STRATEGIE30. April 2018

PSD2: Finale RTS zur starken Kundenauthentifizierung und sicheren Kommunikation – doch wie umsetzen?

Bi­anca Zylka, KPMGKPMG

Am 14. März 2018 wurden die finalen Regulatory Technical Standards (RTS) zur starken Kunden­authen­tifizierung und sicheren Kommunikation im Amtsblatt des EU Parlaments veröffentlicht. Die von Finanzinstituten lang ersehnten RTS konkretisieren die Anforderungen gemäß der Payment Service Directive 2 (PSD2). Die Zeit drängt bis zum 14. September 2019 muss eine Umsetzung erfolgt sein. Bereits sechs Monate zuvor, am 14. März 2019, müssen Zahlungsdienste den Kontoinformations- und Zahlungsauslösediensten eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung bereitstellen.

von Bi­anca Zylka und Sven Korschinowski, KPMG

Es bleibt weniger als ein Jahr, um alle offenen Fragen zu klären und dem Markt valide Lösungen zu präsentieren. Der Artikel fasst die wesentlichen Punkte der RTS zusammen und zeigt die größten Herausforderungen für Finanzinstitute auf.

Mit dem Ziel, das Betrugsrisiko für elektronisch angebotene Zahlungsdienste zu minimieren, schreiben die RTS Zahlungsdienstleistern künftig vor, dass die Authentifizierung des Kunden anhand von mindestens zwei Elementen der Kategorie Wissen, Besitz und Inhärenz durchgeführt werden muss und Zahlvorgänge dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpft sind.

Die RTS definiert die Authentifizierung
KPMG

Um gleichzeitig ein ausreichendes Maß an Benutzer- und Kundenfreundlichkeit aufrecht zu erhalten, sehen die RTS eine Reihe von Ausnahmen vor:

KPMG
Sven Korschinowski, KPMGKPMG

Wesentliche Herausforderung für Zahlungsdienstleister ist hierbei der Spagat zwischen Umsetzungsaufwand, einem angemessenen Sicherheitsniveau und optimaler User Experience. Die Ausnahmen von der 2-Faktor-Authentifzierung (mit und ohne dynamischer Verbindung) sind für die Finanzinstitute optional. Da die Entscheidung auf Seiten der Institute liegt, müssen diese abwägen, ob und welche Ausnahmen geltend gemacht werden. Vor allem das Risikomanagement und die Transaktionsüberwachungsmechanismen sind bei dieser Frage in der Pflicht.

Gemeinsame und sichere offene Kommunikationsstandards: Zugang 3. Zahlungsdienstleister

Open Banking
Open Banking: Im Zuge der Open Banking Bewegung streben Banken an – ähnlich wie die TechGiants Google und Amazon – ein digitales marktplatzähnliches Ökosystems im Banking zu bilden. Ziel dabei ist es durch Kooperationen mit verschiedenen Partnern und Drittanbietern den Kunden in jeder Situation des Alltags abzuholen und einen One-Stop Shop für Banking und Banking-nahe Produkte und Dienstleistungen zu etablieren.
Ab dem 14. September 2019 muss der Zugang für 3. Zahlungsdienstleister (3. ZDL) produktiv sein. Wie dies erreicht wird, muss jeder Zahlungsdienstleister für sich entscheiden. Es steht ihnen offen, eine dedizierte  Schnittstelle zur Kommunikation mit den 3. Zahlungsdienstleistern zur Verfügung zu stellen oder bereits bestehende Schnittstellen zu nutzen und PSD2-konform weiterzuentwickeln. Bei der Entscheidung ist zu beachten, dass dezidierte Schnittstellen hinsichtlich Verfügbarkeit und Leistung das gleiche Service Level aufweisen müssen wie die Online-Banking-Plattformen der kontoführenden Zahlungsdienstleister.

