PSD2 ist mehr als nur eine API – PSM, SCA & XS2A
Das Thema PSD2 ist aktuell in aller Munde und meistens geht es dabei um das Thema API, also die Bereitstellung von Zahlungsverkehrs-Schnittstellen durch die Banken für Dritte. Aber PSD2 ist für die Banken vielmehr als nur eine API. Denn die Bereitstellung einer API erfordert grundsätzliche Anpassungen an den IT-Systemen sowie den zugehörigen Kunden- aber auch internen Bank-Prozessen.
von Volker Broer, Partner Senacor Technologies
Die PSD2 setzt sich operativ bei vielen Banken aus drei großen Bereichen zusammen: Dem Bereich Access to Accounts(XS2A), dem Bereich Strong Customer Authentification (SCA) sowie dem Bereich Personalisierte Sicherheitsmerkmale (PSM), der in gewisser Weise als Basis der beiden anderen Bereiche verstanden werden kann.In Summe haben oftmals schon die Bereiche als Einzelnes einen großen bis sehr großen Impact auf die Banken und führen zu tiefen fachlichen bzw. technischen Anpassungen, die bis zum 14.09.2019 umgesetzt und teilweise – wie beispielsweise für den Bereich XS2A – sogar schon vorher zertifiziert sein müssen.
PSD2: Teilbereich Personalisierte Sicherheitsmerkmale (PSM):
Für den Teilbereich Personalisierte Sicherheitsmerkmale wird durch den Regulator gefordert, dass sich Kunden personen- statt kontobezogen bei ihrer Bank anmelden müssen. Die Bank muss also – insbesondere auch als Grundlage für die kundenbezogenen Anforderungen aus dem Bereich SCA und XS2A – jederzeit erkennen können, welcher Kunde mit welchen Rechten in welcher Rolle für ein Konto eingeloggt ist.
Da bei vielen Banken historisch gewachsen die Kunden noch einen Konto-Zugang nutzen, erfordert die Umstellung von Konto- auf Kunden-Login in vielen Fällen signifikante Änderungen in den Bereichen der Online-Kanäle, der Nutzerverwaltung sowie in Fraud/Sicherheit/Risiko. Dies hat oftmals einen direkten Impact auf viele (Kunden-) Prozesse sowie auf die beteiligten IT-Systeme von Frontend bis ins Kernbank-System.
Zu Komplexitätssteigerungen kommt es dabei unter anderem durch die sehr unterschiedlichen Nutzungsgewohnheiten von Privatkunden (ein Konto, Einzelkunde und nur für sich handelnd) sowie Geschäftskunden (viele Konten, natürliche/juristische Personen, für andere handelnd) die teilweise in einem Online-Banking vereinigt werden müssen. Oder es muss je Zielgruppe ein eigenes Banking realisiert werden. Und auch die Abbildung spezifischer Rollen/Rechte-Konstrukte aus dem Geschäftskundenbereich mit einer Vielzahl an Vertretungs- und Verfügungsberechtigten Konstellationen sowie die dafür notwendigen Vor-Prozesse (Rechteverwaltung, Sichtentrennung, Legitimation, etc.) führen in vielen Fällen zu einer weiteren Erhöhung der Komplexität.
Zudem müssen bei einigen Banken für die Umstellung von Konto- und Kundensicht umfangreiche Migrationen (teilweise mehrere Millionen Kunden) durchgeführt werden, die wiederum durch erhöhte Kundenkommunikation sowie durch migrationsunterstützende IT-Umsetzungen und -Prozesse die Komplexität noch weiter steigern.
PSD2: Teilbereich Strong Customer Authentification (SCA)
Für den Teilbereich Strong Customer Authentification (SCA) wird durch den Regulator gefordert, dass (online) Zugriffe bzw. Zahlungen eines Nutzers durch eine Zwei-Faktor-Authentifizierung abgesichert werden. Dabei müssen immer mindestens zwei der folgenden drei Faktoren verwendet werden: Besitz (z.B. Girocard oder Smartphone), Wissen (z.B. Passwort oder PIN) oder Inhärenz (z.B. Fingerabdruck oder Gesichtserkennung).
Durch die SCA wird die gefühlte Nutzung durch den Kunden zunächst weniger komfortabel, da entgegen dem Trend am Markt mehr 2-Faktor-Authentifikationen durchgeführt werden sollen. Und dies sowohl für lesende Zugriffe (bspw. beim Log-in) als auch für schreibende Zugriffen (bsp. beim Auslösen einer Zahlung). Hier können die Banken zwar sogenannte Exemptions definieren (beispielsweise kein SCA bei Kleinstbeträgen oder im Familienkreis) aber aufgrund der daraus folgenden, komplizierteren Prozess-Logik steigen dann wiederum die Aufwände für die notwendigen IT-Anpassungen.
