Anzeige
STRATEGIE30. August 2016

Auf dem Weg in die App-Economy: Die Auswirkungen der PSD2-Richtlinie auf die IT in Banken

Sven Mulder CA Technologies, Vice President Sales, Central, South Eastern Europe & RussiaCA Technologies
Sven Mulder CA Technologies, Vice President Sales, Central, South Eastern Europe & RussiaCA Technologies

Die Richtung ist klar: das Finanzsystem wird kollaborativer und offener. Dies verlangen nicht nur ein dynamisierter Markt, sondern auch Richtlinien der EU. Die aktuellste davon ist PSD2, die Neuauflage der EU-Zahlungsdiensterichtlinie. Für Finanzinstitute ist es nicht einfach, mit diesen Veränderungen und Auflagen umzugehen. Doch bergen sie auch eine große Chance: die frühzeitige Umstellung der Prozesse und der zugrundeliegenden IT.

von Sven Mulder, Vice President Sales CA Technologies

Neue Zahlungsdienste haben Bewegung in den Markt gebracht. Dazu zählen beispielsweise Kontoinformationsdienste, die im Auftrag des Anwenders Informationen zu Bankkonten zusammenzuführen, oder Zahlungsauslösedienste, die Onlinebanking für Internetzahlungen abwickeln. Diese Dienste unterlagen zunächst allerdings keiner Regulierung – und das wollte bereits die erste Version der Richtlinie der Europäischen Kommission ändern.

Autor Sven Mulder
Sven Mulder ist seit Mai 2016 Vice President Regio­nal Sales Cen­tral, Südo­st­eu­ropa und Russ­land bei CA Tech­no­logies. Sein Auf­gabengebiet umfasst die Führung der Ge­schäfte in Deutsch­land, der Schweiz und Öst­erreich sowie der CA Franchise-Un­ternehmen in Südo­st­eu­ropa und Russ­land. Er un­ter­stützt Un­ternehmen dabei, die maximale Aus­schöpfung ih­rer Tech­no­logie-Inves­titionen zu errei­chen und den Para­digmenwech­sel der Ap­p­licati­on Economy zu errei­chen.

Warum eigentlich PSD2?

Ziel war es, mehr Transparenz und Sicherheit zu schaffen, aber auch Innovationen zu fördern. Neue elektronische Zahlungsdienste sollten über das auf Kreditkarten basierende Angebot hinausgehen und weiteren Anbietern sollte der Einstieg in den Markt erleichtert werden. Erstes Resultat war mehr Wettbewerbsgleichheit für unterschiedliche Zahlungsdienstleister, was traditionelle Finanzinstitute um ihre Stellung und Bedeutung am Markt fürchten ließ und lässt. Denn neue Anbieter werden alles daran setzen, zur Anlaufstelle für Zahlungsdienste zu werden und Kontrolle über die Beziehungen zum End User zu erlangen, um so direkt neue Produkte und Dienste anbieten zu können.

Die überarbeitete EU-Zahlungsdiensterichtlinie 2015/2366 (PSD2) versucht nun, Rechtsunsicherheit durch länderspezifische Umsetzungen zu beseitigen. Wichtiger aber ist, …

…dass sie Finanzinstitute und andere Unternehmen, die elektronische Zahlungen erhalten, zwingt, ihre Kundeninformationen für sogenannte dritte Zahlungsdienstleister (dritte ZDL) zur Verfügung zu stellen.

PSD2 sieht auch eine Reihe von Auflagen für Zahlungen an oder aus Drittländern vor, sofern einer der Zahlungsdienstleister in der EU ansässig ist. Die neue Richtlinie ist auf eine strenge Authentifizierung ausgerichtet und geht noch einen Schritt weiter als die vorherige PSD-Richtlinie und die EBA-Leitlinien, die bereits den Schutz sensibler Zahlungsdaten bei der Speicherung, Verarbeitung oder Übermittlung forderten.

Dienste für die Neuen im Markt

Für den Kunden ändert sich zunächst nicht viel. Traditionellerweise gibt er bei einem Internetkauf seine Kartendaten an – Informationen, die dann nicht nur dem Händler, sondern auch einem oder mehreren Zahlungsdienstleistern zur Verfügung stehen. Die Zahlungsdienstleister lösen den Zahlungsauftrag bei der Bank des Kunden aus und werden von der Bank über den Status der Transaktion informiert (abgeschlossen oder abgelehnt). Mit PSD2 können nicht nur herkömmliche Zahlungsdienstleister Transaktionen auslösen, sondern auch andere Anbieter wie der Händler oder eine Bank. Der Zwischenhändler muss nicht notwendigerweise ein Zahlungsdienstleister sein.

Grundvoraussetzung ist, dass eine vertrauenswürdige Verbindung zwischen der Bank des Kunden und dem dritten Zahlungsdienstleister besteht und der Kunde den Apps des Zahlungsdienstleisters Zugriff auf seine Kontodaten gewährt.”

Die Banken hingegen, die bisher praktisch den gesamten Transaktionsprozess kontrollierten, müssen ein Verfahren anbieten, welches Dritten den Zugang zu den Daten ihrer Kunden ermöglicht. Technisch gesprochen werden diese Daten von einer Mashup- oder Composite-Anwendung des betreffenden dritten Zahlungsdienstleisters genutzt. Banken müssen dabei für eine strenge Kundenauthentifizierung sowie für den Schutz der Kunden sorgen – was umso wichtiger ist, als PSD2 ein vorbehaltloses Erstattungsrecht garantiert.

Mit einem API-basierten Ansatz die Chancen nutzen

Zum einen können Finanzinstitute selbst zu dritten ZDL werden, indem sie ihr Angebot für ihre Kunden und Interessenten erweitern. Zum anderen zwingt PSD2 Finanzdienstleister dazu, Daten für Dritte zur Verfügung zu stellen, die im Auftrag ihrer Kunden handeln. Banken müssen dafür ein sicheres und dokumentiertes Verfahren entwickeln, das von den betreffenden externen Akteuren genutzt werden kann. Gleichzeitig müssen sie aber für angemessene Sicherheitskontrollmaßnahmen sorgen und den Schutz ihrer Kundendaten garantieren.

Nur: Das geht nicht immer innerhalb der bestehenden IT-Infrastruktur.”

Ein mehrstufiger, API-basierter Ansatz stellt derzeit die beste Möglichkeit dar, Daten und Prozesse für (interne oder externe) Dritte offenzulegen. Was früher durchgängige Prozesse waren, wird heute aufgebrochen und API-basiert, modular und erweiterbar gestaltet. Allgemeine Funktionen werden getrennt von wesentlichen Prozessen wie Authentifizierung, Autorisierung, Risikomanagement und -analyse, Access Control, Identity Management und Federation. Das schafft eine Grundlage für die Standardisierung, Steuerung und Messung dieser Querschnittsfunktionen und vereinfacht letztlich die Abläufe bzw. verkürzt die Time-to-Market. Generische Engines bzw. „Broker“ zielen auf bestimmte Themen ab, neue Mashups, Composite-Anwendungen und Anwendungen für die Zusammenarbeit eröffnen immer neue Möglichkeiten, auf neue Bestimmungen zu reagieren oder auch schneller neue Dienste für das eigene Portfolio zu entwickeln.

PSD2-konformes Zahlverfahren - CA Technologies
PSD2-konformes ZahlverfahrenCA Technologies

Wer seine Infrastruktur kundenorientiert, API-basiert und offen gestaltet, verfügt über eine agile Architektur, die die Prozesse zum Schutz von Kunden und Unternehmen sichern kann. Wer aber eine API extern zugänglich macht, muss auch sämtliche Aspekte der Nutzung der API sichern und verwalten (Service Level Agreements, Messungen, Sicherheit, Registrierungen, Abonnements, Auditing, Überwachung etc.). Die ‚Access to Account’ (XS2A)-Anforderungen in PSD2 sehen darüber hinaus vor, dass der Kunde die Kontrolle darüber erhält, wie auf seine Daten zugegriffen wird. Für die Bank heißt das, sie muss dem Kunden auch ein Self-Service-Angebot bieten.

Auf dem Weg in die App Economy

Aus Verbrauchersicht verspricht die Richtlinie durch die Einführung innovativer Zahlungsmethoden einige Verbesserungen: Sie vereinfacht Online-Einkäufe und fördert die Entstehung neuer Dienstleistungen für die Verwaltung von Bankkonten. Finanzinstitute sehen sich durch PSD2 kurzfristig vor einer Belastungsprobe. Doch bietet die Richtlinie auch einen guten Anlass, herkömmliche Infrastrukturen zu überdenken und zu modernisieren. Der Impuls kann die digitale Transformation von Verfahren und Diensten insgesamt beschleunigen. Wer schneller, sicherer und auf standardisierte Weise neue digitale Dienste auf den Markt bringen kann, wird so seine Marktstellung ausbauen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert