AS-PSP: Funktionsäquivalenz bei PSD2-Schnittstellen – EBA schafft Klarheit bei den RTS
Anfang Juni hat die EBA (European Banking Authority) eine ihrer „EBA Opinion“ genannten Auslegungshinweise publiziert. Dabei nimmt sich die EBA ganz konkret den Artikel 32 (3) der RTS (Regulatory Technical Standards) auch für ASPSP vor. Wir haben Caroline Jenke, Chief Legal Officer und Prokuristin bei FinTecSystems, um ihre Einschätzung gebeten.
von Caroline Jenke, Chief Legal Officer und Prokuristin bei FinTecSystems
Die RTS regeln bekanntermaßen die technische Umsetzung der PSD2. In Artikel 32 (3) wird geregelt, dass Banken („ASPSP“), die eine dedizierte Schnittstelle einsetzen, sicherstellen müssen, dass die Schnittstelle keine Hindernisse („obstacles“) für die Bereitstellung von Zahlungsinitiierungs- und Kontoinformationsdiensten schafft. In der aktuellen Opinion macht die EBA klar, was sie unter diesen Hindernissen versteht. Die RTS warten in ihren Bestimmungen laut EBA in dieser Frage mit einigen „Kann“-Bestimmungen auf, ohne umfänglich konkret zu sein.Da sich die EBA Opinions als Empfehlung an alle nationalen, EU-weiten Aufsichtsbehörden verstehen und in der vorliegenden Fassung Kernfragen behandelt werden, zu denen die TPP (Third Party Provider) und die Banken schon seit einigen Monaten im Dialog stehen, lohnt es sich einen Blick auf die wichtigsten Punkte zu werfen.”
Grundsätzlich steht für die EBA in ihrer Veröffentlichung ganz klar das positive Nutzererlebnis im Vordergrund, die PSD2-Schnittstellen sollen also eine möglichst reibungslose Nutzung von digitalen Banking-Anwendungen ermöglichen. Die aus Sicht der TPP wichtigste Aussage, die die EBA in ihrem Auslegungshinweis trifft, ist dabei die Funktionsäquivalenz:
Authentifizierungsverfahren
Der ASPSP sollte über seine Schnittstelle alle Authentifizierungsverfahren unterstützen, die die Bank auch ihren Nutzern zur Verfügung stellt. Verfahren also, die der Nutzer beispielsweise aus seinem Onlinebanking kennt („Funktionsäquivalenz“). Das heißt auch, dass zum Beispiel der „redirection“-Prozess der PSD2-Schnittstelle nicht umständlicher sein darf, als das Äquivalent im eigenen Kanal des ASPSP. Hinzu kommen weitere Klarstellungen im Bereich Authentifizierung: Werden beispielsweise durch die Bank biometrische Authentifizierungen angeboten, müssen diese auch Dienste der TPP unterstützen, d.h. im app-to-app „redirect“- oder „decoupled“-Verfahren.
Speziell beim redirect-Verfahren wurde präzisiert, dass der ASPSP den Nutzer nach der erfolgreichen Authentifizierung direkt und ohne zusätzliche Schritte oder Umwege zum TPP zurückleiten muss.”
Im Zusammenhang mit der Nutzerfreundlichkeit und der Funktionsäquivalenz bei den Authentifizierungsverfahren hat die EBA auch klargemacht, dass sie die manuelle Eingabe der IBAN (beispielsweise in der TPP-App) als Hindernis ansieht. Einen Verweis auf diese Problematik hatten wir bereits im Juni 2019 an die EBA gemeldet.
Starke Kundenauthentifizierung
Ein weiterer wichtiger Punkt in der Customer Journey ist die Häufigkeit des Einsatzes der starken Kundenauthentifizierung (SCA) während des Prozesses. Die EBA empfiehlt klar, dass bei einer Kontoabfrage (Kontoinformationsdienst/AIS) lediglich einmalig die SCA auf Seiten des Nutzers durchgeführt werden muss. ASPSP, die zwei SCA einsetzen möchten, müssen dies speziell begründen (z.B. bei Betrugsverdacht bei einer bestimmten Zahlung). Die Tatsache, dass ein ASPSP selbst eine separate SCA für die Anmeldung verlangt, ist dagegen kein ausreichender Grund. Aus unserer Sicht problematisch im Bezug auf das Nutzererlebnis bleibt die Tatsache, dass die EBA daran festhält, dass die kombinierte Abfrage (Kontoinformation und Zahlungsauslösung/AIS und PIS) unter Umständen eine zweite SCA rechtfertigt. Begründet wird dies damit, dass es sich um zwei getrennte Services handelt. Dem widersprechen wir jedoch, da die gezielte Prüfung schon immer Bestandteil des PIS war. Dabei sollte sich die Risikoprüfung und der Überweisungsauftrag für den Nutzer als ein einheitlicher Vorgang darstellen. Hier hätten wir uns aus Kunden- und Nutzersicht gewünscht, dass eine einfache SCA für einen Zahlungsauslösedienst ausreichend ist.
Im Zuge der Frage nach der 90-Tage Frist zur erneuten Authentifizierung hat die EBA betont, dass nur ASPSPs die starke Kundenauthentifizierung durchführen können. Gleichzeitig weist die EBA die nationalen Aufsichtsbehörden an, die …
… ASPSP zu „ermutigen“, von der 90-Tages-Regel Gebrauch zu machen, so dass die Re-Authentifizierung tatsächlich nur alle drei Monate für den Nutzer anfällt.”
Für Kontoaggreationsdienste ist dies jedoch immer noch ein erhebliches Hindernis, wenn der Nutzer für jedes Konto die Re-Authentifizierung einzeln vornehmen muss. Diesen Refresh der starken Kundenauthentifzierung könnte der lizenzierte TPP global für alle Konten alle 90 Tage übernehmen.
Zustimmung des Nutzers („consent“)
Ein zentraler Bereich in der Customer Journey wurde von der EBA ebenfalls präzisiert: Die zusätzlichen Abfragen der ASPSP zur Zustimmung („consent“), ob Nutzer TPP mit Kontoinformationsdiensten oder der Zahlungsauslösung beauftragen, sind nicht PSD2- bzw. RTS-konform.
Die EBA stellt fest, dass die Einholung der Zustimmung alleinige Sache der TPP ist und ASPSP die Zustimmung der Nutzer nicht überprüfen beziehungsweise auch nicht einem Doppel-Check unterziehen dürfen.”
Vereinzelt sind ASPSP mit einer zusätzlichen Überprüfung des Nutzer-Consents (im Sinne von „…sind Sie sicher, dass Sie diesen Service nutzen möchten?“) aufgetreten. Diese Regelung schließt aber laut EBA nicht das Recht des Nutzers aus, den Consent für eine TPP-Anwendung bei seinem ASPSP für die Zukunft zu widerrufen.
Zusätzliche Registrierung
Auch die zusätzliche Registrierungen von TPP bei ASPSP hat die EBA geregelt: Ein gültiges eIDAS-Zertifikat ist ausreichend, um auf Konten zuzugreifen.”
Auch die zusätzliche Registrierungen von TPP bei ASPSP hat die EBA geregelt: Ein gültiges eIDAS-Zertifikat ist ausreichend, um auf Konten zuzugreifen.”
Zusätzliche obligatorische Genehmigungs- und Registrierungsschritte (wie beispielsweise Drittanbieterlisten oder ähnliches), die vereinzelt von ASPSP verlangt werden, wertet die EBA als Hindernis.
Fazit: Die EBA schafft Klarheit bei den obstacles und treibt Harmonisierung voran
Die EBA Opinion stellt in einigen wichtigen Punkten klar, was sie als Hindernisse für TPP begreift und erkennt damit einige der Probleme an, die wir TPP in den letzten Monaten aufgezeigt haben. Zugleich macht die EBA hierdurch Vorgaben für die hindernisfreie Gestaltung der Drittanbieter-Schnittstellen. Nun herrscht Klarheit in den Kernfragen, das ist sehr positiv zu werten.
Die EBA hat zudem den Kundennutzen in den Vordergrund gestellt und entsprechende Empfehlungen getroffen, die nun für alle Banken im PSD2-Raum gelten werden.”
Auch das sehen wir sehr positiv, denn wir stellen hier eine Harmonisierung auf breiter Ebene fest. Bislang war es in der Schnittstellen-Frage ein Europa der verschiedenen Geschwindigkeiten. In Deutschland sind wir aufgrund einer lebendigen und konstruktiven Diskussion um die Schnittstellen-Qualität, die bereits ein Jahr intensiv geführt wird, schon viel weiter als in anderen Ländern, wie beispielsweise in Frankreich, Italien, Spanien oder auch in den Niederlanden. Daher sind die EBA-Empfehlungen für die meisten Institute hierzulande keine große Überraschung, da die Schnittstellen von Fiducia und Finanz Informatik, um nur zwei Beispiele zu nennen, in ihrer Funktionalität die EBA-Empfehlungen schon länger erfüllen. Als TPP sehen wir und die anderen Vertreter unserer Branche einen großen Fortschritt und viele der Klarstellungen haben wir schon seit einigen Monaten klar bei der EBA hinterlegt – immer im Sinne des Kundennutzens und einer europaweiten Harmonisierung. Denn das ist Voraussetzung, um dem Ursprungs-Gedanken der PSD2, einen einheitlichen Zahlungsraum zu schaffen, mit Leben zu füllen.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/107935
Schreiben Sie einen Kommentar