Neue Regeln im Zahlungsverkehr

Die Deadline für die Umsetzung der zweiten Zahlungsdienstrichtlinie (PSD2) lief am 14. September 2019 ab. PSD2 betrifft zwar überwiegend Banken und Finanzinstitute, doch die Folgen werden auch in anderen Bereichen zu spüren sein, allen voran im E-Commerce-Sektor.

Die überarbeitete Zahlungsdienstrichtlinie zielt darauf ab, eine geschützte Umgebung für Transaktionen zu schaffen. Die schärferen Sicherheitsvorkehrungen sollen dabei nicht nur im mobilen Zahlungsverkehr für mehr Sicherheit sorgen, sondern auch den Markt für Fintechs (als Fintechs werden Unternehmen bezeichnet, die Finanzinnovationen digitaler oder technischer Art anbieten) öffnen. Ziel ist es, den Wettbewerbsdruck im europäischen Markt zu erhöhen.

Die technischen Anforderungen zur Umsetzung der PSD2 sind in den sogenannten Regulatory Technical Standards (RTS) festgelegt. Was bei deren Implementierung zu beachten ist, zeigt der folgende Überblick.

Ausnahmen von der starken Kundenauthentifizierung

PSD2 verpflichtet Kreditinstitute, ihre Datenschnittstellen (APIs) für externe Finanzdienstleister zu öffnen. Die meisten Zahlungstranskationen müssen deshalb mit einer Zwei-Faktor-Authentifizierung (2FA) abgesichert sein. Ganz nach dem Motto doppelt hält besser müssen Kunden ihre Identität dann gleich auf zwei verschiedenen Wegen nachweisen: Neben der Eingabe eines Passworts ist auch ein biometrischer Abgleich wie ein Fingerabdruck oder ein Gesichtsscann notwendig.

Es gibt jedoch auch Ausnahmen, die es Banken und Finanzinstituten erlaubt, auf die starke Kundenauthentifizierung zu verzichten. Das ist beispielsweise dann der Fall, wenn lediglich Kleinbeträge unter 30 Euro überwiesen werden oder der Begünstigte Teil einer sogenannten White List ist. Banken liegt in diesem Fall eine Liste von Zahlungsempfängern vor, die vom Kunden vorher als vertrauenswürdig eingestuft wurden.

Screen Scraping gehört der Vergangenheit an

Beim Screen Scraping werden Inhalte einer Website extrahiert und auf einer anderen Website integriert. Dabei können jedoch auch Anmeldeinformationen „mitgelesen“ und für illegale Zwecke missbraucht werden. Betrüger sind somit beispielsweise in der Lage, gestohlene Login-Informationen zu ihrem Vorteil zu nutzen.

Screen Scraping hat in der europäischen Finanzbranche bereits für einigen Wirbel gesorgt. Fintechs sehen darin eine wichtige Voraussetzung, um im Konkurrenzkampf mit Banken wettbewerbsfähig zu bleiben. Die Methode spielt vor allem bei der Erfassung von Bankverbindungen eine Rolle und erlaubt es Fintechs, Transaktionen abzuschließen.

Die Crux an der ganzen Sache ist jedoch, dass Screen Scraping die Dienste eines Drittanbieters erfordert. In den Augen der Banken stellt das Auslesen von Bildschirminformationen deshalb vor allem ein Datenschutz- und Cybersecurity-Risiko dar, da es keine Möglichkeit gibt, das Ausmaß der von der Drittpartei einsehbaren Informationen zu kontrollieren.

Spezialisten sind gefragt

Die RTS stellen die Finanzwirtschaft vor bisher unbekannte Herausforderungen. Banken stehen vor der Wahl, entweder intern Technologielösungen zu entwickeln, um den Anforderungen gerecht zu werden oder auf externe Lösungen zurückzugreifen.

Häufig empfiehlt sich die Hinzuziehung spezialisierter Anbieter. Diese verfügen nicht nur über das nötige Know-how zur Erfüllung der Anforderungen, sondern bieten zusätzlich PSD2-konforme Lösungen an.

Beispielsweise stellt das Unternehmen ThreatMetrix®, das eine End-to-End-Plattform für digitale Identitätsdaten betreibt, eine Authentifizierungslösung zur Verfügung, mit der die digitale Identität von Kunden ermittelt werden kann. Zeigen sich Abweichungen im üblichen Verhaltensmuster des Nutzers, schlägt die Software Alarm. Betrügern kann somit bereits das Handwerk gelegt werden, bevor sie aus den gestohlenen Identitätsdaten Kapital schlagen können – „Minority Report“ mal anders.

PSD2 ist ein Katalysator für die gesamte Finanzbranche

Auch wenn es auf den ersten Blick übertrieben klingen mag – PSD2 läutet eine neue Ära in der Finanzbranche ein. Die neue Zahlungsdienstrichtlinie revolutioniert nicht nur bisherige Sicherheitsstandards, sondern hinterfragt auch die bisherige Vormachtstellung von Banken.

Fintechs sind längst keine bloßen Nebenbuhler mehr, sondern haben sich mittlerweile als ernstzunehmende Konkurrenten für Banken etabliert. Kunden haben gerade erst begonnen, die teilweise erheblich unkomplizierteren Services von Nichtbanken kennen und schätzen zu lernen. Der Bankensektor muss sich auf neue Mitspieler einstellen