Neben der eingeschränkten Customer Journey ist SCA auch für die angebotenen TAN-Methoden einer Bank relevant, da im Vergleich zu heute durch die TANs für lesende und schreibende Zugriffe mehr TANs benötigt werden. Daher werden parallel zur PSD2 häufig Initiativen gestartet, um ältere Sicherheitsverfahren durch neuere bzw. modernere Sicherheitsverfahren zu ersetzen. In diesen könnte dann auch durch eine Kombination von zwei Sicherheitsfaktoren in einem Endgerät (z.B. „Besitz“ und „Wissen“) versucht werden, die Kunden-Convenience wieder zu erhöhen.
Als nicht-funktionale Anforderungen benennt die PSD2 in diesem Kontext weiterhin auch eine Verschärfung der sicherheitsrelevanten Rahmenbedingungen. Demnach müssen Banken sowohl eine strengere Überwachung der vom Kunden genutzten Sicherheitsverfahren und Geräte (Malware-Erkennung, Device-Identifikation, etc.) sicherstellen als auch die Anti-Fraud-Aktivitäten intensivieren (beispielswiese über Geo-, Geräte- oder erweiterte Transaktionsdaten).
PSD2: Teilbereich Access to Accounts (XS2A)
Für den Teilbereich Access to Accounts wird durch den Regulator gefordert, dass alle Banken mit Hilfe von technischen Schnittstellen (APIs) Dritten Zahlungsdienstleitern („Third Party Providern“ TPP) einen sicheren und standardisierten Zugriff zu den Bankkonten ihrer Kunden ermöglichen müssen. Dieser Zugang darf die TPPs dabei nicht „diskriminieren“, muss also in Funktion und Umfang dem jeweiligen Online-Banking entsprechen.
Konkret geht es dabei um die drei folgenden APIs: 1) Eine Schnittstelle für Kontoinformationen („Account Information“ AIS), eine Schnittstelle für Deckungsabfragen („Confirmation of the Availability of Funds“ FCS) sowie eine Schnittstelle für die eigentliche Zahlungsauslösung („Payment Initiation“ PIS).
In der gesamten PSD2 ist das Thema XS2A mit das zeitkritischste, da obgleich die PSD2 erst am 14.09.2019 schlagend wird, für die Zertifizierung die vollständige XS2A-API bereits am 14.03.2019 sowie die funktionale API am 14.06.2019 zur Verfügung stehen müssen.
Aus der IT-Sicht einer Bank betrachtet, stellt das Thema API sehr anspruchsvolle Herausforderungen. Zum einen muss die API als solches samt der benötigten API-Management-Systeme realisiert werden, zum anderen muss – beispielsweise für Umsätze, Buchung und Authentifizierung – die API an die Kernbank-Systeme der Bank angeschlossen werden.
Und auch aus fachlicher Sicht gibt es für XS2A erweiterte Anforderungen, da beispielsweise mit einem „Consent“ Kunden spezifischen TPPs eine (zeitlich beschränkte) Zustimmung zum Zugriff auf Ihre Daten per API geben müssen. Dieser Consent muss dafür natürlich entsprechend in der API der Bank vorgesehen sowie im Online-Banking und im Backoffice als Servicefunktion zur Verfügung gestellt werden.
Schluss und Ausblick
Das Thema PSD2 erfordert bei den Banken sowohl fachlich wie auch technisch einen massiven Change und das sowohl in der Außen- wie auch in der Innensicht. Nach außen haben die Kunden mit der API nicht nur eine neue Schnittstellen-Technologie, sondern durch den TPP auch keine 2 Parteien- (Kunde<>Bank) sondern eine 3 Parteien-Beziehung (Kunde<>Bank<>TPP). Nach innen müssen viele Banken sowohl IT-Systeme alse auch Prozesse massiv anpassen.
Mit Blick auf die Zukunft wird das regulatorische Thema PSD2 in der Breite aber nicht nur als Pflicht gesehen, sondern vielmehr auch als Chance. So möchte man die massiven Investitionen der PSD2 in eine API-Ready-IT-Plattform auch für eine weitere Geschäftsentwicklung nutzen. Die Überlegungen gehen dabei von APIs als notwendige Voraussetzung einer guten und integrierten Customer Experience über weitere, ergänzende APIs als bepreiste Mehrwertdienste bis hin zum „Marktplatzansatz“ bzw. „Finanzökosystem“.
Es bleibt spannend abzusehen, wie sich das Thema PSD2 sowohl regulatorisch als auch geschäftspolitisch in 2019 entwickeln wird.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/81703
Schreiben Sie einen Kommentar