PSD3 und PSR: „Die Aufsicht schreibt indirekt eine echtzeitfähige Bank-IT vor“

Die PSD3 kommt mit großen Schritten. Vor allem der IBAN-Name-Check dürfte die Banken beschäftigen. Doch der Teufel stecke diesmal nicht in diesem einen Detail, sondern gleich in vielen, sagt Swaantje Anneke Völkel von PPI. Die Institute müssten beispielsweise „Permission Dashboards“ einrichten, damit Kunden regeln können, wer auf ihre Konten zugreifen darf. Zudem haften sie künftig, wenn Verbraucher Betrügern auf den Leim gehen und beispielsweise auf Social Engineering hereinfallen.

Frau Völkel, vor gut sieben Jahren hat das Bonmot von „IBAN dem Schrecklichen“ die Runde gemacht. Wie schlimm wird der IBAN-Name-Check aus der PSD3 wirklich?

An IBAN den Schrecklichen erinnere ich mich noch gut. Ich glaube, die große Angst war, dass sich die Verbraucher nicht schnell genug umgewöhnen oder Fehler machen, wenn sie ihre Überweisungen vorbereiten. Inzwischen wissen wir, dass diese Angst unbegründet war, weil sich wegen des Prüfzeichens niemand mehr bei der IBAN vertippen kann.

Neu ist jetzt, dass die Bank prüfen muss, ob eine IBAN auch zum Empfänger passt. Vereinfacht gesagt, muss sie die Eingabedaten mit den Stammdaten der Empfängerbank abgleichen. Wie genau das geschehen soll, schreibt die PSD3 aber nicht vor. Darin liegt eine Herausforderung.”

Ist das wirklich so eine große Sache? Inzwischen gibt es Anbieter wie Surepay, die sehr schnell eine europäische Lösung für den Name Check angekündigt haben.

Es ist gut, dass jetzt schon einige Player am Markt sind, die den Name Check anbieten. In den Niederlanden ist Surepay führend. Ich weiß auch, dass das System mit SEPAmail kooperieren will. SEPAmail ist das französische Pendant, das den dortigen Markt abdeckt. In Italien gibt es CBI, das IBAN und Steuernummer abgleicht. Auch diesen Dienst will Surepay anbinden. Spaniens Iberpay scheint aber schon nicht mehr dabei zu sein. [s.u., bitte Update beachten, Anm. d. Red]

Damit der IBAN-Name-Check funktioniert, müssen alle Institute in allen 27 EU-Ländern erreichbar sein. Hier geht es um 100 Prozent und nicht um 100 einzelne Institute, die ein einzelner Dienstleister heute schon erreicht. Darum glaube ich, dass auch das EPC gefragt ist.”

Was ist aus Ihrer Sicht genau zu tun?

Wir nehmen im Markt wahr, dass sich die Institute Leitplanken wie ein EPC-Rulebook zum IBAN-Name-Check wünschen. Auf den ersten Blick klingt es logisch und nachvollziehbar, nach einer europäischen Lösung zu rufen. Andererseits sollten wir keine funktionierenden nationalen Lösungen vom Markt verdrängen.

In Deutschland haben wir das schon einmal erlebt, als es um die PSD2 und Access to Account im Multibanking ging. FinTS war bereits etabliert und akzeptiert, plötzlich musste es aber eine dedizierte PSD2-Schnittstelle sein. Und ausgerechnet damit kam die ganze Idee vom Multibanking bei einigen Anbietern erst ins Stocken und zum Stichtag häufig ganz zum Erliegen. Man könnte sagen, dass die europäische Regulierung zumindest für Deutschland ein Rückschritt war.”

Davor sollten wir uns hüten. Darum wünscht sich der Markt, dass sich jemand wie das European Payment Council einschaltet.

Was spricht denn gegen Drittanbieter wie Surepay, die als technischer Mittler zwischen den bestehenden nationalen Lösungen auftreten?

