Wie können wir Ihnen helfen?

Hier kannst Du uns persönlich treffen.

mehr erfahren

Unsere Lösung für den internen Ideenaustausch

mehr erfahren

Hören, lesen, sehen – der neue IT-Blog der Lösungsfinder

mehr erfahren
kununu widget

Weitere Inhalte

PSD2 – Bedrohung oder Chance?

„Zahlungsverkehrsrichtlinie PSD2 - Directive (EU) 2015/2366“ - ein komplizierter Name, der jedoch ein ziemlich einfaches Ziel verfolgt: Kunden sollen in Zukunft einfacher, schneller und sicherer bezahlen können. Um das zu ermöglichen, wird zukünftig von europäischen Banken verlangt, dass sie ihre Zahlungs-Infrastruktur und Kundendaten auch anderen Anbietern zugänglich machen. Dies funktioniert mit Hilfe von sogenannten APIs (Application Programming Interface), also mit Hilfe von Schnittstellen, die Programme für die Anbindung an andere Systeme nutzen können. Ungefähr so, wie die Online-Banking-Standards FinTS und HBCI dafür genutzt werden können, die Schnittstelle zwischen Bankkunden und verschiedenen Kreditinstituten zu vereinheitlichen.

Wann kommt PSD2?

Schon 2007 wurde die Payment Service Directive (PSD) ins Leben gerufen, um die Einführung von SEPA, der Single Euro Payments Area, zu unterstützen. Ziel war es damals, die verschiedenen nationalen Gesetze zu vereinheitlichen, um so einen rechtlichen Rahmen für einen einheitlichen europäischen Zahlungsverkehrsraum zu schaffen [1].

Aufgrund der immer stärkeren Digitalisierung und der immer größeren Nachfrage von Endverbrauchern nach innovativen und einfachen Lösungen, wurde 2013 von der Europäischen Kommission eine überarbeitete Zahlungsverkehrsrichtlinie - die PSD2 - vorgeschlagen und schließlich Anfang 2016 verabschiedet. Anschließend mussten neue Regeln definiert werden, wie zukünftig die Kommunikation zwischen Banken und Drittanbietern oder die Authentifizierung von Usern ablaufen sollte. Diese wurde im November 2017 durch die Europäische Kommission veröffentlicht. Die regulatorisch technischen Anforderungen (RTS), die beschreiben, wie diese Regeln umzusetzen sind, wurden am 13. März 2018 publiziert. Von diesem Zeitpunkt an haben alle Beteiligten 18 Monate Zeit die RTS umzusetzen.

Abb.: Zeitplan zur Einführung der PSD2 und Umsetzung der regulatorisch technischen Anforderungen

Das Ziel von PSD2

Das Ziel von PSD2 ist es, den Zahlungsverkehr für die Endverbraucher besser, schneller und gleichzeitig sicherer zu machen. Dies betrifft die drei Szenarien [2].

  • Online-Zugriff auf ein Zahlungs- oder Abrechnungskonto
  • Einleiten von elektronischen Zahlungsvorgängen
  • Ändern von sensiblen Kundendaten (wie Namen oder Adressen).

Gleichzeitig ermöglichen die Richtlinien jedoch auch neuen Zahlungsdienstleistern (PSP-Payment Service Provider) und FinTechs den Einstieg in den Markt. Dabei werden grundsätzlich zwei Gruppen von Anbietern unterschieden: Kontoinformationsdienste, sogenannte Account Information Service Providers (AISPs), und Zahlungsauslösedienste, also Payment Initiation Services Providers (PISPs).

PSD2 unterscheidet zwei Gruppen von Anbietern:

A. Account Information Service Providers (AISPs) – Kontoinformationsdienste
AISPs sind berechtigt auf Zahlungs- und Abrechnungskonten des Kunden zuzugreifen und ihm konsolidierte Kontoinformationen bereitzustellen.

B. Payment Initiation Services Providers (PISPs) – Zahlungsauslösedienste
PISPs sind berechtigt elektronische Zahlungsvorgänge im Namen des Kunden einzuleiten.

  • Beispiel A: Martina möchte einen Überblick über Ihre Finanzen bekommen. Wie viel Geld nimmt sie monatlich mit ihrem Onlineshop ein, wie viel Zins und Tilgung zahlt sie für ihr Darlehen, wie hoch sind ihre Kreditkartenabrechnungen, etc. Dazu nutzt sie einen AISP, der die benötigten Informationen von den verschiedenen Konten und Banken besorgt und zusammenführt.
  • Beispiel B: Jan möchte etwas aus dem Onlineshop von Martina bestellen. Er besitzt keine Kreditkarte, nutzt kein paydirekt und eine TAN für eine Überweisung hat er auch nicht zur Hand. Er kann jedoch durch das Übermitteln von zus. Informationen (z.B. IBAN) eine Zahlung über einen PISP an Martina einleiten, so dass diese ihre Ware gefahrlos versenden kann.
Abb.:  Beispiel für einen Kontoinformationsdienstleister (AISP) und einen Zahlungsauslösedienstleister (PISP)

Bisher war so etwas auch über das sogenannte Screen Scraping möglich. Dabei würden Jan oder Martina einfach einem Drittanbieter ihre Login Daten übermitteln und dieser gibt sich dann als sie selbst aus, um sich die benötigten Daten zu besorgen. Nach der Übergangsperiode Ende 2019 müssen ASPSPs (Account Servicing Payment Service Provider – kontobezogener Zahlungsdienstleister oder Banken) allen Drittanbietern jedoch entweder eine eigene dedizierte Schnittstelle bieten oder sie dieselbe nutzen lassen, wie sie ihren eigenen Kunden bereitstellen. Nur für den Fall, dass diese versagen, darf als Fallback-Szenario noch auf das Screen Scraping zurückgegriffen werden.

Das alles klingt zunächst einmal so, als wären Banken durch die neuen Gesetze im Nachteil und müssten sich Sorgen machen, Kunden an die neuen Anbieter zu verlieren. Die neuen Richtlinien bieten jedoch auch für sie ganz neue Möglichkeiten. Möglichkeiten zum einen, Umsatz zu generieren und zum anderen das Knowhow von Drittanbietern für eigene Entwicklungen zu nutzen.

Die Grafik oben zeigt nur ein Beispiel, wie die Zufriedenheit bestehender Kunden gesteigert werden kann, ohne selbst etwas Neues entwickelt zu haben. PSD2 ist ein weiterer Schritt in Richtung Open Banking, den man nicht als Bedrohung, sondern als Chance ansehen sollte. Als Chance neue Kooperationen und Partnerschaften einzugehen, als Chance neue Geschäftsmodelle zu entwickeln und als Chance, sich von der Konkurrenz abzuheben, die lediglich versucht, die neuen Richtlinien umzusetzen.

Eine Möglichkeit wären zum Beispiel datenbasierte Finanzservices: Über einen sogenannten Aggregator könnte man Zugang zu den Kundendaten sämtlicher Finanzinstitute, Kreditkarten, Wertpapierkonten und FinTechs in Europa bekommen. Damit könnten neue digitale Produkte kreiert werden, die komplett auf die ganzheitliche Umsatzhistorie und das bisherige finanzielle Verhalten des Kunden zugeschnitten sind.

FI-SP hilft, die Chancen von PSD2 zu nutzen

Die FI-SP unterstützt Finanzdienstleister bei der Umsetzung der erforderlichen Anpassungen. Dazu gehören strategische Entscheidungen wie das Entwickeln und Umsetzen neuer API-getriebener Geschäftsmodelle, aber auch die Identifizierung von regulatorischen Handlungsfeldern, um sämtliche PSD2 Anforderungen zu erfüllen.

1. Strategische Entscheidungen

Durch den direkten Zugriff auf Kontoinformationen und die Möglichkeit, auch selbst direkt Zahlungen auszulösen, werden neue Unternehmen mit neuen Produkten und Lösungen in den Markt eindringen. Dies ermöglicht es aber auch den bestehenden Marktteilnehmern Kooperationen mit eben diesen Unternehmen einzugehen.

Diese FinTechs mögen zwar innovativer und schneller sein, doch fehlen ihnen auch zwei ganz entscheidende Dinge. Nämlich a) ein großer Kundenstamm und b) Kundendaten. Auf diese Weise könnten sich Banken und FinTechs prima ergänzen, denn jeder besitzt etwas, was der andere gerne hätte.

Der Schlüssel zu so einer Art von Kooperation werden APIs sein, die sich prinzipiell in drei Gruppen einteilen lassen: Private APIs, Partner APIs und offene APIs.

Abb.: Verschiedene Arten von APIs zur Kommunikation

Private APIs - Banken nutzen private APIs intern schon seit Jahren, um Daten zwischen Legacysystemen oder Funktionalitäten zwischen Anwendungen auszutauschen. Bei vielen Banken bilden sie das Rückgrat ihres Gesamtbanksystems (GBS). Sie sind oft unverzichtbar für das Betreiben von Back-Office Systemen, dienen als Schnittstelle zwischen Back- und Frontend Systemen oder der Aufrechterhaltung von Compliance.

Partner APIs - fördern die Integration mit anderen Firmen mit dem Ziel, Geschäftsfelder auszuweiten,  neue Kanäle zu eröffnen oder Prozesse zu vereinfachen. Ein Beispiel dafür können Verbundpartner sein (externe Partner wie z.B. Versicherungen), in deren Auftrag Verbundprodukte verkauft werden. Wenn die Abwicklung der Verträge über eine Partner API erfolgt, können diese direkt an das elektronische Postfach des Kunden bei seinem jeweiligen Kreditinstitut gesendet werden.

Offene APIs - sie stellen Funktionen und Daten der Bank anderen Firmen zur Verfügung, mit denen sie bisher noch gar keine Geschäftsbeziehung unterhält. Dies könnten beispielsweise veredelte Rohdaten sein, die das Institut mit Hilfe von Data-Mining gewonnen hat.

Ein Problem für Banken könnten jedoh genau diese offenen APIs werden, da sie zukünftig Drittanbietern nicht nur zur Verfügung gestellt werden, sondern auch bestimmte Bedingungen erfüllen müssen [3]:

  • der Drittanbieter  muss jederzeit in der Lage sein, sich gegenüber der Bank zu identifizieren
  • jeder AISP muss in der Lage sein, Informationen zu Konten oder Transaktionen über einen sicheren Kanal anzufordern oder zu erhalten
  • jeder PISP muss in der Lage sein, eine Zahlung des Kunden über einen sicheren Kanal auslösen und deren Status abfragen zu können

Dies kann über die dedizierten Schnittstelle geschehen oder über die für die eigenen Kunden bereits vorhandene. In beiden Fällen müssen die technischen Spezifikationen der Schnittstelle dokumentiert und Drittanbietern zugänglich gemacht werden. Zusätzlich muss eine Übersicht der Dokumentation öffentlich auf der Webseite zur Verfügung gestellt werden. Darüber hinaus müssen Banken Drittanbietern ebenfalls eine Testumgebung bereitstellen, damit diese ihre Software und Anwendungen testen können.

Die FI-SP ist seit Jahren enger Partner von Finanzinstituten und kennt deren Schnittstellen. Wir kennen stets die aktuellen Gesetze, Anforderungen und Möglichkeiten, die PSD2 betreffen. Finanzdienstleister sind mit uns auf die PSD2 optimal vorbereitet und in der Lage, die sich daraus ergebenden Chancen zu nutzen.

2. Regulatorische Handlungsfelder

Die FI-SP unterstützt Finanzdienstleister ebenfalls dabei, die neuen strengeren Vorschriften von PSD2 zu erfüllen. Diese können dazu führen, dass regulatorische Vorschriften wie KWG (Kreditwesensgesetz[4]), GwG (Geldwäschegesetz[5]) oder MaRisk (Mindestanforderungen an das Risikomanagement[6]) erneut unter die Lupe genommen werden müssen.

Die wahrscheinlich größte Herausforderung im Zusammenhang mit PSD2 ist jedoch, dass es jedem Drittanbieter ermöglicht werden muss, den Kunden eindeutig zu authentifizieren. Die europäische Bankenaufsichtsbehörde (EBA) hat hierfür genau definiert, wie a) diese Authentifizierung eines Kunden ablaufen muss und b.) welche Ausnahmen es geben wird bzw. welche Sicherheitsvorkehrungen von den Beteiligten getroffen werden müssen, um die Vertraulichkeit und Integrität des Kunden zu schützen.

Beide Punkte bergen sowohl Risiken (alle gesetzlichen Vorschriften einzuhalten), als auch Chancen (sich von den anderen Marktteilnehmern abzuheben) und sollten daher genau unter die Lupe genommen werden.

A. Kundenauthentifizierung

Gleich der allererste Punkt (Artikel 1, 1a) [7] der RTS besagt, dass die Identität des Kunden stets mit Hilfe einer starken Kundenauthentifizierung (SCA – Strong Customer Authentification) verifiziert werden muss. Voraussetzungen hierfür ist eine sogenannte Zwei-Faktor-Authentifizierung (2FA).

Dies ist im Grunde nichts Neues. Jeder der Online-Banking nutzt, gebraucht bereits eine 2FA durch die Eingabe einer PIN und beispielsweise einer pushTAN. Neu ist jedoch, dass SCA nun für weit mehr Vorgänge verpflichtend sein wird, als dies bisher der Fall war – wie z.B. das Ändern von sensiblen Daten wie der Adresse.

Die FI-SP kennt durch ihre langjährige Erfahrung sowohl die betroffenen Geschäftsvorfälle, als auch die neuen regulatorischen Anforderungen an diese. Wir können Sie somit dabei unterstützen:

  • sämtliche berührten Geschäftsvorfälle zu identifizieren
  • von den Ausnahmeregelungen Gebrauch zu machen, um die Benutzerfreundlichkeit zu erhöhen und sich von anderen Instituten abzuheben, die dies nicht tun
Abb.: Je 2 Faktoren müssen stets erfüllt sein

B. Ausnahmen für eine starke Kundenauthentifizierung

Die europäische Bankenaufsichtsbehörde (EBA) hat in der finalen Version der RTS bereits eine Reihe von Ausnahmen für eine starke Kundenauthentifizierung genannt.

