InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
«Open Banking» gewinnt sowohl national, wie auch international immer mehr an Bedeutung. Die PSD2 (Payment Services Directive 2) ist dabei die wichtigste Regulation im europäischen Raum – die Teilnahme in der Schweiz ist freiwillig. Für die Schweiz ist eine solche (noch) nicht in Sicht, aber ein paar Initiativen unterschiedlicher Ausrichtung haben sich bereits an das Thema gewagt. In diesem Blogartikel betrachten wir nicht die juristischen, sondern die inhaltlichen Elemente des PSD2-Standards und der darin adressierten Teilnehmer.
Unter dem Begriff «Open Banking» wird das Bereitstellen von Daten und das Auslösen von Operationen, mittels standardisierten Applikationsschnittstellen (API), für anerkannte Drittanbieter verstanden. Die Systeme werden von Banken betrieben. Die Third Party Providers (TPPs) sind in der Regel Nichtbanken, denen der Zugang zu den Konten und/oder der Daten der Bankkunden gestattet wird. Die APIs erlauben es den TPPs, Kontodaten von Bankkunden und Funktionen der Banken im Zusammenhang mit den Kundenkonten zu nutzen.
Aus dem Un-bundling von Leistungen entstehen Dienstleistungen, die immer häufiger unabhängig von der jeweiligen Bank-, Kreditinstituten- oder Versicherung sind oder dem Institut, wo ein Konto besteht oder eine Police liegt. Typische Anwendungsfälle sind das Abrufen von Kontoinformationen oder die Auslösung von Operationen wie Zahlungen. Dieser Vorgang bietet immense Möglichkeiten und Chancen. Denn die Digitalisierung mit kontaktlosem und mobilen Bezahlen, sowie dem Online-Banking hat durch COVID-19 einen deutlichen Schub bekommen. Hat sich doch die Hemmschwelle teils freiwillig, teils durch die Situation bedingt, deutlich reduziert.
Formal ist das «Open Banking» in der PSD2, sprich in der zweiten EU-Zahlungsdienste-Richtlinie (Payment Services Directive, PSD) geregelt und sieht unter anderem die Marktöffnung für TPPs im Zahlungsverkehr vor.
Als Nachfolgerin der ersten Payment Services Directive (2007/64/EG) berücksichtigt die PSD2 die bisherigen IT-technischen Entwicklungen im Zahlungsverkehr, aber auch den Eintritt neuer Marktteilnehmer. Etwas detaillierter heisst das, die PSD2 regelt neu:
Typischerweise treten im Rahmen von «Open Banking» drei Akteure miteinander in Beziehung:
1. Kunde
Privat- und Geschäftskunden nutzen eine Applikation eines Service-Anbieters (Third-Party-Providers) und greifen über diese Anwendung auf Daten und Services zu, die bei ihren Finanzdienstleistern gespeichert sind, respektive von diesen zur Verfügung gestellt werden.
2. Third-Party-Provider (TPP)
Third-Party-Provider entwickeln und betreiben Applikationen, die zumeist spezifische Bedürfnisse abdecken. Zu den TPPs zählen sowohl Startups aus dem Fintech-Bereich, wie auch etablierte Unternehmen mit einer entsprechenden Applikation. Im Kern werden zwei Typen von TPPs benannt, welche in der Richtlinie als Anbieter von neuen Diensten im Bereich der Internetzahlungen identifiziert werden.
3. Finanzdienstleister (z.B. Banken, Versicherungen), resp. kontoführende Zahlungsdienstleister
Finanzdienstleister verwahren die Daten ihrer Kunden und stellen diese den TPP-Applikationen über Schnittstellen (APIs) zur Verfügung, sofern die Freigabe durch den Kunden vorliegt.
Wie bereits ausgeführt, müssen Banken Schnittstellen für Drittanbieter (sprich für TPPs) bereitstellen. Um auf diese Schnittstellen zugreifen zu können, verlangt das Gesetz, dass die TPP zwingend bestimmte Kriterien erfüllen und als Nachweis eine Zertifizierung vorweisen müssen. Dies gleicht die Anteile zwischen TPP und Banken aus. Alle TPPs, die an der PSD2 teilnehmen wollen, müssen die Haftung übernehmen, die Eigenkapitalziele erfüllen und die Anforderungen an Reporting und Audits erfüllen.
Im Rahmen der starken Kundenauthentifizierung müssen sich Verbraucher eindeutig ausweisen bzw. authentifizieren können. Um Betrugsfälle im Zahlungsverkehr zu minimieren muss die Authentifizierung aus mindestens zwei der nachfolgenden Faktoren bestehen:
Wissen steht dabei für etwas, das nur der Nutzer weiss. Darunter fallen Passwörter, Passphrase, PIN, Zahlenabfolgen oder Geheimfragen.
Besitz ist etwas, das nur der Nutzer (physisch) besitzt, so zum Beispiel eine Chip-Karte, das Mobiltelefon oder ein anderes «Wearable» sowie Smartcard, Token, Badge, Girocard-, EC- oder Kreditkarte oder auch ein TAN-Generator.
Inhärenz sind Eigenschaften, welche dem Nutzer persönlich beziehungsweise körperlich zu eigen sind – so beispielsweise der Fingerabdruck, Gesichtszüge, Stimme, Iris oder die DNA-Signatur.
Die Forderung der PSD2 nach einer starken Kundenauthentifizierung ist dann erfüllt, wenn das Authentifizierungsverfahren zwei dieser drei voneinander unabhängigen Elemente kombiniert. Die Kombination aus PIN und Passwort reicht also nicht aus, weil beide Sicherheitsmerkmale aus der Gruppe «Wissen» kommen. Wobei es auch hier Ausnahmen gibt. Diese finden sich in den Artikeln 10 bis 20 der Delegierten Verordnung (EU) 2018/389.
Im Herbst 2019 hat die Europäische Bankaufsichtsbehörde (EBA) die Frist für die Umsetzung der Regeln zur starken Kundenauthentifizierung im E-Commerce-Bereich bis 31. Dezember 2020 verlängert, um betroffenen Dienstleistern, insbesondere Zahlungsdienstleistern und Handelsunternehmen, mehr Zeit für technische Umstellungen zu geben. Aber die Uhr tickt und das Jahresende naht!
Im Rahmen der «DELEGIERTE VERORDNUNG (EU) 2018/389 DER KOMMISSION » müssen regelmässige Tests vorgenommen werden: «…Sicherheitsmassnahmen für die Durchführung einer starken Kundenauthentifizierung und ihrer Ausnahmen, die Massnahmen für den Schutz der Vertraulichkeit und der Integrität der personalisierten Sicherheitsmerkmale und die Massnahmen für die Einrichtung gemeinsamer und sicherer offener Standards für die Kommunikation dokumentiert, regelmässig getestet…»
Alle Zahlungsdienstleister müssen einen Nachweise dafür erbringen, dass die Sicherheitsmassnahmen umgesetzt, getestet und geprüft wurden. Die PSD2 gilt für Zahlungen in EU/EWR-Währungen zwischen im EU/EWR-Raum ansässigen Zahlungsdienstleistern. Darüber hinaus findet sie teilweise auch Anwendung auf Zahlungen in Nicht-EU/EWR-Währungen sowie wenn ein Zahlungsdienstleister ausserhalb des EU/EWR-Raums ansässig ist (z.B. Schweiz oder USA).
Sie unterliegen der PSD2, aber es fehlt Ihnen der Nachweis für die Umsetzung, Test oder Prüfung der Sicherheitsmassnahmen entlang des «Regulatory Technical Standards for Strong Customer Authentication» (CSA) nach Artikel 3 oder dem «Common and Secure open standards of Communication» (CSCCAC) der EBA mit Fokus auf Transaktionsrisikoanalyse (TRA). Durch unser PSD2 Assessment in Form einer externen, unabhängigen Beurteilung erfahren Sie, ob Sie die Anforderungen des PSD2 RTS on SCA & CSC einhalten.
Benötigen Sie Unterstützung in der Umsetzung der PSD2 oder einen Nachweis für die Umsetzung, Test oder Prüfung der Sicherheitsmassnahmen? InfoGuard kann Sie dabei unterstützen. Unsere Cyber Security Experten helfen Ihnen gerne weiter.