Selten hat der Entwurf von regulatorischen technischen Standards für so viele Diskussionen gesorgt wie bei den Standards zur starken Kundenauthentifizierung und sicheren Kommunikation, welche die Anforderungen an den von der PSD2 geforderten sicheren Zugriff auf Zahlungskonten konkretisieren.
Die deutsche Umsetzung der zweiten Zahlungsdiensterichtlinie (Payment Service Directive 2, PSD2) ist seit 13. Januar 2018 in Kraft. Zentrale Sicherheitsanforderungen für den Zugang zu Zahlungskonten sind in den regulatorischen technischen Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation definiert, die die Europäische Kommission auf Grundlage eines EBA Entwurfs am 13.03.2018 im EU-Amtsblatt veröffentlicht hat. Zahlungsdienstleister müssen diese Standards bis zum 14. September 2019 umsetzen.
Regulatorisch technische PSD2-Standards sind ein Kompromiss
Im Vorfeld der finalen Veröffentlichung dieser RTS fanden lange und teilweise kontroverse Diskussionen sowohl zwischen den an der Entwicklung beteiligten Stellen als auch mit den betroffenen Marktteilnehmern statt. Mit den Standards die Maximalforderungen aller Seiten zu bedienen, wäre einer Quadratur des Kreises gleichgekommen. Das Ergebnis stellt einen Kompromiss dar, der die teils unterschiedlichen Interessen der Marktteilnehmer und die unterschiedlichen Ziele der PSD2 in einen harmonischen Ausgleich zu bringen versucht. Die Umsetzung der RTS wird zweifelsohne zunächst einen hohen Aufwand bedeuten. Dies betrifft sowohl die etablierten als auch die neuen Zahlungsdienstleister, aber auch die Aufsichtsbehörden. Im Gegenzug bietet die neue Regulierung neue Chancen – bei einem insgesamt zu erwartenden deutlich höheren Sicherheitsniveau und somit einem stärkeren Vertrauen seitens der Verbraucher in den elektronischen Zahlungsverkehr.
„Kontozugriff“ im Zentrum von PSD2
Im Zentrum der PSD2 steht die „Öffnung“ der Zahlungskonten für Drittdienstleister. Die RTS konkretisieren die Anforderungen der PSD2 an den bislang nicht regulierten Zugriff. Zahlungsauslöse- und Kontoinformationsdienstleister erhalten einen gesetzlichen Anspruch auf den Zugriff auf das Online-Banking Konto, das Einverständnis der Kunden selbstverständlich vorausgesetzt. Im Gegenzug werden an den Kontozugriff selbst zukünftig auch regulatorische Anforderungen gestellt. Die PSD2 und die RTS erstrecken sich dabei nur auf den Kontozugriff auf Zahlungskonten. Die Verpflichtung, auch einen Zugriff auf andere Konten zu ermöglichen, ist mit der PSD2 nicht gegeben.
Kontoführende Zahlungsdienstleister können wählen, auf welche Weise sie den Kontozugang für Dritte technisch bereitstellen möchten. Das „Screen Scraping“ als technisches Verfahren, um den Zugriff auf das Online-Banking Konto zu realisieren, ist dabei nicht grundsätzlich verboten. Ein PSD2- bzw. RTS-konformer Zugang wäre grundsätzlich auch in Form einer modifizierten Kundenschnittstelle vorstellbar, welche aber insbesondere um eine Identifizierungsmöglichkeit für Dritte erweitert werden müsste.
Um den Markteinstieg für neue Zahlungsdienstleister zu erleichtern und den Gedanken des „Open Bankings“ nachhaltig umzusetzen, stellt es sich aber als zielführender dar, den Kontozugang über eine dedizierte Schnittstelle (bzw. API, „Application Programming Interface“) bereitzustellen, die möglichst auf einem weitgenutzten zentralen Standard basieren sollte. Sowohl kontoführende als auch neue Zahlungsdienstleister können dann von Synergieeffekten profitieren. Die Aufsicht kann einen Großteil der allgemeinen funktionalen Anforderungen bereits anhand des gemeinsam genutzten Standards prüfen. Die APIs müssen dabei mindestens den gleichen „Service Level“ wie die Kundenschnittstelle erfüllen, sowohl im Hinblick auf die allgemeine Verfügbarkeit als auch die Performanz. Auch in der Business-Continuity-Planung müssen diese entsprechend berücksichtigt werden.
