PSD2-Schnittstellen: Einige XS2A-API sind auf der Zielgeraden

Die neuen XS2A-Schnittstellen — Putilov-Denis/bigstock.de

Vor etwa vier Wochen sind die ersten PSD2-Schnittstellen (unter anderem die Sparkassen-Schnittstelle von der Finanz Informatik) aus der Marktbewährungsphase getreten. Die Schnittstellen der Fiducia und damit der Volks- und Raiffeisenbanken stehen kurz dem Abschluss der Marktbewährungsphase (15.5.). Damit sind dann die Schnittstellen der beiden größten Institute in Deutschland „live“ am Markt. Während die ersten Tests Ende Februar (“Erwartung trifft auf Realität: PSD2 Schnittstellen sind weiterhin nicht marktreif“) noch deutliche Probleme offenbarten, sieht die Situation heute deutlich besser aus. Zeit für einen weiteren Blick auf die Performance dieser und weiterer Schnittstellen zu werfen.

von Caroline Jenke, Chief Legal Officer FinTecSystems

Autorin Caroline Jenke, FinTecSystems

Caroline Jenke ist bei FinTecSystems (Website) als Chief Legal and Regulatory Officer Teil der Geschäftsführung und verantwortlich für die Umsetzung der PSD2. Sie vertritt FinTecSystems auf nationaler und internationaler Ebene vor Aufsichtsbehörden und weiteren Institutionen. Vor ihrer Zeit bei FinTecSystems war Caroline Jenke bei Sofort / Klarna als General Counsel tätig und leitete die Rechtsabteilung des schnell wachsenden FinTech-Unternehmens. Maßgeblich schuf sie dort die Grundlagen, welche zur Entwicklung der zweiten Zahlungsdiensterichtlinie (PSD2) führten. Mit über 10 Jahren Erfahrung in der Finanztechnologie bringt Caroline Jenke nicht nur ein tiefes rechtliches Wissen, sondern auch fundiertes technisches Verständnis für den Payment- und Banking-Sektor mit.

Beginnen wir mit dem Essenziellen: Der Übertragung des Dispo-Limits. Die Informationen zu Kontoinhaber und Daueraufträge, die zuletzt noch nicht übertragen wurden, werden nun bei den weit vorangeschrittenen Schnittstellen (FI und Fiducia) in der Abfrage geliefert. Diese beiden Informationen sind wesentlich bei der Betrugsprävention (Kontoinhaber) und der Bonitätsprüfung (Daueraufträge), davon sind viele Anwendungsfälle in der Realität betroffen. Was noch nicht geliefert wird bei der Abfrage, ist das Limit, also der Verfügungsrahmen auf dem Konto. Hier stehen Banken und TPP im konstruktiven Austausch mit der BaFin.

Die Bankenaufsicht sieht die Übertragung der Salden und etwaiger Überziehungslimits beim Kontoinformationsdienst im Sinne der Datenparität als erforderlich an. Eine zeitnahe Umsetzung für Kontoinformationsdienste wird erwartet.”

Bis heute allerdings ist diese für uns als Dienstleister substantielle Anforderung noch nicht umgesetzt. Dabei ist ein Dispolimit bei vielen digitalen Angeboten Voraussetzung für die Umsetzung. Beispielsweise beim Kontowechselservice oder beim digitalen Kreditantrag.

Ein wesentlicher Punkt ist ferner, dass diese Informationen insbesondere auch im Rahmen der Zahlungsauslösedienste unverzichtbar ist. Eine Zahlungsauslösung sollte nur dann stattfinden können, wenn der Verfügungsrahmen bekannt ist und dieser den zu überweisenden Betrag abdeckt. Der Kern und Sinn dieser Dienste besteht darin, abzuschätzen, ob die Zahlung ausgeführt wird und dies dem Onlineshop unmittelbar zu bestätigen. Dieses Verständnis ist die explizite Grundlage der PSD2, die ja ursprünglich den Markt der Zahlungsdienste im Auge hatte.

Nur durch die Prüfung des Verfügungsrahmens und die Bestätigung an den Zahlungsempfänger kann die Ware oder Dienstleistung unverzüglich freigegeben werden.”

Diese Information ist aus unserer Sicht essentiell und ist zudem ein absolutes Marktbedürfnis.

Bei den Schnittstellen-Abfragen werden aktuell keine Kontolimits beziehungsweise Verfügungsrahmen übertragen. Diese Information ist allerdings sowohl für Kontoinformationsdienste als auch Zahlungsauslösedienste unerlässlich.FinTecSystems

Mit dem Einmal-Consent sollten alle abgefragten Daten übertragen werden

Ein weiterer wichtiger Punkt aus unserer Sicht ist die Möglichkeit, dass mit einem Einmal-Consent (“One-Off Consent”) des Users alle Daten abgerufen werden können. Bislang ist mit der einmaligen Zustimmung des Nutzers nur die Abfrage der Kontenliste möglich. Hier steht auch die BaFin auf dem Standpunkt, dass mit einem Einmal-Consent alle abgefragten Daten geliefert werden sollten. Die Fiducia und Finanz Informatik haben uns dazu Anfang des Jahres eine Lösung zugesagt, wonach mit einem Einmal-Consent eine Fünf-Minuten-Session gestartet wird, innerhalb derer mehrere Abfragen erfolgen können.

Finanz Informatik hat diese Fünf-Minuten-Session kurz nach Ostern umgesetzt und auch Fiducia hat dies in einem Update am 13.5. implementiert. FinTecSystems hat die Umsetzung erfolgreich getestet, die Mehrfach-Abfragen innerhalb des fünfminütigen Zeitfensters funktionieren.”

Wir würden uns freuen, wenn auch andere Banken diesem Beispiel zur Umsetzung des Einmal-Consent schnellstmöglich folgen.

Insgesamt befinden uns wir uns damit auf der Zielgeraden, die beiden Schnittstellen von Finanz Informatik und Fiducia sind größtenteils performant und stabil.”

Was wir nun noch erwarten, ist die Umsetzung der Limit-Übertragung, damit Drittdienstleister darauf verzichten können, zusätzlich über die Kundenschnittstellen zu gehen.

In diesem Zusammenhang sei auch noch die Multi-Consent-Thematik erwähnt: Noch immer ist es nicht möglich, gleichzeitig verschiedene Zustimmungen für einen User bei der Bank anzufragen, das ist gerade bei Personal Finance Management-Anwendung mit mehreren eingebundenen Konten Voraussetzung für den reibungslosen Ablauf. Wir können nicht nachvollziehen, warum es nicht möglich sein soll, mehrere Anfragen eines Users auch so an seine Bank weiterzugeben. Die angesprochenen Punkte sind aber leicht zu beheben und könnten beispielsweise in einem der nächsten Updates der Berlin Group Schnittstelle umgesetzt werden. Wir stehen hier im konstruktiven Austausch mit allen Beteiligten.

Multi-User Consent: Noch immer ist es nicht möglich, gleichzeitig verschiedene Zustimmungen („Multi-User-Consent“) für einen User bei der Bank anzufragen. Wie auf dem Screenshot ersichtlich, wird die Information zurückgespielt übertragen, das der Consent abgelaufen sei („consent expire“).<q>FinTecSystems — Multi-User Consent: Noch immer ist es nicht möglich, gleichzeitig verschiedene Zustimmungen („Multi-User-Consent“) für einen User bei der Bank anzufragen. Wie auf dem Screenshot ersichtlich, wird die Information zurückgespielt übertragen, das der Consent abgelaufen sei („consent expire“).FinTecSystems

Bei vielen PSD2-Schnittstellen ist ein Großteil des Weges geschafft

Hinter den Schnittstellen der beiden größten Kreditinstitute gibt es eine Reihe von APIs, die kürzlich die Marktbewährung abgeschlossen haben beziehungsweise kurz davor stehen. Diese Schnittstellen sind noch nicht so weit wie Sparkassen und Fiducia, hier gibt es beispielsweise noch spezifische Probleme bei der Übermittlung von Daueraufträgen und bei einigen API ist teilweise nach wie vor nur der redirect als einzige Option für die Zwei-Faktor-Authentifizierung möglich (“redirect only”). Darüber hinaus gibt es bei bei den Schnittstellen ebenfalls Probleme mit den Consents, die Situation ist aber eine andere als bei Finanz Informatik und Fiducia. Auch bezüglich dieser Mängel stehen wir im engen Austausch mit den IT-Verantwortlichen der Institute.

Wir sind daher der Meinung, dass auch im Bereich der weiteren Schnittstellen der Großteil des Weges hin zu einer vollumfänglich leistungsfähigen PSD2-Schnittstelle geschafft ist. Hierzu zählen wir beispielsweise die Schnittstellen der Deutschen Bank, Norisbank, Commerzbank, DKB und Postbank.”

Migration auf PSD2-Schnittstellen hat begonnen

Bei FinTecSystems werden die Schnittstellen genutzt, die für den Kunden den höchsten Grad an Leistungsfähigkeit besitzen. Vermehrt können nun auch die neuen dedizierten Schnittstellen, basierend auf dem Berlin Group Standard, eingesetzt werden.

So haben wir Kunden im Bereich Kontoinformationsdienste beispielsweise für verschiedene Anwendungsfälle auf die PSD2-Schnittstelle der Sparkassen umgestellt. Alle marktrelevanten Banken haben wir implementiert und überprüfen regelmäßig, ob diese den von der PSD2 geforderten Grad an Leistung und Verfügbarkeit aufweisen und damit eine vollständige Migration für alle unsere Kunden möglich ist.

Insgesamt sehen wir große Fortschritte im Bereich PSD2-Schnittstellen. Dies war bei den ersten Versionen der PSD2-Schnittstellen noch lange nicht zu erkennen.”

Durch den unermüdlichen Austausch mit Banken und BaFin konnten wir so Standards für die Branche sichern, damit innovative FinTechs, aber auch bankeigene Anwendungen den gleichen Funktionsumfang wie vor der Umstellung gewährleisten.

Dies ist gerade vor dem Hintergrund der prosperierenden und vielfältigen FinTech-Szene in Deutschland und Europa wichtig. Daher ist es speziell nach der Marktbewährungsphase so wichtig, die Ergebnisse aus den letzten Monaten zusammenzutragen, auszuwerten und noch bestehende Mängel zu beseitigen. Dadurch wird ein übereiltes Abschalten der Verbraucher-Schnittstellen vermieden. Diese helfen als Fallback-Lösung in der aktuellen Phase, die für den Endnutzer gewohnte Datenqualität sicherzustellen. Außerdem können mit Fallback alle Seiten effektives Bugfixing betreiben. Damit ist gewährleistet, dass die PSD2 langfristig zu einem Erfolg für alle wird: Banken, FinTechs und Kunden.Caroline Jenke, Chief Legal Officer FinTecSystems

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/106497