STRATEGIE11. Januar 2022

PSD2-API: “Im Vergleich mit dem Online-Banking darf diese nicht schlechter sein” (BaFin-Interview)

PSD2-API: "Im Vergleich mit dem Online-Banking darf diese nicht schlechter sein." sagt Tobias Schmidt-Hardt (BaFin-Fachreferent im Referat Cybersicherheit in der Digitalisierung)
Tobias Schmidt-Hardt (BaFin-Fachreferent im Referat Cybersicherheit in der Digitalisierung)BaFin

PSD2/XS2A oder PSD2-API: Eine Hand voll Institute haben die Konto­zugangs­schnittstelle im Griff. Einige straucheln. Das zeigten unsere PSD2-Tests (in 2020 und 2021). Im Interview baten wir Tobias Schmidt-Hardt (BaFin-Fachreferent Referat Cybersicherheit in der Digitalisierung) um seine Einschätzung, welche Probleme noch zu lösen sind und wie die BaFin die XS2A-Entwicklung voranbringen will.

Herr Schmidt-Hardt, decken sich die Erfahrungen der BaFin mit dem von uns durchgeführten PSD2-API-Test?

Den Gesamteindruck des Tests, dass sich die von den Banken angebotenen Schnittstellen seit dem letzten Jahr noch einmal deutlich verbessert haben, kann ich bestätigen.

Allerdings bewertet die BaFin die PSD2-Kontozugangsschnittstellen – die auch PSD2-APIs (Application Programming Interfaces) genannt werden – grundsätzlich danach, ob die regulatorischen Anforderungen erfüllt werden; sie erstellt keine Rangliste mit Noten.

Die Kriterien Ihres Tests beziehen sich zu einem Teil auf Funktionalitäten, die über die regulatorischen Anforderungen hinausgehen.”

Beispielhaft möchte ich kurz auf zwei Aspekte eingehen. Zum einen mag ein kombinierter Prozessfluss für Zahlungsauslöse- und Kontoinformationsdienste aus Gründen der Benutzerfreundlichkeit von den Anbietern dieser Dienste bevorzugt werden. Die PSD2 unterscheidet aber explizit zwischen beiden Dienstleistungen. Zum anderen stellt die bei einigen Dienstleistern unbeliebte Authentifizierung über den sog. Redirection-Ansatz keinen Verstoß gegen regulatorische Anforderungen dar – in vielen anderen europäischen Ländern ist er sogar der Normalfall. Im Übrigen gibt es auch Marktteilnehmer, die diesen Ansatz wegen des reduzierten Migrationsaufwands bevorzugen. Erlauben Sie mir daher an dieser Stelle den Hinweis, dass der Test womöglich nicht die Erfahrungen des Gesamtmarktes widerspiegelt.

Die Bank Santander hat am 2.12. von der BaFin die Ausnahmegenehmigung vom Notfallmechanismus erhalten und am 10.12. auf der Website (hier) veröffentlicht. Wir wissen aus dem Test, dass die Serverantwortzeiten offensichtlich noch Probleme verursachen. Warum hat die BaFin die Genehmigung trotzdem erteilt?

Zu einzelnen Instituten werde ich mich an dieser Stelle nicht äußern. Ich möchte aber darauf hinweisen, dass es keine absoluten, sondern nur relative Vorgaben in Bezug auf die Performanz der PSD2-Schnittstellen gibt.

Im Vergleich mit dem Online-Banking darf diese nicht schlechter sein.”

Die perfekte und absolut fehlerfreie Schnittstelle gibt es auch hier nicht.

Bei den Sparkassen ist ein Zahlungsauslösedienst mit Abruf der Kontenliste mit einer einzigen starken Kundenauthentifizierung möglich. Das ist vorbildlich, da es dem Endkunden dient.
Wieso wird dieser Best-Practice-Ansatz nicht auch gegenüber den anderen Banken forciert?

Ich stimme Ihnen zu, dass dies ein Best-Practice Ansatz sein kann, um Zahlungsauslösedienste noch besser im Markt zu etablieren. Es ist aber keine regulatorische Anforderung.

Es wurde uns von mehreren Anbietern gespiegelt, dass einzelne Banken die Fragen von Drittanbietern nicht beantworten bzw. die Probleme nicht beheben. Wie kann die BaFin hier unterstützen, um den Austausch zu optimieren?

Neben einem angemessenen technischen Support erwarten wir bei Problemen auf Bankenseite selbstverständlich eine unverzügliche Problembehebung. Sollte dies nicht erfolgen, gehen wir diesen Fällen nach.”

Um den Informationsaustausch zu fördern, hat die BaFin bereits mehrere Workshops – auch im Videokonferenzformat – zu den PSD2-Schnittstellen veranstaltet, zu denen alle Marktteilnehmer bzw. deren Interessensvertretungen eingeladen waren. Diese Workshops haben meines Erachtens sehr geholfen, grundsätzliche Fragen zu beantworten und Missverständnisse aufzuklären.

