Schuldneransprache | 5 Minuten Lesezeit
PSD2: CHANCEN UND RISIKEN.
04. Juni 2020
04. Juni 2020
Mit der Payment Services Directive 2 (PSD2) ist Anfang 2018 eine EU-Richtlinie zu Zahlungsdiensten in die deutsche Gesetzgebung aufgenommen worden, die für einiges Aufsehen sorgt. Kein Wunder, eine ähnlich tiefgreifende Änderung gab es lange nicht.
Bis zum 14. September 2019 dauerte die Übergangsperiode, in der sich Finanzinstitute, Zahlungsdienstleister, E-Commerce sowie FinTechs (und ihre Kunden) auf die PSD2-Änderungen einstellen und sowohl technische als auch rechtliche Anpassungen vornehmen konnten.
Mit der neuen Zahlungsdienstrichtlinie ändert sich zweierlei: Erstens ist nun die starke Kundenauthentifizierung (oft SCA für strong customer authentification) Pflicht. Das gilt sowohl für Online-Käufe als auch für Überweisungen im Onlinebanking.
Zweitens müssen nun Banken eine Schnittstelle zur Verfügung stellen, über die sowohl andere Banken als auch Drittanbieter, de facto Payment Services, auf die Konten der Kunden zugreifen können – solange diese ihre Erlaubnis dazu gegeben haben. Das Ganze hier noch einmal ausführlich:
War bisher zum Beispiel bei Onlinekäufen die Angabe der Kreditkartendaten ausreichend (also Kreditkartennummer, Gültigkeitsdatum und Prüfcode), reicht das nun nicht mehr aus.
Online-Shops müssen für eine solche Zahlungsart als zusätzliche Authentifizierung ein weiteres Merkmal verlangen, beispielsweise einen kurzen Zahlencode, der per SMS oder WhatsApp verschickt oder in einer App generiert wird.
Auch beim Onlinebanking wird eine stärkere Zwei-Faktor-Authentifizierung (2FA) vorgeschrieben, als sie die bekannten gedruckten TAN-Listen leisten konnten. Diese gehören der Vergangenheit an und verlieren ihre Gültigkeit.
Zwei-Faktor-Authentifizierung (2FA)
2FA steht für: 2–Faktor-Authentifizierung. Das bezeichnet den Identitätsnachweis eines Nutzers mithilfe der Kombination zweier verschiedener und unabhängiger Komponenten.
Die erhöhte Sicherheit bei der 2FA wird durch zwei Maßnahmen gewährleistet: Zunächst müssen Authentifizierungscodes für jeden Zugriff neu generiert werden, außerdem muss sich der User auf mindestens zwei dieser drei verschiedenen Arten identifizieren:
Wissen – PIN/Geheimnummer, die im Kopf des Users gespeichert ist
Haben – beispielsweise ein Smartphone
Sein – Fingerabdruck, Gesichtserkennung, Iris-Scan etc.
Die ebenfalls kursierende Abkürzung SCA steht für dasselbe: Strong Customer Authentification, also starke Kundenauthentifizierung.
In der Praxis, so hat es sich schon längst herauskristallisiert, wird die Mischung aus persönlicher Geheimzahl und dynamisch generiertem Code angewendet. Dieser besteht aus einer alphanumerischen Zeichenfolge, die per Kurznachricht an den User gesendet oder vom Kunden mit einem zusätzlichen Gerät generiert wird. Die Banken setzen inzwischen auf verschiedene Verfahren:
Während Banken also beinahe schon traditionelle Mittel für die 2FA nutzen, sieht das bei technisch orientierten Playern ein wenig anders aus: beispielsweise bieten Alexa und Google Home optionale Freigabeprozesse per Fingerabdruck (Google Home) oder vierstelligem Code (Amazon Echo). Auch Apple Pay überprüft per biometrische Erkennung.
Bei den Kreditkartenunternehmen wiederum hat sich eine Technologie namens 3D Secure 2.0 etabliert. Sie kann in Online-Shops zur Kaufabwicklung integriert werden. Hierbei handelt es sich um ein Protokoll, das dank einer größeren Zahl verfügbarer Datenpunkte und der Möglichkeit, Prüfregeln einzurichten, größere Sicherheit verspricht als die bisher übliche Eingabe der Kreditkartendaten über eine Online-Maske.
Nicht ALLE Online-Zahlungen benötigen die starke Kundenauthentifizierung.
Es sind nur Online-Zahlungen innerhalb der EU von der PSD2 betroffen
Die Payment Services Directive 2 verfügt außerdem, dass Banken eine Schnittstelle zur Verfügung stellen müssen, mit der andere Banken und Drittanbieter auf die Kundendaten zugreifen können – jedenfalls solange diese dies wünschen und erlauben. Diese Schnittstellenregelung sorgt also, sofern sie funktioniert, für eine massive Öffnung des Bankenmarkts in Richtung FinTechs.
Banken sind nun verpflichtet, eine PSD2-konforme Datenschnittstelle anzubieten, und die entsprechende Dokumentation für die Implementierung für Payment-Service-Provider auch gleich mitzuliefern.
Eine einheitliche Lösung gibt es zwar nicht im Sinne eines Industriestandards. Da aber lediglich eine Handvoll Softwarehäuser für die Realisierung der API-Anbindungen infrage kommt, wird ein De-facto-Standard wahrscheinlich das Ergebnis sein, auch wenn beispielsweise der HDE-Experte Ulrich Binnebößel auf etailment.de kritisiert, es gebe „zu viele Lösungen oder gar keine oder aber verschiedene ‚Dialekte‘“.
Auch beim Bundesverband deutscher Banken ist man wenig begeistert und warnt vor einem Gewinnrückgang von bis zu 40 Prozent im Privatkundengeschäft durch die Folgen der PSD2.
Die APIfizierung des Open Bankings eröffnet FinTechs natürlich eine Fülle von Möglichkeiten für Geschäftsmodelle für Apps und Services …
… falls denn alles funktioniert, wie es soll. Momentan sieht es noch danach aus, als blockierten sich diverse Player mindestens auf technischer Ebene dermaßen, dass die BaFin gar mit Duldung der europäischen Aufsichtsbehörde die Umsetzungsdeadline aufweicht, um Banken und FinTechs hinter den Kulissen noch ein wenig Zeit zu verschaffen. Ausführlich ist das nachzulesen auf Finanz-Szene.de.
Für FinTechs und Payment-Anbieter gilt es, eine Lizenz der BaFin zu halten, welche die Zugriffsrechte auf Kontodaten über die Banken-APIs bestimmt. Außerdem müssen die Zugriffe mit einem oder mehreren Zertifikaten identifiziert werden. Banken wiederum weisen sich beim automatisierten Zugriff ebenso (also per digitalem Zertifikat) bei den Payment-Dienstleistern aus. Nach der PSD2 müssen qualifizierte Zertifikate von einem in der EU gelisteten Trust Service Provider genutzt werden.
Die beiden vorhandenen Lizenztypen, AISP (Kontoinformationen) und PISP (Zahlungsauslösung), und die Liste von FinTechs, die diese beantragt oder bereits zugebilligt bekommen hat, illustrieren eine ganze Bandbreite von digitalen Banking-Geschäftsmodellen, die nun entstehen oder bereits entstanden sind: Multibanking-Apps sind genauso im Entstehen wie Bancassurance-Lösungen, Konto-Assistenten, Analyse-Tools, Wechsel-Services, Bonitäts- und Risiko-Prüfungen, Vermögensverwaltungen und mehr.
Die dürfen nicht fehlen. Der Vollständigkeit halber hier also Dinge, die (neben dem Implementierungs- und Umsetzungschaos aufseiten der Banken) schieflaufen:
Phishing-Betrüger nutzen die Thematik und die Unsicherheit der Verbraucher, um ihnen ihre Kontodaten abzuphishen. Die Verbraucherzentrale und das LKA Rheinland-Pfalz warnen jedenfalls vor betrügerischen Mails, in denen Bankkunden oder PayPal-Nutzer dazu aufgefordert werden, ihre Daten zu bestätigen, vorgeblich wegen der PSD2-Einführung. Die Portale, auf denen die Nutzer landen und ihre Daten preisgeben sollen, sind aber ebenso gefälscht wie die Mails, die dorthin verweisen.
Von der Gesetzesänderung
bis hin zu neuen Data-Science-Lösungen aus dem
Hause Regis24 – wir sichern
uns das Wissen, damit Sie
Ihren Marktvorsprung ausbauen: dafür engagieren
sich die Regis24-Experten
in diversen Brancheninstitutionen.