Die Sicht der SBVg auf PSD2 und RTS
Roger Wisler
Im Rahmen der 20. Jahrestagung „Euroforum Bank-IT“ 2018 legte Rolf Brüggemann die Sicht der Schweizerischen Bankiervereinigung (SBVg) in Bezug auf PSD2 und auf die Einführung neuer Schnittstellen für Third Party Provider in der Schweiz dar.
PSD2 und RTS
Die PSD2 ist seit dem 13. Januar 2018 mehrheitlich zeitgleich in den meisten EU-Ländern ins nationale Recht umgesetzt worden. EWR-Länder haben ein Jahr länger Zeit. Ergänzend verabschiedete die Europäische Kommission Ende 2017 die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation im bargeldlosen Zahlungsverkehr.
Es soll so für alle Marktteilnehmer Rechtssicherheit im Hinblick auf den Zugang zu Zahlungskonten geschaffen werden. Die RTS tritt ab dem 14. September 2019 in Kraft und muss für alle EU-Banken bis dahin umgesetzt werden.
Kernelement: Zwei-Faktor-Autorisierung
Bei der Kundenauthentifizierung kommt die Zwei-Faktor-Autorisierung zum Zuge. Die Nutzer müssen ihre Identität durch mindestens zwei der drei folgenden, voneinander unabhängigen Faktoren nachweisen:
- Wissen: durch etwas, das ihnen bekannt ist (Passwort oder PIN-Code)
- Besitz: durch etwas, das sie selber besitzen (eine Karte, ein Token-Gerät, ein Mobiltelefon)
- Inhärenz: durch etwas, das sie ausmacht (biometrische Merkmale wie Fingerabdrücke oder Iriserkennung)
Ausnahmen kommen zur Anwendung, wenn beispielsweise der Zahlungsbetrag für E-Commerce-Zahlungen kleiner als 30 Euro ist oder bei einer kontaktlosen Zahlung, am Point of Sale (PoS) der Betrag unter 50 Euro fällt. Eine weitere Möglichkeit wäre, wenn der Kunde durch einen vertrauenswürdigen Empfänger auf eine „White List“ gesetzt wird – dann würde eine Ein-Faktor-Autorisierung genügen.
Zu lösende Probleme
Zu lösende Probleme in der EU bis die RTS in Kraft tritt, sind u.a.:
- Kriterien und Prozesse der nationalen Aufsichtsbehörden sowie deren Konsultation mit der EBA (Europäischen Bankenaufsichtsbehörde)
- Übergangsphase der Inkraftsetzungen, PSD2 (ab 13.01.2018) und RTS (ab 14.09.2019)
- Compliants Handling (bei der EBA noch in Vernehmlassung)
- Detailfragen in Bezug auf die EU Datenschutzgrundverordnung (DSVGO) und PSD2
- Standard der Schnittstellen, da der Vorschlag zur Standardisierung der Berlin Group (PSD2-XS2A) freiwillig und durch die Banken nicht zwingend zu implementieren ist
Position der SBVg
Die SBVg lehnt eine Open-Banking-Regulierung analog PSD2 für die Schweiz ab. Die Gründe sind:
- Der Wettbewerb funktioniert gut und die Banken bieten innovative Lösungen an.
- Die Sicherheit der Kundendaten bei Drittanbietern wird hinterfragt, da die Banken heute viel in die Sicherheit ihrer Online-Banking-Plattformen investieren.
- Es ist keine Aufsicht der FinTechs vorgesehen.
Die SBVg unterstützt aber die Initiativen für Open Banking von Schweizer Instituten:
- Common API der „Swiss FinTech Innovations“ in Abstimmung mit Berlin Group mit Fokus auf den elektronischen Zahlungsverkehr via SIC und ESR
- Corporate API der „SIX Group“ in Abstimmung mit anderen Banken mit Fokus auf einen API-Hub bei SIX, so dass Drittanbieter ihre Lösungen für Unternehmenskunden anbieten können
- Schweizer Kommission für Standardisierung im Finanzbereich (SKSF), Koordination der Arbeitsgruppen für ISO/TC68 Standards
- Kooperationen mit Swiss Finance Startups (SFS)