Es gibt Banken-APIs, die können nicht selbständig von Zahlungsauslöse- und Konto­informations­dienstleistern integriert werden. Doch auf Anfragen reagieren einige Banken nicht zeitnah. So kann eine PSD2-API nicht auf Marktkonformität getestet werden. Gibt es eine Art Schiedsstelle bei der BaFin, die solche Konflikte löst?

Eine PSD2-Schnittstelle sollte immer selbständig unter Zuhilfenahme der bereitgestellten Dokumentation und der Nutzung der Testschnittstellen integriert werden können. Bleiben noch Fragen offen, sollten diese über den Support der Bank beantwortet werden. Ist die technische Anbindung einer Schnittstelle trotzdem nicht möglich, so können sich die Zahlungsdienstleister selbstverständlich mit einem entsprechenden Hinweis an die BaFin wenden.

Tobias Schmidt-Hardt, BaFin-Fachreferent Referat Cybersicherheit in der Digitalisierung
Tobias Schmidt-Hardt ist bei der BaFin (Website) im Referat Cybersicherheit in der Digitalisierung als Fachreferent tätig. Sein Schwerpunkt sind die regulatorischen Anforderungen an die IT-Sicherheit im Zahlungsverkehr. Hierbei ist er eng in die europäischen Arbeitsgruppen bei der EBA und EZB eingebunden. Zuvor war der Wirtschaftsinformatiker als Software­entwickler und IT-Berater tätig.

Im praktischen Betrieb der PSD2-API kam es zu Zahlungsausfällen, die durch Institute verursacht werden. Diese geben aber (selbst zu kritischen Zahlungsausfällen) keine Informationen heraus – mit Hinweis auf den Datenschutz. So sei den Zahlungsauslösediensten eine Korrektur unmöglich. Muss da nicht die BaFin aktiv werden und den Kommunikationsfluss klären?

Ich gehe davon aus, dass Sie Zahlungsaufträge meinen, die trotz korrekter Übermittlung an die Bank nicht ausgeführt werden.

Hier möchte ich zunächst anmerken, dass die PSD2 von den Banken keine Zahlungsgarantie gegenüber Zahlungs­auslöse­dienstleistern verlangt.”

Weiter ist zu unterscheiden, ob vielleicht ein technisches Problem der Grund für die nicht erfolgte Zahlung war oder ob die Transaktions­überwachungs­mechanismen der Bank die Ausführung möglicherweise abgelehnt haben. Bei technischen Problemen muss natürlich eine entsprechende Korrektur auf Bankenseite erfolgen. Sollten Daten fehlerhaft übermittelt worden sein, so sollte die Schnittstelle eine verständliche Fehlermeldung zurückgeben. Details oder Ergebnisse der Transaktionsüberwachung werden von Banken aus Sicherheitsgründen nicht offengelegt.

Diese würden aber auch den eigenen Kunden im Online-Banking nicht unmittelbar angezeigt.”

Das halte ich für nachvollziehbar, da diese Informationen sicherheitssensibel sein können.

Welche Möglichkeiten hat die BaFin, um die unterschiedlichen Standards (z. B. MT940 versus Berlin Group) anzugleichen oder allen Marktbeteiligten mit verbindlichen Datenformaten die Handhabung zu erleichtern?

Die PSD2 bzw. die konkretisierenden Regelungen zu den PSD2-Schnittstellen in der Delegierten Verordnung sind bewusst technologieneutral ausgestaltet. Der Gesetzgeber möchte die Nutzung unterschiedlicher Technologien ermöglichen.”

Derzeit fallen nur grundlegende Funktionen unter die Leistungen, die über eine PSD2-Schnittstelle angeboten werden müssen. Weiterführende Daten (wie zum Beispiel den Kontokorrentkredit) wollen die Banken als Premium-Dienste verkaufen, obwohl diese Informationen im Onlinebanking per Screenscraping entnommen werden können. Hat der Funktionsumfang der PSD2-API nicht den Daten zu entsprechen, die ein Dienstleister per Screenscraping erhalten könnte?

Nicht alle Daten, die theoretisch via Screenscraping über das Online-Banking abgerufen werden können, sind Daten, die über eine Kontozugangsschnittstelle bereitzustellen sind.”

Die Delegierte Verordnung beschränkt den Zugriff auf Informationen von bezeichneten Zahlungskonten und damit in Zusammenhang stehenden Zahlungsvorgängen, die einem Kontoinformationsdienstleister zur Verfügung zu stellen sind. Bei Zahlungsauslösungen ist ein Zugriff auf Kontoinformationen vor der Zahlungsinitiierung gar nicht vorgesehen. Es ist lediglich die Information zurückzuspielen, ob das entsprechende Zahlungskonto über eine ausreichende Deckung für die Zahlungsausführung verfügt, wobei ein eventuell vereinbarter Kreditrahmen zwischen Kunde und Bank zu berücksichtigen ist.

Herr Schmidt-Hardt, vielen Dank für das interview.aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/132862
 
 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.