PSD2: Finale RTS zur starken Kundenauthentifizierung und sicheren Kommunikation – doch wie umsetzen?
KPMG
Am 14. März 2018 wurden die finalen Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation im Amtsblatt des EU Parlaments veröffentlicht. Die von Finanzinstituten lang ersehnten RTS konkretisieren die Anforderungen gemäß der Payment Service Directive 2 (PSD2). Die Zeit drängt bis zum 14. September 2019 muss eine Umsetzung erfolgt sein. Bereits sechs Monate zuvor, am 14. März 2019, müssen Zahlungsdienste den Kontoinformations- und Zahlungsauslösediensten eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung bereitstellen.
von Bianca Zylka und Sven Korschinowski, KPMG
Es bleibt weniger als ein Jahr, um alle offenen Fragen zu klären und dem Markt valide Lösungen zu präsentieren. Der Artikel fasst die wesentlichen Punkte der RTS zusammen und zeigt die größten Herausforderungen für Finanzinstitute auf.Mit dem Ziel, das Betrugsrisiko für elektronisch angebotene Zahlungsdienste zu minimieren, schreiben die RTS Zahlungsdienstleistern künftig vor, dass die Authentifizierung des Kunden anhand von mindestens zwei Elementen der Kategorie Wissen, Besitz und Inhärenz durchgeführt werden muss und Zahlvorgänge dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpft sind.
KPMG
Um gleichzeitig ein ausreichendes Maß an Benutzer- und Kundenfreundlichkeit aufrecht zu erhalten, sehen die RTS eine Reihe von Ausnahmen vor:
KPMG
KPMG
Wesentliche Herausforderung für Zahlungsdienstleister ist hierbei der Spagat zwischen Umsetzungsaufwand, einem angemessenen Sicherheitsniveau und optimaler User Experience. Die Ausnahmen von der 2-Faktor-Authentifzierung (mit und ohne dynamischer Verbindung) sind für die Finanzinstitute optional. Da die Entscheidung auf Seiten der Institute liegt, müssen diese abwägen, ob und welche Ausnahmen geltend gemacht werden. Vor allem das Risikomanagement und die Transaktionsüberwachungsmechanismen sind bei dieser Frage in der Pflicht.
Gemeinsame und sichere offene Kommunikationsstandards: Zugang 3. Zahlungsdienstleister
Open BankingOpen Banking: Im Zuge der Open Banking Bewegung streben Banken an – ähnlich wie die TechGiants Google und Amazon – ein digitales marktplatzähnliches Ökosystems im Banking zu bilden. Ziel dabei ist es durch Kooperationen mit verschiedenen Partnern und Drittanbietern den Kunden in jeder Situation des Alltags abzuholen und einen One-Stop Shop für Banking und Banking-nahe Produkte und Dienstleistungen zu etablieren.Ab dem 14. September 2019 muss der Zugang für 3. Zahlungsdienstleister (3. ZDL) produktiv sein. Wie dies erreicht wird, muss jeder Zahlungsdienstleister für sich entscheiden. Es steht ihnen offen, eine dedizierte Schnittstelle zur Kommunikation mit den 3. Zahlungsdienstleistern zur Verfügung zu stellen oder bereits bestehende Schnittstellen zu nutzen und PSD2-konform weiterzuentwickeln. Bei der Entscheidung ist zu beachten, dass dezidierte Schnittstellen hinsichtlich Verfügbarkeit und Leistung das gleiche Service Level aufweisen müssen wie die Online-Banking-Plattformen der kontoführenden Zahlungsdienstleister.
Auch wenn die finalen RTS in Bezug auf die sichere offene Kommunikation keine Überraschungen für Finanzinstitute bereithalten, stehen diese doch vor einigen Herausforderungen. So müssen sie sich aufgrund der fehlenden Vorgaben in den RTS zu allererst in der Frage positionieren, ob sie eigene Formate für die Programmierschnittstellen (kurz API= Programmteil, das von einem Softwaresystem anderen Programmen zur Anbindung an das System zur Verfügung gestellt wird) bereitstellen wollen oder ob sie sich aktuellen europaweiten Marktinitiativen wie der Berlin Group anschließen, und deren Standard nutzen.”
Autor Sven Korschinowski
Sven Korschinowski leitet als Partner den Bereich „Payment & Innovation Consulting“ bei der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG und verantwortet die Deutschland-Aktivitäten zum Thema Mobile Payment.
Bianca Zylka ist als Managerin der KPMG im Bereich Financial Services spezialisiert auf die Beratung von IT-Implementierungen und der Projektdurchführung zum Thema Zahlungen. Sie verfügt über mehr als 12 Jahre fundierte Berufserfahrung, davon 8 Jahre in der Leitung und verantwortlichen Durchführung von IT-Projekten im Bereich Zahlungsverkehr und damit verbundenen regulatorischen Anforderungen, sowie als Business Analystin einer internationalen Großbank. Sie verantwortet aus strategischer wie technischer Sicht die Payment-IT-Umsetzungen bei Banken.
Auch wenn die finalen RTS in Bezug auf die sichere offene Kommunikation keine Überraschungen für Finanzinstitute bereithalten, stehen diese doch vor einigen Herausforderungen. So müssen sie sich aufgrund der fehlenden Vorgaben in den RTS zu allererst in der Frage positionieren, ob sie eigene Formate für die Programmierschnittstellen (kurz API= Programmteil, das von einem Softwaresystem anderen Programmen zur Anbindung an das System zur Verfügung gestellt wird) bereitstellen wollen oder ob sie sich aktuellen europaweiten Marktinitiativen wie der Berlin Group anschließen, und deren Standard nutzen.”
Sven Korschinowski leitet als Partner den Bereich „Payment & Innovation Consulting“ bei der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG und verantwortet die Deutschland-Aktivitäten zum Thema Mobile Payment.
Bianca Zylka ist als Managerin der KPMG im Bereich Financial Services spezialisiert auf die Beratung von IT-Implementierungen und der Projektdurchführung zum Thema Zahlungen. Sie verfügt über mehr als 12 Jahre fundierte Berufserfahrung, davon 8 Jahre in der Leitung und verantwortlichen Durchführung von IT-Projekten im Bereich Zahlungsverkehr und damit verbundenen regulatorischen Anforderungen, sowie als Business Analystin einer internationalen Großbank. Sie verantwortet aus strategischer wie technischer Sicht die Payment-IT-Umsetzungen bei Banken.
Gemeinsame Standards können dabei helfen, eine fragmentierte Umsetzung und weitere Interventionen des Gesetzgebers zu vermeiden und das volle Potenzial offener Schnittstellen zu entfalten. Eine weitere Herausforderung ist, dass aktuell nicht abzusehen ist, wie groß die zusätzliche Belastung der IT-Systeme durch den Zugriff 3. ZDL künftig sein wird und ob die von den kontoführenden Instituten bereitgestellten Schnittstellen den Anforderungen hinsichtlich Antwortzeiten und Verfügbarkeit genügen werden. Entsprechende Prognosen und Erfahrungswerte aus anderen Märkten, in denen Banken bereits heute Drittanbieter Zugriff auf die IT-Systeme im Zuge der Open Banking-Bewegung erlauben, sind frühzeitig in den Umsetzungsprojekten zu berücksichtigen, um die Kapazität der IT-Infrastrukturen ggf. entsprechend zu erweitern.
Die Öffnung der Kernbank-Systeme über APIs setzt die Banken (und Kundendaten) darüber hinaus neuen, potenziellen Cyber-Risiken aus. Das pure Vertrauen auf die Integrität 3. ZDL ist nicht angebracht. Um resultierende Reputationsrisiken und finanzielle Schäden zu minimieren, müssen bei der technischen Umsetzung der APIs und der API-Management-Systeme Sicherheitsmechanismen bereits bei der Systemauswahl hohe Priorität eingeräumt werden. Eine Einbindung der Open Banking-Lösung in das Informationssicherheitsmanagement der Bank ist zwingend erforderlich.
RTS: Banken müssen sich für die Zukunft gut positionieren
Hoher Zeitdruck, gestiegene Kundenerwartungen und der Hoheitsverlust über die Kundendaten – den Finanzinstituten stehen turbulente Zeiten bevor. Bevor sie sich nun aber blind in die Umsetzung der RTS stürzen, müssen sich die Institute vor allem die Frage stellen, welche Position sie im veränderten Markt einnehmen wollen. Wie sichert man das über Jahrzehnte gewachsene Vertrauen der Kunden und bleibt im direkten Kontakt? Sind vermehrte Kooperationen mit FinTechs sinnvoll und sollen über die Open Banking-Plattform abgebildet werden, oder wollen sie ausschließlich die regulatorischen Anforderungen der PSD2 erfüllen? Nur wenn die Finanzinstitute klare Antworten auf diese und ähnliche Fragen finden, können sie von den mit der PSD2 einhergehenden Chancen profitieren.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/69961
Schreiben Sie einen Kommentar