Auch wenn die finalen RTS in Bezug auf die sichere offene Kommunikation keine Überraschungen für Finanzinstitute bereithalten, stehen diese doch vor einigen Herausforderungen. So müssen sie sich aufgrund der fehlenden Vorgaben in den RTS zu allererst in der Frage positionieren, ob sie eigene Formate für die Programmierschnittstellen (kurz API= Programmteil, das von einem Softwaresystem anderen Programmen zur Anbindung an das System zur Verfügung gestellt wird) bereitstellen wollen oder ob sie sich aktuellen europaweiten Marktinitiativen wie der Berlin Group anschließen, und deren Standard nutzen.”

Autor Sven Korschinowski
Sven-Korschinowski-516Sven Korschinowski leitet als Partner den Bereich „Payment & Innovation Consulting“ bei der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG und verantwortet die Deutschland-Aktivitäten zum Thema Mobile Payment.

Bi­anca Zylka ist als Mana­ge­rin der KPMG im Be­reich Fi­nanci­al Services spezialisiert auf die Be­ra­tung von IT-Implementierun­gen und der Pro­jektdurch­führung zum The­ma Zahlun­gen. Sie verfügt über mehr als 12 Jah­re fundier­te Berufs­erfahrung, davon 8 Jah­re in der Lei­tung und ver­antwortli­chen Durch­führung von IT-Pro­jek­ten im Be­reich Zahlungs­verkehr und damit ver­bun­denen regulatori­schen Anforde­run­gen, sowie als Business Analys­tin ei­ner in­ternatio­na­len Großbank. Sie ver­antwortet aus stra­tegi­scher wie tech­ni­scher Sicht die Payment-IT-Umsetzun­gen bei Banken.

Gemeinsame Standards können dabei helfen, eine fragmentierte Umsetzung und weitere Interventionen des Gesetzgebers zu vermeiden und das volle Potenzial offener Schnittstellen zu entfalten. Eine weitere Herausforderung ist, dass aktuell nicht abzusehen ist, wie groß die zusätzliche Belastung der IT-Systeme durch den Zugriff 3. ZDL künftig sein wird und ob die von den kontoführenden Instituten bereitgestellten Schnittstellen den Anforderungen hinsichtlich Antwortzeiten und Verfügbarkeit genügen werden. Entsprechende Prognosen und Erfahrungswerte aus anderen Märkten, in denen Banken bereits heute Drittanbieter Zugriff auf die IT-Systeme im Zuge der Open Banking-Bewegung erlauben, sind frühzeitig in den Umsetzungsprojekten zu berücksichtigen, um die Kapazität der IT-Infrastrukturen ggf. entsprechend zu erweitern.

Die Öffnung der Kernbank-Systeme über APIs setzt die Banken (und Kundendaten) darüber hinaus neuen, potenziellen Cyber-Risiken aus. Das pure Vertrauen auf die Integrität 3. ZDL ist nicht angebracht. Um resultierende Reputationsrisiken und finanzielle Schäden zu minimieren, müssen bei der technischen Umsetzung der APIs und der API-Management-Systeme Sicherheitsmechanismen bereits bei der Systemauswahl hohe Priorität eingeräumt werden. Eine Einbindung der Open Banking-Lösung in das Informationssicherheitsmanagement der Bank ist zwingend erforderlich.

RTS: Banken müssen sich für die Zukunft gut positionieren

Hoher Zeitdruck, gestiegene Kundenerwartungen und der Hoheitsverlust über die Kundendaten – den Finanzinstituten stehen turbulente Zeiten bevor. Bevor sie sich nun aber blind in die Umsetzung der RTS stürzen, müssen sich die Institute vor allem die Frage stellen, welche Position sie im veränderten Markt einnehmen wollen. Wie sichert man das über Jahrzehnte gewachsene Vertrauen der Kunden und bleibt im direkten Kontakt? Sind vermehrte Kooperationen mit FinTechs sinnvoll und sollen über die Open Banking-Plattform abgebildet werden, oder wollen sie ausschließlich die regulatorischen Anforderungen der PSD2 erfüllen? Nur wenn die Finanzinstitute klare Antworten auf diese und ähnliche Fragen finden, können sie von den mit der PSD2 einhergehenden Chancen profitieren.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert