PSD2 RTS – Was lange währt … wird es noch gut?

Data protection with person using a laptop on a white table

von Markus Orth, Director Business Development, APIIDA AG

Nachdem nach England, Italien und weiteren EU-Ländern jetzt auch die deutsche Bafin die Fristen zur Erfüllung der delegierten Verordnung zur PSD2 Richtline indirekt anpasst, überschlagen sich Industrie-, Handels- und Bankenverbände mit Stellungnahmen zu diesem Eingreifen. Erklärtes Ziel der Richtlinie ist im Wesentlichen eine Vereinfachung des Zahlungsverkehrs, eine Förderung des Wettbewerbsgedankens und ein verbesserter Verbraucherschutz. Wird es dem gerecht werden?

Die überarbeitete Zahlungsdiensterichtlinie ist bereits seit dem 13. Januar 2018 in nationales Recht europaweit umgesetzt worden – zumindest in einem Großteil der europäischen Staaten. Lediglich 3 der 28 Länder haben die Richtlinie bis heute noch nicht vollständig rechtlich umgesetzt. [1]

Ist jedoch bereits die Richtlinie mit ihren 117 Artikeln hinsichtlich Auswirkungen und der Umsetzung für Banken und Anbietern von Zahlungsdiensten zu interpretieren und zu bewerten gewesen, gilt dies in besonderem Maße für die erst im März 2018 veröffentlichte, ergänzende Verordnung zu den technischen Regulierungsstandards (RTS). Es folgten bis heute zahllose Ergänzungen, Stellungnahmen und Erweiterungen, welche die technischen Details der RTS zu füllen versuchen und die einigermaßen einheitliche Verwendung für regulierte Drittanbieter sicherstellen sollen. Auch ohne eine weitergehende qualitative Überprüfung der zum 13. März 2019 bereitgestellten Testumgebungen war zu beobachten, dass die überwiegende Mehrheit der Banken den zeitlich gesetzten Rahmen nicht erfüllten – teilweise mit starken nationalen Unterschieden. [2] Initiativen wie der Standard der Berlin Group zum NextGenPSD2 XS2A Anwendungsprotokoll und dem daran angelehnten NextGenPSD2 [3] Implementation Support Program (NISP [4]) konnten als ein erfolgversprechender Ansatz wahrgenommen werden, die Defizite der Regulierung in den Griff zu bekommen.

Wenige Wochen bevor am 14. September 2019 die technischen Vorgaben zur Zwei-Faktorauthentifizierung und zur dedizierten Kontozugriffsschnittstelle nun ihre Wirkung entfalten wird offensichtlich, was viele Experten befürchteten: Banken schaffen es nicht, die Vorgaben mit allen Ausnahmeregeln einzuführen. Teilweise werden diese auch sehr unterschiedlich umgesetzt, sodass selbst eine Überprüfung der Konformität durch nationale Aufsichtsbehörden zum Kraftakt wird. Fintech-Dienstleister stehen vor der Herausforderung, mitunter mangelhaft und nicht konform umgesetzte Schnittstellen anzusprechen. Als letzter in der Kette beklagt sich der Handel über zu wenig Zeit für die Umsetzung der neuen Bezahlmethoden und des Authentifizierungsverfahrens. Es steht die Befürchtung im Raum, im europäischen Zahlungsverkehr drohe das große Chaos: Kunden von Onlinehändlern könnten massenweise ihre Käufe abbrechen.

 

Woran liegt es?

Mit Blick auf die zeitgerechte und konforme Bereitstellung der technischen Schnittstellen wurde der technische Aufwand und die Prozesskomplexität von betroffenen Teilnehmern massiv unterschätzt. Weitestgehend offene Standards, viele Umsetzungsoptionen, fehlende Normierung und fortlaufende Detailklärungen von Seiten der Aufsichtsbehörden haben ihren Teil zu der Situation beigetragen. Hinzu kommt, dass die Planung, der Entwurf und die Umsetzung der Schnittstellentechnologien (APIs) für den direkten Zugriff unbekannter Drittdienstleister über ein öffentliches Netzwerk auf das Herzstück der Banken Neuland für die Mehrheit der IT-Organisationen in Banken gewesen ist. Es bedeutet, dass vormals geschlossene Systeme, die explizit dafür entworfen worden sind, sensible Kunden- und Zahlungsinformationen zu beschützen, jetzt geöffnet und diese Informationen gesichert online zugänglich gemacht werden sollen. Drittens gab es die Kombination der geforderten Technologien in einem streng regulierten Markt und dem Altbestand einer Banken-IT zuvor nicht in dieser Größenordnung. Selbst die einzelnen Elemente eines gesicherten API-basierten Zugriffs, zertifikatsbasierte Identifizierung der API-Konsumenten und die Zwei-Faktor-Authentifizierung beherrscht nur ein Bruchteil der Anbieter hinsichtlich einer tatsächlichen Betriebsfähigkeit und in Verbindung mit bankfachlicher und regulatorischer Expertise.

Viele Institute verfolgten zuletzt entweder einen „Minimum Compliance Approach“, um das Risiko vor diesem Hintergrund in den Griff zu bekommen und Kosten zu minimieren. Oder sie spielten die große strategische Karte, um sich zu erneuern und alte Zöpfe abzuschneiden. Im Resultat ist das Eine zu wenig und das Andere zu viel. Proprietäre Schnittstellen und aus dem Ruder laufende Projektpläne sowie gestresste IT-Budgets sind das Ergebnis. Lediglich die Institute, deren IT und Fachbereiche eng zusammengearbeitet haben und unter anderem von vorne herein eine industrielle API Management Lösung sowie notwendige API Security Mechanismen aufgebaut haben, konnten erfolgreich mit der Entwicklung der regulatorischen Standards mithalten.

 

Den Blick nach vorne richten

Ursprünglich sahen die nationalen Aufsichtsbehörden in Europa vor, dass mit Stichtag 14. September 2019 die europäischen Banken ausschließlich eine neue dedizierte Schnittstelle anbieten bzw. ihre bestehenden Kundenschnittstellen unter Berücksichtigung der RTS-Anforderungen weiter betreiben dürfen. Nun geben die Finanzaufsichtsbehörden, wie z.B. die Bafin in Deutschland, den Kreditinstituten jedoch mehr Zeit für die Umstellung und bestehende Schnittstellen können befristet unverändert weiter betrieben werden. Das kommt den Fintech-Dienstleistern entgegen, welche die bisherigen Schnittstellen mit den gewohnten Standards weiter nutzen können. Umgekehrt könnte dies aber grenzübergreifende Zahlungen komplizierter machen oder sogar blockieren, da sich die Länder nun auf unterschiedlichen Zeitachsen bewegen.

Zusammenfassend kann man feststellen, dass die PSD2 RTS auf technischer Ebene nicht hinreichend verbindlich ist, was die konkrete inhaltliche Umsetzung der Anforderungen betrifft. PSD2 hat weitreichende technologische und sicherheitstechnische Auswirkungen auf die Banken-IT, sowohl in der Umsetzung als auch im Betrieb. Nach ersten Erfahrungen aus den wenigen Testumgebungen und dem Marktest der proprietären Umsetzungen, realisieren mehr und mehr Aufsichtsbehörden, Kreditinstitute, Fintech-Dienstleister und IT-Unternehmen, dass die Auswirkungen der PSD2 Richtlinie unterschätzt worden sind. Wenige Institute bzw. Verbände hatten durch die teils drastischen Änderungen einen umfassenden Blick über die „Sandbox“ hinaus und konnten auf notwendige Anpassungen zeitnah reagieren.

 

...weitere Details zum APIIDA PSD2 Solution Pack finden Sie hier.

 

Mit Blick auf die nun gewährten Fristverlängerungen und den nahenden Umsetzungstermin ist eine standardisierte Lösung mit skalierbaren Komponenten, die ihre Belastbarkeit und Flexibilität bereits nachgewiesen haben, DIE Chance für Marktteilnehmer noch kurzfristig auf eine konforme Technologie umzustellen und einer Abmahnung von Verbrauchern, Verbraucherschutzverbänden und Aufsichtsbehörden entgegenzuwirken.

 

 

Deutsch
Telefontermin vereinbaren Produktdemo vereinbaren zum Newsletter anmelden

This website uses cookies to permanently improve the user experience. By visiting this website, you automatically agree to this fact. Further information can be found in our Privacy Policy.

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen