XS2A: Treffen sich drei Banker im PSD2-Fahrstuhl …
Die PSD2-Regulierung kommt mit einem Paukenschlag! Und mit der Regulierung wird der Endkunde zum Datensouverän über seine eigenen Bankdaten. Für die Banken bedeutet das, sie werden von außen dazu bewegt, Bankdaten aus dem Silo zu befreien – der sogenannte Access to Account (XS2A) für Zahlungskonten kommt in Windeseile. Das gibt dem Kunden erstmals das Recht, seine Daten, wenn er es denn wünscht, mit jedem zu teilen, der ihm einen Service bietet, den er benutzen möchte. Banken müssen sich darum kümmern, die Daten nach außen freizugeben. Sie müssen das Tor technisch öffnen. Ein gemeinsamer technischer Standard dafür? Fehlanzeige!
von Nadja Schlössel, figo
Daten nach außen geben? Es ist verständlich, dass Abwehr die erste Reaktion von so manchem auf Seiten der Banken ist. Die Situation könnte so beschrieben werden: Treffen sich der Chief Financial Officer (CFO), der Chief Technology Officer (CTO) und der Chief Risk Officer (CRO) einer Bank im Fahrstuhl eines Frankfurter Banken-Tower, könnte die Unterhaltung – stark vereinfacht – ungefähr so lauten:Der CFO eröffnet die Runde
“Wir sollen unsere Infrastruktur öffnen und anderen Unternehmen Daten unserer Kunden zur Verfügung stellen? Wir bezahlen also dafür, dass bald andere Anbieter auf unsere Daten zugreifen können? Wir sollten überlegen, wie wir das abwenden können. Vielleicht finden wir auch einen Weg, die Regulierung als Chance zu nutzen, die unsere Umsätze treibt, statt Kosten zu verursachen.”
Da meldet sich direkt der CTO zu Wort …
… und bittet gleich um Aufstockung seines IT-Departments, um die Öffnung regulierungskonform bewältigen zu können. Seine Gedanken kreisen derweil um die Frage, wie weit die unantastbaren Legacy-Systeme von dem Ganzen eigentlich betroffen sind, und stellt sich innerlich auf viele Treffen mit dem Data-Protection- sowie dem Security-Officer ein. Währenddessen, auf den letzten Metern der Aufzugfahrt, …
… schließlich wirft der Chief Risk Officer ein:
“Wir müssen aufpassen, dass wir nicht das ganze Sicherheitsrisiko tragen! Wir brauchen da sicher eine ganze Mannschaft, die sich um nichts anderes kümmert, als das Fraud-Risiko zu minimieren.”
Alle steigen mit dem beklemmenden Gefühl aus dem Fahrstuhl, dass da vor allem ein Verlust von Kontrolle auf sie zukommt. Graue Haare können auf dem kurzen Weg nicht entstehen. Sehr wohl aber danach in den Stunden im Büro und bei den unzähligen Meetings zum Thema, die der Unterhaltung unweigerlich folgen werden.
Die Reaktionen von CFO, CTO und CRO sind verständlich. Die Herausforderungen sind real und Antworten müssen gefunden werden.”
Die zwei Strategien für XS2A
Auch wenn die Situation für Banken erst einmal unbequem erscheint: Smarte Banken können von der erzwungenen Öffnung ihrer Daten profitieren. Konform oder offen sein? Den Banken bieten sich zwei grundsätzliche strategische Richtungen, in die sie denken können.
1) Die Konform-Strategie
Die Konform-Strategie bedeutet: Ich entscheide mich dazu, die Regulierung so schlank, ressourcenschonend, sicher und mit so wenig Aufwand wie möglich zu gestalten. Um der Regulierung zu genügen, muss die Schnittstelle so gestaltet werden, dass diese zentralen Funktionen sichergestellt werden:
1. Ein aktives Rechtemanagement, das die Steuerung und volle Kontrolle der Zugriffe der neuregulierten Dritten ermöglicht.2. Ein sicherer Login, eine sichere, rechtskonforme und sparsame Speicherung von Daten.
3. Ein funktionierendes Endnutzer-Management mit Sicherstellung der Datenhoheit des Nutzers sowie
4. Kontoinformationsdienst- und Zahlungsauslösedienst-Sortenreinheit.
Kurzum: Die Schnittstelle muss weitgehend auf Endkunden sowie Ebene der externen Dritten gemanagt werden können, um der PSD2 zu genügen. Dazu bietet sich eine moderne API-Plattform an, die als eine Art Schaltzentrale die volle technische Kontrolle und Transparenz des Datenflusses inklusive des sicheren Zugriffs bewerkstelligt.
2) Die Öffnungsstrategie
Diese Option ist eine wahrhaft strategische Neuausrichtung und eine an Popularität gewinnende. Einige Banken sind hier bereits als Vorausdenker unterwegs und sondieren die Lage nach Chancen der Öffnung.
Hier öffnet sich die Bank gegenüber Dritten bewusst und etabliert um sich herum einen Bank-App-Store – bestehend aus Services von Dritten für seine Kunden.
Das technische Herz einer solchen Strategie ist ebenfalls eine API, welche die volle Kontrolle und zusätzlich die Abrechnung gegenüber Dritten ermöglicht. Gleichzeitig ist eine API für Dritte attraktiv, weil sie kostengünstig und innerhalb von kürzester Zeit in die eigenen Services integrierbar ist. So mancher Entwickler bindet z. B. die figo Banking API innerhalb eines Tages an. Das Herzstück der Strategie ermöglicht vor allem die Monetarisierung der Daten. Mit einer Abrechnungs-Engine ausgestattet können Datenflüsse über die PSD2 hinaus mit den Dritten abgerechnet werden. Dazu bietet die Bank den Dritten mehr Daten in besserer Qualität an, für die eine Zahlungsbereitschaft am Markt besteht. Und die besteht mit Sicherheit. Denn bereits heute werden veredelte und rohe Bankdaten am Markt gegen Entgelt und mit dem Einverständnis der Endnutzer nachgefragt. Und die API-Plattform sorgt für die technische Abwicklung.
API-Plattform – das Herzstück beider Strategien
Apropos API-Plattform – eine Technologie, die viele Antworten auf drängende Fragen parat hat. Sie kann als technisches Herz zwischen unterschiedlichen Systemen und Sprachen übersetzen und so einen einheitlichen Output liefern, ohne die Legacy einer Bank verändern zu müssen. Außerdem kann eine API-Plattform auf allen Ebenen mit maximaler Transparenz gemanagt werden – sowohl auf der Ebene der Dritten als auch auf Endkundenebene. Eine API ist die Technik, nach der die PSD2 ruft.
Auf Bankenseite kann aufgeatmet werden und im Fahrstuhl wird wieder über angenehmere Themen gesprochen.”
Zum Beispiel darüber, wie die Öffnung gegenüber den Dritten weiter gedacht werden kann. Ein Geschäftsmodell zur Monetarisierung der Öffnung verbunden mit einer Technologie, die das ermöglicht. Das würde nicht nur den CFO freuen.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/44192
Schreiben Sie einen Kommentar