SECURITY12. April 2022

EBA beseitigt Wildwuchs von SCA-Ausnahmeregelungen und fordert jetzt auch SCA für EBICS

bsd555/bigstock & ebics

Die EBA beseitigt Wildwuchs von SCA-Ausnahmeregelungen (PDF “Draft Regulatory Technical Standards”), fordert nun auch die sichere Authentifizierung (SCA) für EBICS (Website). Zudem stärkt sie Kon­to­in­for­ma­ti­ons­diens­te mit Fokus auf PFM- und ERP-Lösungen.

Aktuell können kontoführende Zahlungsdienstleister freiwillig auf die der initialen SCA folgenden SCAs verzichten, sofern bei der abgerufenen Transaktionen nur auf den Kontostand und die jüngsten Transaktionen zugegriffen wird und kein Zugriff auf sensible Zahlungsdaten erfolgt. Nach 90 Tagen ist jedoch die starke Kundenauthentifizierung erneut durchzuführen.

BanksAPI

Die EBA räumt offenbar endlich auf mit der SKA-Ausnahme für sonstigen Kontoschnittstellen, die wie zum Beispiel EBICS bisher nicht unter die PSD2-Authentifizierungsvorgaben gefallen sind. Die realen Auswirkungen auf die Workflows von Unternehmen und Cloud-ERPs nach den nun notwendigen Umsetzungen seitens der Banken dürften sich indes in Grenzen halten, solange ihr Zahlungsdienstleister den SCA-Workflow für alle Banken-Schnittstellen wirklich integriert und Ende-zu-Ende denkt.“

Felix Baaken, CEO BanksAPI

In den letzten Jahren haben sich europaweit unterschiedliche Praktiken entwickelt, wobei einige ASPSPs die SCA alle 90 Tage anfordern, andere in kürzeren Abständen, während eine dritte Gruppe von ASPSPs die Ausnahmeregelung überhaupt nicht angewandt hat und die SCA für jeden Kontozugang erfordert.

Nun erfolgten einige Klarstellungen im Umgang mit den SCAs (u.a. Tokenlaufzeit über 180 Tage sowie EBICS-SCA).

Eine Verlängerung der zeitlichen Gültigkeit einer starken Authentifizierung von 90 auf 180 Tage begrüßen wir, sehen es aber dennoch nur als ersten Schritt zu einer nachhaltigen Marktliberalisierung. Auch wenn die Banken in ihren eigenen Apps ebenfalls eine SKA durchführen müssen, ist diese normalerweise mit erheblich weniger Reibungsverlusten verbunden, da sie besser in den App-Workflow eingebettet ist. Notwendig sind hier klare Vorgaben an die Banken, in der sie die Prozesse besser dokumentieren und nachweisen müssen, dass die SKA für Drittanbieter auch in der Praxis nicht länger dauert als für die Apps der Bank selbst.“

Inhalte der Überarbeitung der RTS:

  • Umsetzung einer neuen obligatorischen SCA-Ausnahmeregelung bei Nutzung der Zahlungsdienste sofern der Zugriff über einen Kontoinformationsdienst erfolgt.
  • Fakultative Nutzung der bestehenden SCA-Ausnahmeregelung nur insoweit, dass der Kunde direkt die Informationen bei dem kontoführenden Zahlungsdienst/Bank abruft.
  • Verlängerung der SCA-Tokenlaufzeit von 90 Tage auf 180 Tage, sofern der Kunde einen Kontoinformationsdienst nutzt oder eigenständig Kontoinformationen abruft.
  • Klarstellung, dass auch heute schon SCA für sämtliche Kontozugangsschnittstellen zu nutzen ist und somit auch für den Kontoinformationsabruf über EBICS SCAs durchzuführen sind.
  • Änderungen an der Schnittstellenlandschaft müssen im Sinne der Bereitstellung einer Dokumentation spätestens bis 2 Monate vor Livegang zur Verfügung gestellt werden.

Umsetzungszeitpunkt:

  • Vorlage vor Kommission/Prüfung Europäisches Parlament
  • Inkrafttreten 7 Monate und 20 Tage nach Veröffentlichung (voraussichtlich Ende Q4/22, Anfang Q1/23
Felix Baaken, CEO BanksAPI/ aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert