanbieter (TPP) über die dedizierten Schnittstellen. Wer eine funktionale Schnittstelle anbieten kann, dem könnte eine Ausnahmegenehmigung seitens der BaFin erteilt werden. Wird diese erteilt, greifen Drittanbieter nur noch über die dedizierte Schnittstelle zu. Wir haben die PSD2/XS2A-Schnittstellen getestet. Und es gab einige Überraschungen!
Noch im Herbst 2019 war keines der Institute soweit, performante Schnittstellen anzubieten, die sich in punkto Qualität und Funktionalität mit den bisher genutzten Verbraucher-Schnittstellen messen lassen konnten. Anfang 2020 sind dann die ersten Banken und Kreditinstitute (unter anderem Sparkassen, Norisbank und Volksbank-Raiffeisenbanken) mit ihren APIs in die Marktbewährungsphase gestartet.Wir haben gemeinsam mit FinTecSystems den Test seit einem Jahr vorbereitet und jetzt die am Markt verfügbaren Schnittstellen von Großbanken und Neo-Banken auf ihren Funktionsumfang und Verfügbarkeit überprüft und teils auch auf Jahresbasis (2019 vs. 2020) verglichen. Gemeinsam mit dem Infrastruktur-FinTech FinTecSystems haben wir Testkriterien entwickelt und die Schnittstellen auf Herz und Nieren unter die Lupe genommen. Wer schlägt sich gut und wer hat noch Nachholbedarf. Hier die TOP5:
Für die Bewertung haben wir die Leistung der PSD2/XS2A-Schnittstellen in zwei Teilsegmente unterteilt:
1. Der Funktionsumfang beziehungsweise der Aufbau der Schnittstelle.2. Die technische Verfügbarkeit der Schnittstelle.
Beides sind elementare Kriterien, da die PSD2 zum einen vorsieht, dass die dedizierten Schnittstellen den gleichen Funktionsumfang haben sollen, den der Nutzer auch in seinem Onlinebanking vorfindet. Zum anderen ist die Verfügbarkeit Voraussetzung dafür, dass Applikationen und Anwendungen störungsfrei laufen. Verfügbarkeit und Funktionalität bestimmen schlussendlich ganz wesentlich, ob eine Schnittstelle produktiv eingesetzt werden kann.
Die inhaltliche Basis: der Funktionsumfang und der Aufbau der Schnittstellen
Die Tests im Überblick - so testen wirEmbedded/Decoupled (nutzerfreundlich), Dispo-Limit verfügbar, Global Consent (keine manuelle IBAN-Eingabe nötig), Vollständiger AIS (recurringindicator=false, Daueraufträge, Kontoinhaber), Gegenkontoinformationen vollständig (IBAN, Name): Test der jeweiligen PSD2-Schnittstelle über eigene produktive Tests und Vergleich der gelieferten Informationen mit Online-Banking
Gute Serverantwortzeiten / API Performance: Durchschnittliche Antwortzeiten der letzten 30 Tage über die jeweiligen Schnittstellen erfasst
Produktive Verfügbarkeit letzte 30 Tage: Analyse der nicht erfolgreichen Transaktionen: Prüfung auf Nichtverfügbarkeit der Schnittstelle der Bank
Lösungsorientierte Supportantwort innerhalb von 3 Tagen: Analyse der Supportanfragen an die Banken, bezogen auf Antwortzeit und Qualität der Antworten
Gesamtbewertung: Um den Gesamtsieger zu ermitteln, wurden für die einzelnen Analysebereiche Teilbereichsindizes gebildet und daraus ein Gesamtleistungsindex (Convenience) ermittelt. Das Ergebnis wurde auf Basis einer absoluten Leistungsbewertung errechnet. Für das bestmögliche Ergebnis je Kriterium erhielten die einzelnen Institute den Wert 100,0 und für das minimal mögliche Resultat den Wert 0,0. Die somit erzielten absoluten Leistungspunkte je Kriterium gingen im Verhältnis 60/40 in das Endergebnis ein.
Unterschiedliche Punkte?
Die unterschiedlichen Punkte beim Funktionsumfang kommen u.a. durch die Kriterien “Vollständiger AIS” und “Gegenkontoinformationen” zustande. In diesen Kriterien wurden bei den Banken noch Abstufungen der Datenqualität festgestellt. So wurde z.B. bei einzelnen Banken bei ausgehenden Zahlungen die IBAN und der Name des Gegenkontoinhabers teilweise an falscher Stelle oder fehlerhaft dargestellt. Es waren also einzelne Aspekte innerhalb des Kriteriums, die uns hier veranlassen unterschiedliche Punkte zu vergeben. Da solche Fehler jedoch nur in geringerem Maße bei diese Banken auftauchten, haben sie trotzdem in der Gesamtbewertung des Kriteriums einen grünen Haken bekommen.
Gute Serverantwortzeiten / API Performance: Durchschnittliche Antwortzeiten der letzten 30 Tage über die jeweiligen Schnittstellen erfasst
Produktive Verfügbarkeit letzte 30 Tage: Analyse der nicht erfolgreichen Transaktionen: Prüfung auf Nichtverfügbarkeit der Schnittstelle der Bank
Lösungsorientierte Supportantwort innerhalb von 3 Tagen: Analyse der Supportanfragen an die Banken, bezogen auf Antwortzeit und Qualität der Antworten
Gesamtbewertung: Um den Gesamtsieger zu ermitteln, wurden für die einzelnen Analysebereiche Teilbereichsindizes gebildet und daraus ein Gesamtleistungsindex (Convenience) ermittelt. Das Ergebnis wurde auf Basis einer absoluten Leistungsbewertung errechnet. Für das bestmögliche Ergebnis je Kriterium erhielten die einzelnen Institute den Wert 100,0 und für das minimal mögliche Resultat den Wert 0,0. Die somit erzielten absoluten Leistungspunkte je Kriterium gingen im Verhältnis 60/40 in das Endergebnis ein.
Unterschiedliche Punkte?
Die unterschiedlichen Punkte beim Funktionsumfang kommen u.a. durch die Kriterien “Vollständiger AIS” und “Gegenkontoinformationen” zustande. In diesen Kriterien wurden bei den Banken noch Abstufungen der Datenqualität festgestellt. So wurde z.B. bei einzelnen Banken bei ausgehenden Zahlungen die IBAN und der Name des Gegenkontoinhabers teilweise an falscher Stelle oder fehlerhaft dargestellt. Es waren also einzelne Aspekte innerhalb des Kriteriums, die uns hier veranlassen unterschiedliche Punkte zu vergeben. Da solche Fehler jedoch nur in geringerem Maße bei diese Banken auftauchten, haben sie trotzdem in der Gesamtbewertung des Kriteriums einen grünen Haken bekommen.
Testbereich: Funktionsumfang: Innerhalb des Bereichs „Funktionsumfang“ hat die Nutzerfreundlichkeit, also die User Experience, eine starke Gewichtung erhalten. Aus unserer Sicht ist das folgerichtig, da gerade viele Anwendungen im FinTech- und InsurTech-Bereich stark auf Nutzerkomfort ausgerichtet sind. Deshalb hat uns beispielsweise speziell die Frage nach dem so genannten Decoupled/Embedded Flow versus Redirection Flow interessiert. Bei einer embedded- oder decoupled-Schnittstelle wird der Endkunde beim Authentifizierungsprozess nicht wie beim Redirection Flow auf eine externe bankeigene Website geleitet. Vielmehr kann der Authentifizierungsprozess auf ein- und derselben Website beziehungsweise in der Anwendung des Anbieters, mit dem man interagieren möchte (z.B. Versicherungsvergleich, Bankkonto-Ident und Kreditvergleich), abgeschlossen werden. Mit dem Authentifizierungs-Flow über embedded/decoupled lässt sich die Performance der API signifikant verbessern, insofern stellen wir hier das Nutzerinteresse in den Vordergrund.
Das Ergebnis zeigt zwei Lager: Während die Hälfte der getesteten Banken, namentlich Sparkassen, Volks- und Raiffeisenbanken, Postbank, Targobank sowie Hypovereinsbank, den nutzerfreundlichen Decoupled/Embedded Flow umgesetzt haben, bietet die andere Hälfte „nur“ den Redirection Flow an.
Ein weiterer Faktor in der Nutzerfreundlichkeit ist die so genannte „Combined Session“. Ein Kriterium, das die PSD2 zwar nicht zwingend vorschreibt, was aber dem Nutzererlebnis dient. Hier wurde geprüft, ob Kontoinformationsdienst (KID/AIS) und Zahlungsauslösedienst (ZAD/PIS), also der XS2A mit anschließender Zahlungsinitiierung, mit nur einer starken Kundenauthentifizierung (SCA) statt deren zwei möglich sind. Erfahrungen aus dem E-Commerce haben gezeigt, dass die Durchführung zweier SCA im Prozess zu hohen Abbruchraten führt, unter anderem weil Nutzer unsicher werden und jeder unnötige zusätzliche Schritt den Nutzer im Kaufprozess beeinträchtigt. Aktuell bietet noch keine Schnittstelle den Service einer Combined Session.
In die weitere Bewertung des Funktionsumfangs und des Aufbaus der PSD2-Schnittstellen flossen zudem Kriterien wie die Übermittlung des Kreditlimits des Kontoinhabers (noch bei fast keiner Bank der Fall), des Global-Consent sowie den Gegenkontoinformationen und die Vollständigkeit der Kontoinformation (AIS) ein. Ein Global-Consent ist dann verfügbar, wenn im Authentifizierungsprozess keine IBAN zusätzlich zu den Anmeldedaten eingegeben werden muss. UPDATE 7.11. (siehe Beitragsende): Dies ist bei mittlerweile allen Banken möglich – nur bei der Santander ist es noch nicht umgesetzt. Deutsche Bank und Norisbank bieten es ebenfalls nicht, allerdings ist ein “bank driven consent” möglich.
Insgesamt sehr positiv bei allen Schnittstellen in Deutschland ist die Tatsache, dass sie für den AIS nur alle 90 Tage eine SCA erfordern und viermal einen automatisierten Zugriff ohne Kundeninteraktion zulassen. Das ist sehr nutzerfreundlich und bei Schnittstellen in anderen EU-Ländern kein Standard.
Was gehört zur vollständigen Kontoinformation?
Ein vollständiger Einmalzugriff des AIS beinhaltet Informationen wie Daueraufträge des Kontos, vollständige Kontoinformationen über den Kontoinhaber sowie die Datenqualität des gelieferten Verwendungszwecks. Der vollständige AIS macht insofern mit vollständigen Gegenkontoinformationen (das heißt Name und IBAN des Zahlungsempfängers) einen bedeutenden Bestandteil aus, da diese Informationen wichtige Rückschlüsse auf die Endnutzer der PSD2-Schnittstellen ermöglichen. Dies ist beispielsweise beim Abschluss von Online-Krediten nötig (Stichworte Bonitätsprüfung und Kontoinhaber-Verifikation).
Redaktionsintern sind wir der Meinung, dass auch nur die Anbieter, die diese Mindeststandards erfüllen, eine Ausnahmegenehmigung seitens der BaFin erhalten sollten (mehr dazu hier).
Das Prädikat der produktiven Einsatzfähigkeit verdienten sich in unserem Test die Gesamtsieger Volks- und Raiffeisenbanken und Sparkassen. Auch die SolarisBank wäre bereits im grünen Bereich. Die Postbank hat es inhaltlich im Griff und ein gutes System, es hakt nur noch etwas an der Verfügbarkeit.
Wenn beide Sieger (Volks- und Raiffeisenbanken und Sparkassen) noch die offenen Themen (Dispo, Combined Session mit einem SCA) in den Griff bekommen, dann können sich die anderen bewerteten Banken gerade im Hinblick auf Nutzerfreundlichkeit (embedded/decoupled) und Funktionsumfang daran orientieren. Alle weiteren getesteten Banken weisen zum Teil noch eine zu geringe Qualität ihrer Schnittstellen auf, sodass diese bisher noch nicht produktiv einsatzfähig sind.
Vollständigkeit und Qualität der einzelnen Aspekte innerhalb eines Testkriteriums ließen hier Abstufungen der Banken zu und wurden letztendlich zu einem Einzelresultat für dieses Kriterium zusammengefasst. Einzig die Commerzbank konnte bei diesen beiden Kriterien nicht überzeugen, alle anderen Banken konnten hier – mit einzelnen Abstufungen – ein insgesamt positives Ergebnis erzielen. Vor allem Sparkassen sowie Volks- und Raiffeisenbanken zeigten in der Einzelbewertung hervorragende Werte.
Zwischenfazit zum Funktionsumfang: Es gibt zwei Gewinner
Der Vergleich von 2019 zu 2020 zeigt vor allem zwei Gewinner: Die Sparkassen und Volks- und Raiffeisenbanken konnten bei allen Kriterien (abgesehen von der Übermittlung des Dispo-Limits) nun ein starkes positives Ergebnis erzielen und gleichauf die vorderen Plätze in dieser Teilbewertung belegen. Auf der anderen Seite konnte die Commerzbank diesen Wandel nicht vollziehen. Hier konnte von 2019 auf 2020 einzig der Global-Consent umgesetzt werden, zudem ist es wohl noch zu weiteren Problemen bei der Qualität der Daten bezüglich Gegenkontoinformationen gekommen. Insgesamt ist hier sogar eher eine Verschlechterung in der Funktionalität im Vergleich zu 2019 wahrnehmbar. Ähnlich fällt das Fazit bei Deutschlands größtem Geldinstitut aus: Die Deutsche Bank belegt unter anderem wegen der fehlenden Embedded/Decoupled-Einbindung, der nicht vorhandenen Combined-Session-Lösung und dem inhaltlich nur wenig überzeugenden AIS einen der beiden letzten Plätze.
Verfügbarkeit: Sind die Schnittstellen dauerhaft ansprechbar?
Die Verfügbarkeit der verschiedenen Bankenschnittstellen ist ein rein technisches Kriterium, unabhängig davon, was sie inhaltlich liefern. Eine Schnittstelle, die wenige Minuten oder gar Stunden nicht erreichbar ist, kann neben einem Reputationsschaden für die Bank auch einen finanziellen Schaden für Drittanbieter und Endverbraucher verursachen.
Gute Serverantwortzeiten sind vor allem dann wichtig, wenn hohe Datenmengen durch die APIs durchgeschleust werden. Besonders in diesen Fällen machen schon wenige Sekunden einen deutlichen Unterschied. Für einen soliden Vergleich wurden im vorliegenden Test die besten Schnittstellen als Indikatorwert verwendet.
Weiteres Qualitätskriterium: Ein lösungsorientierter Support ist sicherlich für Endverbraucher als auch für FinTechs wichtig, um tatsächlich auftretende Probleme schnell zu lösen. Institute, die sich in der freiwilligen Marktbewährungsphase befinden, müssen sich ohnehin von regulierten Drittanbietern testen lassen können und für die Nutzer der Schnittstellen erreichbar sein. Wir haben in der Redaktion Wert auf folgende Punkte gelegt:
Bitwala, Finom, Trade Republic, Kapilendo, Samsung, Bison und Insha.
1. Serverantwortzeiten: Die Serverantwortzeit zeigte deutliche Unterschiede innerhalb der von den Banken angebotenen Schnittstellen. Den absoluten Topwert konnte hier die Sparkassen-Schnittstelle erreichen, knapp dahinter folgten die Commerzbank und die Neo-Banken N26 und SolarisBank. Die Deutsche Bank und Santander dagegen mussten sich hier mit bis zu dreimal so hohen Serverantwortzeiten mit den hinteren Plätzen begnügen.
2. Produktive Verfügbarkeit: Die produktive Verfügbarkeit zeigt geringe prozentuale Unterschiede, die jedoch in der Gewichtung innerhalb des Kriteriums starke Differenzen offenbaren und testweise innerhalb der letzten 30 Tage geprüft wurden. Absolute Topwerte konnten hier die Volks- und Raiffeisenbanken, N26, SolarisBank, gefolgt von der Santander liefern. Auffällig war auf der anderen Seite vor allem die Targobank, die nicht zur vollsten Zufriedenheit überzeugen konnte. Auch bei der Finanz Informatik kam es zum Teil zu ungeplanten Ausfällen über mehrere Stunden und eine Großbank hatte außerdem wegen der Zeitumstellung mehrstündige Wartezeiten.
3. Support der Banken: Bei der Beantwortung von Anfragen haben wir auf substanzielle, individuelle Rückmeldungen ohne Standard-Mails geachtet. Ähnlich wie in der vorherigen Kategorie haben auch hier Volks- und Raiffeisenbanken, Sparkassen, Santander sowie die Digital-Banken die Anfragen zügig beantwortet und bearbeitet. Nahezu alle Banken konnten hier – abhängig von der Anfrage – relativ zufriedenstellend punkten, einzig die Commerzbank fiel negativ auf, da sie teilweise sehr lange Reaktionszeiten zeigte.
Sieger im Teilbereich Verfügbarkeit sind Sparkassen und Volks- und Raiffeisenbanken sowie die Neo-Banken – allesamt konnten Spitzenwerte erreichen. Durchschnittswerte erreichten Targobank und Hypovereinsbank; bei beiden verursachten vor allem die produktive Verfügbarkeit und die API-Performance Probleme.
Gesamtfazit des großen IT-Finanzmagazin API-Tests:
Wer sind die Musterschüler, bei wem besteht noch deutlicher Handlungsbedarf?
Das Gesamtergebnis unseres PSD2-Schnittstellen-Tests 2019/2020 zeigt vor allem, wer innerhalb eines Jahres PSD2 seine Hausaufgaben gemacht hat, sich also verbessern konnte und wer noch Nachholbedarf offenbart.
Den ersten Platz teilen sich die Sparkassen-API und die Volks- und Raiffeisenbanken-API jeweils mit der Gesamtnote 2,2.
Einerseits ist hier die messbare, rasche Entwicklung zur einsatzfähigen Schnittstellen innerhalb des Jahres hoch anzurechnen. Aber auch unabhängig davon haben diese beiden sowohl in Bezug auf die Qualität der Informationen, die vollständigen Kontoinformationen, die Nutzerfreundlichkeit im Bezug auf embedded/decoupled APIs sowie die technische Verfügbarkeit ein vollumfänglich positives Gesamtbild abgegeben.
Darauf folgen die SolarisBank (2,50), N26 (2,90) und die Postbank (3,00).
Eine Besonderheit ist jedoch: Sowohl die SolarisBank als auch N26 haben sich nicht zur Marktbewährungsphase angemeldet. D.h. sie werden trotz Verfügbarkeit der APIs (die sie natürlich trotzdem liefern müssen) weiterhin alle anderen Zugriffsmethoden zulassen. Trotzdem: Streng genommen können wir sie nicht als dritte und vierte Sieger ansehen – dafür fehlt das sich Stellen in der Marktbewährungsphase.
Den offiziell dritten Platz in unserem Ranking belegt daher die Postbank, die mit der Note 3,0 eine ordentliche Leistung abgeliefert hat, es folgen Targobank (3,3), HypoVereinsbank (3,4) und Santander (3,5). Diese Schnittstellen sind zwar noch nicht vollständig produktiv einsatzfähig, aber auf einem guten Weg.Durchweg solide zeigt sich die Postbank-API im Teiltest des Funktionsumfanges/Aufbaus, denn dort war sie nur an mancher Stelle schwächer als die Gesamtsieger.
Bei der Verfügbarkeit wurden durchgehend zufriedenstellende Ergebnisse geliefert, lediglich die produktive Verfügbarkeit war hier im Testzeitraum ausbaufähig. Die Deutsche Bank/Norisbank und Commerzbank mussten sich in diesem Testvergleich deutlich geschlagen geben, vor allem in der ersten Teilbewertung zeigten beide erhebliche Schwächen auf, die letztendlich zum vorliegenden Resultat führten.aj
Update 7.11.: Anpassung – bei der Deutschen Bank ist weiterhin kein “Global Consent” möglich, die Deutsche Bank bietet allerdings aktuell einen “bank driven consent” an. Aus der Anpassung ergibt sich keine Änderung der Teilnote, da ein “Bank driven constent” die Möglichkeit eröffnet, die Zustimmung des Kunden gegenüber dem TPP einzuschränken.
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/113376
Schreiben Sie einen Kommentar