Befreiung aufgrund der Höhe der Transaktion

Einige Transaktionen sind von dem Zwang zur starken Kundenauthentifizierung (SCA) ausgeschlossen. Es handelt sich dabei hauptsächlich um Vorgänge, die der Kunde entweder sehr häufig tätigt oder deren Beträge sehr niedrig sind. Dazu zählen z.B.:

  • das kontaktlose Zahlen am POS (Point of Sale) wenn der Betrag 50€ nicht übersteigt [8]
  • das elektronische Bezahlen von Parkgebühren oder Nahverkehrstickets [9]
  • Vorgänge, wenn sich der Zahlungsempfänger auf einer von dem Kunden angelegten “Whitelist“ befindet [10]
  • wenn sich der Kunde Geld an sich selbst sendet [11]
  • eine elektronische Zahlungsanweisung, die 30€ nicht übersteigt

Befreiung auf Basis der Transaktionsrisikoanalyse (TRA)

Jede Transaktion muss gemäß Artikel 2 der EBA-RTS vor der Ausführung auf ihre Betrugswahrscheinlichkeit untersucht. Liegt diese unter einem festgelegten Schwellenwert, so wird sie als Low-Risk Transaktion eingestuft und der Zahlungsdienstleister kann von der Ausnahme der SCA bis zu dem angegebenen Betrag Gebrauch machen (Artikel 16, 2a [12])

Die erfordert jedoch, dass der Zahlungsdienstleister (PSP) eine Real-Time Risikoanalyse durchführt, noch bevor die Zahlungsanweisung durchgeführt werden darf. Liegt das Ergebnis dieser Risikoanalyse unter dem Wert der Tabelle, kann der PSP von der Ausnahme bis zur Höhe des angegeben Schwellenbetrags Gebrauch machen.

BetragOnline EC-ZahlungenOnline-Überweisungen
EUR 5000,010,005
EUR 2500,060,01
EUR 1000,130,025

Dies ist zwar bequem für den Kunden und kann somit wieder helfen, sich von anderen Anbietern zu differenzieren. Es erfordert jedoch auch ein Transaktions-Monitoring-System, welches das Risiko sämtlicher elektronischen Zahlung in Echtzeit messen kann. Dazu muss es in der Lage sein, folgende Faktoren zu berücksichtigen:

  • abnormales Zahlungsverhalten des Kunden
  • Erkennen von Schadsoftware oder merkwürdigen Endgeräten
  • Identifizieren von bekannten Betrugs-Szenarien
  • Erkennen, ob der Kunde sich in einem für ihn ungewöhnlichen Land aufhält
  • Erkennen, ob der Zahlungsempfänger aus einem Hoch-Risiko-Land stammt

Zusätzlich müssen diese Risikowerte und jeder Betrugsfall gespeichert und für spätere Prüfungen archiviert werden. Dies ist nicht einfach, denn es erfordert Anwendungen, die dazu in der Lage sind, als auch die richtigen Informationen, mit denen diese versorgt werden müssen.

Die FI-SP betreut seit Jahren Systeme zur Transaktionsüberwachung und weiß, welche Daten nötig sind, um den neuen Anforderungen gerecht zu werden.

Fazit

Die neuen PSD2-Richtlinien sind nicht nur Herausforderung, sondern auch Chance für jeden Finanzdienstleister. Denn sie fordern die Institute auf, sich weiterzuentwickeln, neue Partnerschaften einzugehen und innovative Angebote und Services für die Kunden zu entwickeln. Institute können die Notwendigkeit zum Handeln aber auch zum Anlass nehmen, das benötigte Know-how aufzubauen, um die eigene IT-Infrastruktur zu modernisieren. Damit werden sie fit für die weiteren Herausforderungen, die die wachsende Digitalisierung mit sich bringen wird.

Dabei ist unbestritten, dass insbesondere der sichere Zugang zu Kundendaten und die Betrugsprävention vielen Instituten im Zusammenhang mit PSD2 nach wie vor Kopfzerbrechen bereiten. Mit der FI-SP finden sie aber einen erfahrenen Partner, der sowohl langjährige Erfahrung im Betreuen von Softwaresystemen zur Bekämpfung von Geldwäsche, Finanzbetrug und Terrorismusfinanzierung, als auch im Sammeln, Speichern und Aufbereiten der dafür notwendigen Daten (Business Intelligence) besitzt . Wir unterstützen Sie gerne dabei, PSD2-Compliant zu werden und diese neuen Anforderungen umzusetzen. Dabei gibt es keine pauschale Lösung von der Stange, um den richtigen Weg zu beschreiten. Aber als „Team der Lösungsfinder“ arbeiten wir gerne mit Ihnen gemeinsam daran, die optimale Lösung für Ihr Institut zu finden.

Quellenangaben: