Ein Jahr PSD2: Der erwartete Marathon – und bei den Schnittstellen bleibt noch viel zu tun …
Etwas mehr als ein Jahr ist seit dem Inkrafttreten der 2. Stufe der PSD2-Richtlinie vergangen. Seitdem hat sich einiges an der Performance der von den Banken bereitgestellten Schnittstellen getan. Es gab dabei sehr erfreuliche Entwicklungen sowie auch weniger gute Fortschritte. Dabei haben die Sparkassen- und Fiducia-APIs in diesem Zeitraum sicherlich den mit Abstand größten Qualitätssprung in der Bereitstellung von wichtigen Merkmalen für uns als Zahlungsauslöse- und Kontoinformationsdienst erreicht. Hannes Rogall (COO FinTecSystems) zu den Testergebnissen des PSD2/XS2A-Tests – und welche Aufgaben der Bank-IT noch bevorstehen.
Zu den Merkmalen des Zahlungsauslöse- und Kontoinformationsdiensts gehören unter anderem Kontoinhaber, Daueraufträge oder der vollständige Account Information Service (AIS) mit Einmalzugriff (recurringindicator=false). Unsere Erfahrung ist: Bei diesen beiden Schnittstellen konnte im konstruktiven Austausch mit der Aufsichtsbehörde (BaFin) und den Marktteilnehmern ein lobenswertes Zwischenziel erreicht werden.Allerdings haben längst nicht alle PSD2-Schnittstellen eine gleichwertige Entwicklung genommen.”
So konnten wir in unseren Tests (hier) feststellen, dass die Datenparität bei wichtigen Merkmalen zwischen Online-Banking und PSD2-API noch immer nicht vollumfänglich gegeben ist. Die Namen der Gegenkontoinhaber sowie Dauerauftragslisten werden in diesen Fällen beispielsweise von Banken teilweise noch unvollständig oder fehlerhaft übermittelt. Hier ist eine zügige Verbesserung im Sinne der Sicherung der Datenqualität und der Vermeidung von inhaltlichen Diskrepanzen wünschenswert.
Eintritt in die Marktbewährung trotz technischer Fehler und Timeouts
Eine generelle Verfügbarkeit der APIs im Sinne von stabilen Schnittstellen ist zwar größtenteils vorhanden, allerdings verzeichnen wir bei einigen Banken häufiger technische Fehler auf Bankenseite oder längere Anfragezeiten, die zu Timeouts führen. Dies sind sicherlich Aspekte, die noch angepasst werden können. Aber gerade lange Anfragezeiten können uns als TPP davon abhalten, bei hohem Datenverkehr eine bestmögliche Performance zu gewährleisten. Dies betrifft unter anderem und gerade auch Schnittstellen, die bereits in die Marktbewährungsphase eingetreten sind.
Sind die Voraussetzungen bezüglich Performance und Datenqualität von vornherein nicht gegeben, ergibt eine Marktbewährungsphase eigentlich keinen Sinn.”
Das ist möglicherweise auch ein Grund dafür, warum bislang noch keine Bank eine Ausnahmegenehmigung seitens der Aufsicht erteilt bekommen hat – auch wenn die BaFin dies für Ende des Jahres jüngst in Aussicht gestellt hat (mehr hier).
Wir wissen, dass die Anforderungen an eine Ausnahmegenehmigung hoch sind, sie sind aber sicherlich auch gerechtfertigt, um allen Marktteilnehmern im Sinne der PSD2 die gleichen Voraussetzungen zur Teilnahme am Markt und bezüglich Konkurrenzfähigkeit zu ermöglichen. Schließlich sind mehr Wettbewerb und mehr Innovationen Kernziele der PSD2. Und echte Innovationen im Banking-Bereich kamen in den letzten Jahren fast ausschließlich von FinTechs. Für echte Innovationen und Förderung des Open Banking braucht es aber leistungsfähige dedizierte Schnittstellen, die mindestens die Datenparität gegenüber den Verbraucher-Schnittstellen beziehungsweise Onlinebanking liefern.
Zwei konkrete Kern-Kritikpunkte sind nach wie nicht umgesetzt
Es sind vor allem zwei Kernpunkte, die wir an den Schnittstellen bemängeln: Das betrifft zum einen die starke Kundenauthentifizierung (SCA) sowie zum anderen die Bereitstellung des Dispo-Limits.
1. Die SCA und die User Experience
Bezüglich der SCA gibt es aktuell zwei Vorgehensweisen der Banken: Entweder einen Redirection Flow, bei dem der Endkunde bei der Authentifizierung mit dem jeweiligen Tan-Verfahren zu einer bankeigenen Seite weitergeleitet wird. Oder der zweite Weg, bei dem der Embedded Flow dieses Weiterleiten vermeidet. Ganz klare Vorteile in Sachen Nutzerfreundlichkeit und Praktikabilität haben die Embedded-Varianten, was unsere Tests mit deutlich höheren Konversionsraten belegen. Hier wäre eine Verbesserung zugunsten der Kundenzufriedenheit aus unser Sicht sehr wünschenswert.
2. Das Dispo-Limit: ein leidiges Thema
Der zweite Kern-Kritikpunkt ist die Bereitstellung des Dispo-Limits über die Schnittstellen. Nach derzeitigem Stand übermittelt keine der von uns getesteten Banken das Dispo-Limit über die dedizierte Schnittstelle. Gerade für Zahlungsauslösedienste ist dies jedoch unabdingbar, um den Verfügungsrahmen zu bewerten. Auch zu einer vollständigen Kontoinformation gehört das Dispo-Limit dazu, schließlich ist es auch als Information im Onlinebanking des Nutzers (PSU) vorhanden. Damit ist die Übertragung des Dispo-Limits aus unserer Sicht ganz klar durch die PSD2 beziehungsweise die EBA RTS vorgegeben.
Fazit: Die Qualität der Schnittstellen ist nicht einheitlich
Ein Jahr nach Inkrafttreten der 2. Stufe der PSD2-Richtlinie sind die Banken zwar teilweise auf einem guten Weg, jedoch als gesamte Branche bei weitem noch nicht angekommen. Dafür ist die Qualität der Banken-Schnittstellen zu unterschiedlich. Hinzu kommt, dass einige APIs noch gar nicht für vollumfängliche und ausführliche Tests geeignet sind und derzeit nicht bewertet werden können. Wir würden uns wünschen, wenn diese Institute vor Eintritt in die Marktbewährungsphase die Voraussetzungen für vollständige und umfängliche Tests erfüllen würden. Wir sind guter Dinge, dass allen Marktteilnehmern dann – spätestens zum zweijährigen Jubiläum des Inkrafttreten der 2. Stufe der PSD2 – performante, qualitativ hochwertige und damit für die eigenen Bankkunden zufriedenstellende Schnittstellen vorliegen. Schließlich konsumieren die bankeigenen Kunden diese Schnittstellen beziehungsweise Services auch und die API wird so Teil des Produktportfolios der Banken, mit dem sie sich dem Wettbewerb stellen. Apropos Wettbewerb: Die Neo-Banken befinden sich ja aktuell noch nicht in der Marktbewährungsphase, dementsprechend sind deren Schwachstellen aus unserer Sicht noch nicht kritisch. Erste Testergebnisse in Sachen der Performance und Verfügbarkeit lassen die Neo-Banken-APIs jedoch schon weitaus besser dastehen als manch andere, etablierte Player.Hannes Rogall, COO FinTecSystems
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/113727
Schreiben Sie einen Kommentar