Region wählen:
Sprache wählen:
Düsseldorf - Deutsch

PSD2 - Mögen die Spiele beginnen

Payment Service Directive 2

In einem Monat tritt die Payment Service Directive 2 (PSD2) der Europäischen Kommission in Kraft. Bis im September 2019 müssen zusätzlich die Regulatory Technical Standards (RTS) umgesetzt werden. Was bedeutet die PSD2 und RTS für das Produktportfolio einer Bank und wo wird sie die heutigen Spielregeln im Payments und Cash Management Markt nachhaltig verändern?

Am 13. Januar 2018 tritt die PSD2 offiziell in den Mitgliedstaaten der Europäischen Union in Kraft. Die EWR-Staaten folgen mit einer Verzögerung von 9 Monaten. Noch immer gibt es viele verschiedene Interpretationen rund um die PSD2. Diese reichen von einem Abstreiten der Relevanz bis zu einer Endzeitstimmung für das Geschäftsmodell der eigenen Bank. Was ist nun richtig und wichtig bei der PSD2?

Mehr als nur «Open Banking»

Viele sehen in der PSD2 eine Erweiterung der bisherigen PSD mit der Auflage der Open Banking Schnittstelle für sogenannte Payment Initiation Service Provider (PISP) und Account Information Service Provider (AISP). Diese Annahme ist insofern nicht korrekt, als dass die PSD2 mehrere weitere Ziele verfolgt:

  • Mehr Transparenz für die Kunden
  • Stärkung der Konsumentenrechte
  • Mehr Sicherheit für die Konsumenten
  • Mehr Innovation im Zahlungsverkehrs- und Cash Management Markt

Die PSD2 hat umfassende Auflagen zur Gebührentransparenz und Informationen für Konsumenten. Die Kosten hinter einer Zahlung sollen für die Kunden einer Bank transparent und leicht verständlich offengelegt werden. Damit äussert die Kommission auf indirektem Wege ihren Unmut über den undurchschaubaren Gebühren-Jungle. Durch die Vorschrift, den Kunden vor Vertragsabschluss sowie nach jeder Transaktion «alle Entgelte» auszuweisen, möchte die Kommission den Preisvergleich zwischen Anbieter einfacher machen und damit den Markt effizienter gestalten. Banken mit komplexen Gebührenmodellen sind daher gut beraten, ihre Preislisten grundlegend zu überdenken.

Ein weiterer Punkt ist die Stärkung der Konsumentenrechte. Mit der PSD2 werden den Banken umfassende Auflagen zum Risiko- und Betrugsüberwachung (Fraud-Monitoring) übertragen. Zudem haften unter der PSD2 Payment Service Provider ultimativ im Fall von Betrugsfällen. Wenn ein Kunde die Autorisation einer Zahlung bestreitet, muss die Bank beweisen können, dass sie den Kunden richtig authentifiziert hat, die Transaktion richtig prozessiert und keine technischen Fehler in ihren Systemen vorlagen.

Bezüglich der Artikel zu Transparenz oder zur Risiko- und Betrugshaftung macht die PSD2 keine Unterscheidung zwischen elektronischem und nicht-elektronischem Zahlungsverkehr. Das heisst, dass man die Aufträge, welche persönlich oder am Telefon, sowie via Post, Fax oder Email erteilt werden, auf diese Aspekte prüfen muss. Während die PSD2 für Aufträge über elektronische Kanäle (zum Beispiel Email) zwingend eine starke Kundenauthentifizierung, die sogenannte Strong Client Authentication (SCA) verlangt, kann eine Bank bei traditionellen Kanälen einen risikobasierten Ansatz wählen. Das heisst, sie kann auf eine Prüfung von zwei unabhängigen Identifikationsmerkmalen verzichten. Sie muss aber im Falle eines Betrugs für den fälschlich überwiesenen Betrag aufkommen.

Starke Nutzerauthentifizierung auf allen Kanälen?

Es stellt sich somit die Frage, ob die SCA nicht flächendeckend über alle Kanäle angewendet werden sollte. Dabei authentifiziert man einen Kunden mit Hilfe von mindestens zwei unabhängigen Identifikationsmerkmalen, welche etwas sein kann was der Kunde weiss (z.B. Passwort), etwas was der Kunde hat (z.B. Tokengerät) oder etwas was der Kunde ist (z.B. biometrische Identifikation). Die Regeln zu Transparenz und Risiko- und Betrugshaftung treten per 13. Januar 2018 in Kraft. Sie gelten für alle Transaktion von Konten, welche für den Zahlungsverkehr genutzt werden können, unabhängig davon ob es sich um Konten im Retail-, Firmen- oder Privatkundengeschäft handelt. Die PSD2 unterscheidet nicht zwischen Bankentypen.

