Am 14. März 2018 wurden die finalen Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation im Amtsblatt des EU Parlaments veröffentlicht. Die von Finanzinstituten lang ersehnten RTS konkretisieren die Anforderungen gemäß der Payment Service Directive 2 (PSD2). Die Zeit drängt bis zum 14. September 2019 muss eine Umsetzung erfolgt sein. Bereits sechs Monate zuvor, am 14. März 2019, müssen Zahlungsdienste den Kontoinformations- und Zahlungsauslösediensten eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung bereitstellen.

von Bianca Zylka und Sven Korschinowski, KPMG

Es bleibt weniger als ein Jahr, um alle offenen Fragen zu klären und dem Markt valide Lösungen zu präsentieren. Der Artikel fasst die wesentlichen Punkte der RTS zusammen und zeigt die größten Herausforderungen für Finanzinstitute auf.

Mit dem Ziel, das Betrugsrisiko für elektronisch angebotene Zahlungsdienste zu minimieren, schreiben die RTS Zahlungsdienstleistern künftig vor, dass die Authentifizierung des Kunden anhand von mindestens zwei Elementen der Kategorie Wissen, Besitz und Inhärenz durchgeführt werden muss und Zahlvorgänge dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpft sind.

Die RTS definiert die Authentifizierung — KPMG

Um gleichzeitig ein ausreichendes Maß an Benutzer- und Kundenfreundlichkeit aufrecht zu erhalten, sehen die RTS eine Reihe von Ausnahmen vor:

Wesentliche Herausforderung für Zahlungsdienstleister ist hierbei der Spagat zwischen Umsetzungsaufwand, einem angemessenen Sicherheitsniveau und optimaler User Experience. Die Ausnahmen von der 2-Faktor-Authentifzierung (mit und ohne dynamischer Verbindung) sind für die Finanzinstitute optional. Da die Entscheidung auf Seiten der Institute liegt, müssen diese abwägen, ob und welche Ausnahmen geltend gemacht werden. Vor allem das Risikomanagement und die Transaktionsüberwachungsmechanismen sind bei dieser Frage in der Pflicht.

Gemeinsame und sichere offene Kommunikationsstandards: Zugang 3. Zahlungsdienstleister

Open Banking

Open Banking: Im Zuge der Open Banking Bewegung streben Banken an – ähnlich wie die TechGiants Google und Amazon – ein digitales marktplatzähnliches Ökosystems im Banking zu bilden. Ziel dabei ist es durch Kooperationen mit verschiedenen Partnern und Drittanbietern den Kunden in jeder Situation des Alltags abzuholen und einen One-Stop Shop für Banking und Banking-nahe Produkte und Dienstleistungen zu etablieren.

Ab dem 14. September 2019 muss der Zugang für 3. Zahlungsdienstleister (3. ZDL) produktiv sein. Wie dies erreicht wird, muss jeder Zahlungsdienstleister für sich entscheiden. Es steht ihnen offen, eine dedizierte Schnittstelle zur Kommunikation mit den 3. Zahlungsdienstleistern zur Verfügung zu stellen oder bereits bestehende Schnittstellen zu nutzen und PSD2-konform weiterzuentwickeln. Bei der Entscheidung ist zu beachten, dass dezidierte Schnittstellen hinsichtlich Verfügbarkeit und Leistung das gleiche Service Level aufweisen müssen wie die Online-Banking-Plattformen der kontoführenden Zahlungsdienstleister.

Auch wenn die finalen RTS in Bezug auf die sichere offene Kommunikation keine Überraschungen für Finanzinstitute bereithalten, stehen diese doch vor einigen Herausforderungen. So müssen sie sich aufgrund der fehlenden Vorgaben in den RTS zu allererst in der Frage positionieren, ob sie eigene Formate für die Programmierschnittstellen (kurz API= Programmteil, das von einem Softwaresystem anderen Programmen zur Anbindung an das System zur Verfügung gestellt wird) bereitstellen wollen oder ob sie sich aktuellen europaweiten Marktinitiativen wie der Berlin Group anschließen, und deren Standard nutzen.”

Autor Sven Korschinowski

Sven Korschinowski leitet als Partner den Bereich „Payment & Innovation Consulting“ bei der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG und verantwortet die Deutschland-Aktivitäten zum Thema Mobile Payment.

Bianca Zylka ist als Managerin der KPMG im Bereich Financial Services spezialisiert auf die Beratung von IT-Implementierungen und der Projektdurchführung zum Thema Zahlungen. Sie verfügt über mehr als 12 Jahre fundierte Berufserfahrung, davon 8 Jahre in der Leitung und verantwortlichen Durchführung von IT-Projekten im Bereich Zahlungsverkehr und damit verbundenen regulatorischen Anforderungen, sowie als Business Analystin einer internationalen Großbank. Sie verantwortet aus strategischer wie technischer Sicht die Payment-IT-Umsetzungen bei Banken.

Gemeinsame Standards können dabei helfen, eine fragmentierte Umsetzung und weitere Interventionen des Gesetzgebers zu vermeiden und das volle Potenzial offener Schnittstellen zu entfalten. Eine weitere Herausforderung ist, dass aktuell nicht abzusehen ist, wie groß die zusätzliche Belastung der IT-Systeme durch den Zugriff 3. ZDL künftig sein wird und ob die von den kontoführenden Instituten bereitgestellten Schnittstellen den Anforderungen hinsichtlich Antwortzeiten und Verfügbarkeit genügen werden. Entsprechende Prognosen und Erfahrungswerte aus anderen Märkten, in denen Banken bereits heute Drittanbieter Zugriff auf die IT-Systeme im Zuge der Open Banking-Bewegung erlauben, sind frühzeitig in den Umsetzungsprojekten zu berücksichtigen, um die Kapazität der IT-Infrastrukturen ggf. entsprechend zu erweitern.

Die Öffnung der Kernbank-Systeme über APIs setzt die Banken (und Kundendaten) darüber hinaus neuen, potenziellen Cyber-Risiken aus. Das pure Vertrauen auf die Integrität 3. ZDL ist nicht angebracht. Um resultierende Reputationsrisiken und finanzielle Schäden zu minimieren, müssen bei der technischen Umsetzung der APIs und der API-Management-Systeme Sicherheitsmechanismen bereits bei der Systemauswahl hohe Priorität eingeräumt werden. Eine Einbindung der Open Banking-Lösung in das Informationssicherheitsmanagement der Bank ist zwingend erforderlich.

RTS: Banken müssen sich für die Zukunft gut positionieren

Hoher Zeitdruck, gestiegene Kundenerwartungen und der Hoheitsverlust über die Kundendaten – den Finanzinstituten stehen turbulente Zeiten bevor. Bevor sie sich nun aber blind in die Umsetzung der RTS stürzen, müssen sich die Institute vor allem die Frage stellen, welche Position sie im veränderten Markt einnehmen wollen. Wie sichert man das über Jahrzehnte gewachsene Vertrauen der Kunden und bleibt im direkten Kontakt? Sind vermehrte Kooperationen mit FinTechs sinnvoll und sollen über die Open Banking-Plattform abgebildet werden, oder wollen sie ausschließlich die regulatorischen Anforderungen der PSD2 erfüllen? Nur wenn die Finanzinstitute klare Antworten auf diese und ähnliche Fragen finden, können sie von den mit der PSD2 einhergehenden Chancen profitieren.aj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/69961

Robert Schudey sagt:

2. Mai 2018 um 16:24 Uhr

Hallo liebe ZV-Kollegen,

der Artikel bildet eine gute Wissensgrundlage und Überblick zu PSD2.
Ich würde aber den Begriff Zahlungsdienstleister noch etwas konkretisieren. Es geht in der Regel um den Provider, der die APIs zur Verfügung stellen muss (also i.d.R. die Banken bzw. kontoführende Institute). Bei den zahlreichen Abkürzungen in der PSD2, die manchmal unglücklich gewählt sind (PSPs, PISPs, AISPs etc.) kann man schnell durcheinander kommen. Es ist dabei immer wichtig zu wissen, wer nun was machen bzw. zur Verfügung stellen muss.

Beste Grüße

Robert Schudey

Antworten

Bin ich überfragt sagt:

3. Mai 2018 um 19:04 Uhr

Wieso ist man denn mit 12 Jahren fundierter Berufserfahrung und Top Expertise noch auf dem Manager-Level bei KPMG? 😱

PSD2: Finale RTS zur starken Kundenauthentifizierung und sicheren Kommunikation – doch wie umsetzen?

Gemeinsame und sichere offene Kommunikationsstandards: Zugang 3. Zahlungsdienstleister

RTS: Banken müssen sich für die Zukunft gut positionieren

Schreiben Sie einen Kommentar Antworten abbrechen

Veranstaltungskalender

Finance-Forward-Konferenz 2024

#digifin24 | Digital Finance Conference 2024

Rise of AI Conference 2024

Norddeutscher Versicherungstag

ITC DIA Europe Amsterdam 2024