Prinzipiell gar nichts. Auch andere Dienste ermöglichen, IBAN und Kontoinhaber abzugleichen. Das ist aber nicht der Punkt. Es geht um Reichweite zu allen Banken in allen EU-Ländern. Wenn wir einen Flickenteppich von vielen Third Party Providern (TPP) bekommen, ist den Banken nicht geholfen. Damit sie ihre Pflicht erfüllen können, müssten sie zwar nicht mehr jede Bank einzeln adressieren aber doch zumindest so viele TPPs anbinden, dass sie die 100 Prozent abdecken.

Also doch eine dedizierte Bankschnittstelle?

Das ist eben nicht so einfach, weil der Gesetzgeber keine technischen Vorgaben macht. So etwas wie ein Standard muss sich deshalb am Markt entwickeln. Doch selbst wenn sich sehr gute Lösungen herausbilden wie die Berlin Group, ist damit noch nicht gesagt, dass wirklich alle mitmachen. Ein offizielles Rulebook würde deshalb die nötige Klarheit schaffen. Diese Klarheit brauchen wir auch deshalb, damit die Banken entscheiden können, welche Abweichungen sie tolerieren dürfen.

Abweichungen? Ist es nicht so, dass Name und IBAN einfach stimmen müssen?

Schon. Aber wie streng wollen Sie dabei sein? Stimmt der Name schon nicht mehr, wenn ich René mit einem falschen Diakritikum schreibe? Oder es ganz vergesse?”

Das Online-Banking schränkt zudem den erlaubten Zeichensatz ein, stärker noch als die innerhalb der Stammdaten erlaubte Vielfalt. Wer ganz einfach den Namen im Online-Banking mit dem Namen in den Stammdaten abgleichen will, steuert nahezu automatisch auf eine Abweichung zu. Und was ist mit Kosenamen oder Rufnamen, die nicht in offiziellen Ausweisdokumenten stehen und deshalb auch nicht in den Stammdaten?

Oder Unternehmen – die führen gar nicht so selten einen Handelsnamen, der von ihrem juristischen Namen abweicht. Media Markt und Saturn sind beispielsweise eigene Handelsnamen, obwohl sie dem gleichen Konzern angehören. Bei Filialgeschäften gilt dasselbe. Muss ich die Zahlung ablehnen, weil die Niederlassung eines Autohändlers zwar auf der Rechnung steht, die Anzahlung aber auf ein Konzernkonto zu leisten ist? Was ist mit innereuropäischen Auslandsüberweisungen und damit verbundenen Transliterationen von Namen in andere Alphabete? Oder…

… okay, okay…

… okay (lacht). Worum es also geht, ist sicherzustellen, dass die Kunden kein mulmiges Gefühl bekommen, wenn sie ihre Überweisungen tätigen oder mit seltsamen Meldungen konfrontiert werden, obwohl sie sich sicher sind, alles richtig gemacht zu haben. Die Banken müssen sich also überlegen, welchen Grad an Abweichung sie zulassen. Praktisch heißt das, das vermutete Verhalten eines Kunden in ein Modell zu übersetzen. Diese Logik zieht sich durch die gesamten Entwurfstexte von PSD3 und PSR.

Was genau meinen Sie damit, dass Banken das vermutete Verhalten eines Kunden in ein Modell übersetzen müssen?

Ich meine damit, dass es nicht mehr allein um technische Schnittstellen geht, sondern vor allem darum, wie ein Kunde mit der Bank interagiert. Beim IBAN-Name-Check geht es über die Reichweite hinaus vor allem darum zu erahnen, wie Kunden Überweisungen tätigen und wo eine Bank tatsächlich eingreifen muss.

Die nächste Herausforderung besteht darin, dass Banken ihren Kunden ein Dashboard anbieten müssen. Gemeint sind „ongoing Permissions“, die Kunden beispielsweise einem Kontoinformationsdienst (KID) einräumen wollen.”

Das sieht der PSR-Entwurf in Art. 43 vor. Aufzulisten ist der Name des Anbieters, das Konto, auf das sich die Berechtigung bezieht, und wie lange diese gilt. Das Problem: all das kann sich von einem Augenblick auf den anderen ändern. Ohne eine Echtzeit-Infrastruktur dürfte das alles ziemlich umständlich werden.

Welche Herausforderungen sehen Sie dabei?

Ich glaube, es geht hier gar nicht so sehr um konkrete Herausforderungen. Klar, ich muss als Bank irgendwie technisch lösen, dass die Daten vernünftig ein- und ausgehen. Darüber lässt sich beliebig viel sagen. Worum es mir aber geht, ist ein Trend, der sich beobachten lässt, und zwar, dass die Aufsicht indirekt eine echtzeitfähige Bank-IT vorschreibt.

Wir erleben das bei Instant Payments, da steckt es sogar im Namen, aber jetzt auch beim IBAN-Name-Check oder den Permission Dashboards – nirgends geht es noch ohne echtzeitfähige IT. Die Banken sollen in der Lage sein, sofort auf das zu reagieren, was der Kunde tut. Beim IBAN-Name-Check müssen die Stammdaten beispielsweise in Echtzeit und vor allem auch außerhalb der üblichen Geschäftszeiten bereitstehen, weil der gesamte Vorgang nur wenige Augenblicke dauern darf. Wer abends vor der Tagesschau noch eine Überweisung tätigen will, kann nicht bis zum Morgenmagazin warten, nur weil der IBAN-Name-Check so lange braucht.

Gleiches gilt für die Betrugssysteme. Die müssen 24/7 laufen und die Kunden etwa auch vor Social Engineering schützen. Wer nach Feierabend beispielsweise auf einen vermeintlichen Anruf seiner Bank reinfällt, weil sich jemand als Bankmitarbeiter ausgibt, und dadurch ein Schaden entsteht, haftet die Bank.”

Jemanden vor Betrug zu schützen, lässt sich doch sicher mit einer geeigneten Prävention machen. Oder nicht?

Sicher, doch dabei dürfte es nicht bleiben.

Die Erwägungsgründe 79 und 80 des PSR-Entwurfs sehen vor, dass Verbraucher bei betrügerischen Zahlungsvorgängen auch dann geschützt sein sollen, wenn sie diese Vorgänge selbst genehmigt haben und gar nicht wissen, dass sie gerade dabei sind sich reinlegen zu lassen.”

Das kann eine Bank nur leisten, wenn sie bei den gefährlichen Maschen immer up to date ist. Jede neue Betrugsmasche ist wie ein Zero-Day-Exploit für die Bank-IT, mit dem Unterschied, dass es sich nicht um eine Sicherheitslücke in der eigenen Software handelt, sondern um ein verdächtiges Verhalten, das die Bank aber erst als solches identifizieren muss. Jedenfalls wird sie sich nicht mehr rundweg darauf berufen können, dass der Kunde die Zahlung ja freigegeben habe.

Was heißt das konkret?

Ich bin kein Jurist, deshalb hüte ich mich vor vorschnellen Urteilen. Rechtsanwalt Dr. Matthias Terlau geht jedenfalls davon aus, dass es den Banken künftig gelingen müsse, dem Kunden grobe Fahrlässigkeit oder selbst betrügerisches Handeln nachzuweisen, um nicht am Ende doch auf dem Schaden sitzen zu bleiben. Das Beispiel mit dem Betrüger, der sich als Bankmitarbeiter ausgibt, hat es explizit bereits in den PSR-Entwurf geschafft. Dort heißt es ausdrücklich, dass es nicht mehr möglich sei, wie in der Richtlinie (EU) 2015/2366 noch vorgesehen, eventuelle Erstattungen nur auf nicht genehmigte Transaktionen zu beschränken. Grundsätzlich wird die Betrugsprävention einen noch höheren Stellenwert bekommen müssen als heute, weil absehbar ist, dass die Banken eher mehr als weniger haften werden.

Frau Völkel, vielen Dank für das Interview.aj

Update 16.8. zu SurePay: Wir wurden von SurePay informiert, dass CBI ist bereits an SurePay angebunden ist und mit Iberpay Gespräche für einen Anschluss in den nächsten Monaten laufen.