06.12.2017: PSD2 – EU-Kommission verabschiedet finale technische Standards.

Kreditkarte und Laptop

Die Europäische Kommission verabschiedete Ende November 2017 nach langer Diskussion die finalen technischen Regulierungsstandards (Regulatory Technical Standards – RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation im bargeldlosen Zahlungsverkehr. Damit soll für alle Marktteilnehmer Klarheit und Rechtssicherheit im Hinblick auf den Zugang zu Zahlungskonten geschaffen werden.

Diese technischen Regulierungsstandards dienen als ergänzende Regularien für die europäische Zahlungsdiensterichtlinie (Payment Service Directive 2, PSD2), die am 13. Januar 2018 in Kraft treten wird. Die RTS zur Kundenauthentifizierung und sicheren Kommunikation richten sich an alle Zahlungsdienstleister gemäß PSD2 und regeln die Anforderungen an die starke Kundenauthentifizierung sowie den Zugang für neue Anbieter zum Zahlungskonto (wir berichteten am 15. Dezember 2016 darüber im Artikel „PSD2 - Verzögerung bei der Finalisierung der technischen Standards“).

Als Vorlage diente der finale RTS-Entwurf der europäischen Bankenaufsichtsbehörde (EBA), der am 23. Februar 2017 veröffentlicht wurde (wir berichteten am 06. April 2017 darüber im Artikel „Die Zweite Zahlungsdiensterichtlinie PSD2 nimmt Fahrt auf.“). Allerdings wurde dieser RTS-Entwurf von der EU-Kommission nicht gänzlich angenommen und verabschiedet, sondern die EU-Kommission beabsichtigte, diese RTS anzupassen. Nach langer Diskussion zwischen der EBA und der EU-Kommission wurden nun Ende November 2017 die überarbeiteten RTS zur starken Kundenauthentifizierung und sicheren Kommunikation verabschiedet. Als letzte Instanz fehlt nun die Zustimmung des Europäischen Parlaments und des Rates, bis die neuen RTS zur starken Kundenauthentifizierung und sicheren Kommunikation wirksam werden.

Welche Änderungen sind gegenüber dem finalen Report der EBA vorgenommen worden?

Die EU-Kommission nahm einzelne inhaltliche Änderungen an dem von der EBA vorgelegten RTS-Entwurf vor. Die bedeutendste Änderung betrifft den technischen Zugriff auf Zahlungskonten. Hierbei erlaubt die EU-Kommission nur noch den Zugang über eine dezidierte Programmierschnittstelle (API). Wenn ein Kreditinstitut eine Schnittstelle anbietet, die den in den RTS festgelegten Qualitätsanforderungen entspricht, müssen dritte Zahlungsdienstleister diese nutzen. Das Auslesen der Internetseite eines Kreditinstitutes - das sogenannte Screen Scraping - ist in Zukunft nicht mehr erlaubt.

Nun sind Kreditinstitute in der Pflicht, ihre Schnittstelleninfrastruktur für elektronische Kontozugriffe durch dritte Zahlungsdienstleister anzupassen. Der neue Kommunikationskanal muss einerseits dafür sorgen, dass die dritten Zahlungsdienstleister nur auf die Daten zugreifen können, die sie gemäß PSD2 benötigen. Andererseits soll der neue Kommunikationskanal eine sichere Übermittlung der Daten gewährleisten sowie den Kreditinstituten und dritten Zahlungsdienstleister ermöglichen, sich beim Zugriff auf diese Daten zu identifizieren.

Im Hinblick auf die starke Kundenauthentifizierung hat die EU-Kommission die Vorschläge von der EBA zu der Zwei-Faktor-Autorisierung angenommen. Somit müssen in Zukunft die Nutzer ihre Identität durch mindestens zwei der drei folgenden, voneinander unabhängigen Faktoren nachweisen:

  • durch etwas, das ihnen bekannt ist (Passwort oder PIN-Code),
  • durch etwas, das sie besitzen (eine Karte, ein Mobiltelefon) und
  • durch etwas, das sie ausmacht (biometrische Merkmale wie Fingerabdrücke oder Iriserkennung).

Um die Zahlungsabwicklung insbesondere für Kleinbeträge unterhalb von 30 Euro oder für kontaktlose Zahlungen nicht zu behindern, wurden Ausnahmen definiert. Folglich müssen Kreditinstitute ihre bestehenden Systeme überprüfen, ob sie den geforderten Sicherheitsstandards gerecht werden. Ebenso müssen die Kreditinstitute technisch sicherstellen, dass die Vertraulichkeit und Integrität der personalisierten Sicherheitsmerkmale der Zahlungsdienstnutzer geschützt werden.

Da die Anwendung der RTS zur starken Kundenauthentifizierung und sicheren Kommunikation erst nach 18 Monaten nach ihrem Inkrafttreten verpflichtend ist (voraussichtlich Ende drittes Quartal 2019), bleibt den Kreditinstituten und Zahlungsdienstleistern noch etwas Zeit zur Anpassung.

Bei der Implementierung der entsprechenden technischen Standards in Ihrem Institut unterstützt unser impavidi Team Sie gern.


 

Zurück