Offene Schnittstellen flächendeckend ab 2019

Die PSD2 umfasst ebenfalls Artikel, welche die Banken verpflichten, bestimmte technische Auflagen zu erfüllen:

  • Generierung eines «Authentisierungs-Codes» basierend auf der starken Kundenauthentifizierung
  • «Dynamic Linking» des Authentisierungs-Codes mit dem Betrag und Begünstigten einer Transaktion
  • Auflagen bei der Generierung von personalisierten Sicherheitsmerkmalen
  • Umfassendes Risiko- und Betrugsmonitoring
  • Schaffung von offenen Schnittstellen für die Übermittlung von Zahlungsaufträgen und den Abruf von Kontoinformationen

Diese Auflagen sind in der RTS der EBA im Detail erklärt. Die RTS definiert nicht die technischen Standards per se, sondern was die Standards, welche die nationalen und internationalen Standardisierungsgremien schaffen, erfüllen müssen. Grundsätzlich ist jede Bank frei, welche Standards sie einführen möchte, solange sie von anerkannten Gremien herausgegeben wurden.

Die RTS sind ergänzend zur PSD2 und müssen von den Payment Service Providern innerhalb von 18 Monaten nach deren in Krafttreten umgesetzt sein. Vorausgesetzt das Europäische Parlament und der Rat stimmen den RTS zu, müssen diese bis September 2019 implementiert sein. Wichtig ist hier, dass für die offene Schnittstelle ein verkürzter Zeitplan gilt. Denn die Banken haben in den RTS die Auflage mindestens 6 Monate vor der Live-Schaltung der neuen Schnittstelle, die Spezifikationen zu veröffentlichen und eine Testing-Plattform anzubieten. Auch hier macht die PSD2 keinen Unterschied zwischen den verschiedenen Bankentypen. Die Auflagen gelten für alle Banken mit Zahlungskonten.

Offene Schnittstellen als Chancen für Banken

Mit der offenen Schnittstelle können Technologieanbieter und Drittbanken auf Konten Zahlungstransaktionen auslösen, sowie Kontoinformationen beziehen. Dies verändert insbesondere das Multibanking wie wir es heute kennen. Anstatt beispielsweise über SWIFT wird man neu über Open Banking Schnittstellen seine Konten bei verschiedenen Banken verwalten können. Da die offenen Schnittstellen zu den gleichen Gebühren angeboten werden müssen wie das Online Banking, wird Multibanking massiv günstiger und attraktiver für international tätige Firmen und Privatpersonen.

SWIFT ist aber nicht der einzige Intermediär, der von der neuen Konkurrenz durch offene Schnittstellen betroffen ist. Banken könnten neben Gratis-Schnittstellen für die PSD2 auch kostenpflichtige Schnittstellen anbieten. (Zum Beispiel für Debitkartenherausgeber) Statt über Schemes wie Mastercard oder Visa zu gehen, könnten Autorisationsanfragen und Zahlungen über eine direkte API-Schnittstelle vom Kartenherausgeber initiiert werden. Der Unterschied zur obligatorischen Schnittstelle, welche eine Bank unter der PSD2 für sogenannte «Card-Issuing Payment Service Provider» (CIPSP) anbieten muss, und einer solchen Debitkarten-Schnittstelle ist nicht sehr gross.

Dies sind nur zwei Beispiele, wo offene Schnittstellen das Marktgefüge nachhaltig verändern können und dies nicht nur zum Nachteil der einzelnen Institute. Offene Schnittstellen können ferner auch für die Distribution von Bank-, Kredit- und Anlageprodukten genutzt werden.

Natürlich gibt es auch negative Seiten. Der Konkurrenzkampf zwischen den Banken, Finanzintermediären und Technologieprovidern wird sich intensivieren. Auch werden Kunden vermehrt klassische Funktionen von Banken selbst übernehmen. Bereits heute betreiben viele Konzerne ein professionelles Inhouse-Banking, welches sich von den Dienstleistungen einer Bank kaum mehr unterscheidet.

Es lohnt sich daher, die Produktstrategie und das Produktportfolio zu überdenken und sich auf eine neue Welt mit verschiedenen offenen API-Schnittstellen einzustellen – unabhängig welches Geschäftsmodell man als Finanzinstitut fährt.

Wir bei Arevos können Ihnen helfen eine passende Produkte Strategie zu entwickeln. Kontaktieren Sie uns umgehend.

Dies ist ein Artikel von Dennis Flad und Damien Taets van Amerongen, Mitarbeiter von Arevos.

  • Dennis Flad
  • Damien Taets van Amerongen
Dennis Flad
Managing Director bei Arevos
dennis.flad@arevos.net
 Dennis Flad
Damien Taets van Amerongen
Principal bei Arevos
damien.tva@arevos.net
 Damien Taets van Amerongen
Ihr Browser ist veraltet!

Bitte aktualisieren Sie Ihren Browser, um diese Website korrekt darzustellen. Den Browser jetzt aktualisieren

×