Die RTS sehen eine Reihe aufsichtlicher Kontrollinstrumente vor, mit denen die Aufsichtsbehörden die Einhaltung der Anforderungen überwachen können. Sollten die APIs die Anforderungen der RTS nicht erfüllen können, würde die Bereitstellung eines „Fallback-Interface“ verpflichtend, das im Falle einer Nichtverfügbarkeit der dedizierten Schnittstelle genutzt werden kann. Durch geeignete technische und organisatorische Maßnahmen sollte der geforderte Service-Level somit dauerhaft gehalten werden können.
„Starke Kundenauthentifizierung“ für mehr Sicherheit
Eine starke Kundenauthentifizierung, die die BaFin bereits mit den Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) gefordert hatte, ist zukünftig bei allen elektronischen Zahlungsvorgängen grundsätzlich erforderlich.
Der teilweise geäußerten Kritik, die Anforderungen der PSD2 bzw. der RTS seien hier zu streng, sind die weiterhin relativ hohen Betrugsraten entgegenzuhalten, die insbesondere bei Kartenzahlungen im Internet auffällig sind. Risikobasierte Ansätze, die kontinuierlich effektiver werden, mögen den Missbrauch bereits deutlich reduziert haben. Sie konnten aber bis dato nicht für eine annähernd gleiche Sicherheit wie z.B. im Online-Banking sorgen, dessen Betrugsraten auf Grund der konsequent angewandten starken Kundenauthentifizierung sehr gering sind.
Die Kunden können sich den vorübergehenden finanziellen Schaden zwar i.d.R. erstatten lassen. Diese Betrachtungsweise greift aber zu kurz. Die Gelder, die missbräuchlich transferiert wurden, bleiben meist verschwunden und stellen damit einen wirtschaftlichen Schaden dar. Hinzu kommt ein Vertrauensverlust der Verbraucher in den elektronischen Zahlungsverkehr. Der Gesetzgeber sah sich daher veranlasst, verbindliche und strengere Vorgaben zu erlassen um die Angriffsfläche für Betrüger zu reduzieren, auch wenn sich die Verbraucher dafür insbesondere bei Internetzahlungen zunächst umgewöhnen müssen. Erfahrungen aus anderen Ländern haben gezeigt, dass eine starke Authentifizierung auch bei Kartenzahlungen im Internet von den Kunden akzeptiert wird. Hier sind innovative Lösungsansätze gefragt. Risikobasierte Ansätze werden unter bestimmten Bedingungen und bis zu bestimmten Höchstgrenzen (max. 500 €) zudem weiter möglich sein.
Um gleiche Wettbewerbsbedingungen (Level Playing Field) für alle Zahlungsdienstleister zu erreichen, sind die dazu erforderlichen Transaktionsrisikoanalysen so zu gestalten, dass – als objektivierbares Kriterium – vorgegebene maximale Betrugsraten nicht überschritten werden.
Ausnahmen von der SKA
Einige Marktteilnehmer äußerten u.a. Kritik an der Begrenzung der Ausnahme für kontaktlose Zahlungen auf fünf aufeinander folgenden Zahlungen bis 50 € bzw. alternativ Zahlungen bis zu einer kumulierten Summe von 150 €. Hierzu ist anzumerken, dass ähnliche Regelungen bereits heute bei vielen Kartenausgebern aus Sicherheitsgründen etabliert worden sind und sich in der Praxis als sinnvoll herausgestellt haben.
Die nun in den RTS definierten Grundsätze sind indes nicht für alle Ewigkeit in Stein gemeißelt. Die EBA hat den Auftrag bis zum 14.03.2021 zentrale Anforderungen der RTS zu evaluieren und ggf. Anpassungen vorzuschlagen.
Die BaFin hofft auf eine reibungslose Umsetzung der Anforderungen und unterstützt den Umsetzungsprozess durch möglichst zeitnahe Klärung offener regulatorischer Fragen. Sie wird sich deshalb an den Arbeiten der EBA zur Beantwortung von Auslegungsfragen aktiv beteiligen.