Die aktuell geltenden Vorgaben durch die PSD2 erfordern grundsätzlich eine Zwei-Faktor-Authentifizierung im Zahlungsverkehr, aber bei manchen Transaktionen gibt es dann doch Ausnahmen.
Oliver Dlugosch, CEO von ndgit bringt Klarheit in den Wirrwarr um die sicheren „Einsatzregeln“ für Banken und Zahlungsdienstleister. Man kann über die PSD2 vieles sagen und diskutieren. Was man der neuen Zahlungsdiensterichtlinie auf keinen Fall absprechen kann: Sie ist praxisnah und durchdacht. Durch die PSD2 geschehen zwei Dinge gleichzeitig: Die eisernen Türen traditioneller europäischer Banken werden aufgestoßen und einem gesunden Wettbewerb ausgesetzt, und gleichzeitig fest verbarrikadiert gegenüber Akteuren mit betrügerischen Absichten. Der Gesetzgeber ist sich der Tatsache wohl bewusst, dass kein Ausbau von Markt- und Dienstleistungsfreiheiten jemals auf Kosten der Sicherheit der Kunden geschehen darf. Deswegen ist Strong Customer Authentication (SCA) ein zentrales Prinzip der PSD2.
Dem Gesetzgeber ist aber ebenso klar: Kunden wollen Sicherheit, aber andererseits keine vermeidbaren Friktionen, wenn sie Service nutzen oder Transaktionen vollziehen. Vor diesem Hintergrund gibt es Ausnahmen von der SCA-Pflicht, um so genannte “low risk”-Transaktionen reibungslos zu gestalten. Es ist wichtig, dass Banken und ihre Service Provider die Regeln verstehen und befolgen, um optimale Usability und Compliance und damit das Vertrauen ihrer Kunden zu behalten und ihre eigene Reputation zu schützen.
Authentifizierungsformate
Um den Bedürfnissen der digitalen Welt gerecht zu werden, muss die PSD2 das E-Banking gegen Betrug absichern, das Vertrauen der Verbraucher stärken und regulatorische Anforderungen wie PCI-DSS jederzeit erfüllen. Fast immer ist die Zwei-Faktor-Authentifizierung obligatorisch, um eine SCA zu erreichen, wobei viele Anwendungen sogar mehr als zwei Sicherheitschecks verlangen, um Kunden, Händler und Banken gegen Betrüger zu schützen.
Authentifizierungsmethoden können basieren auf:
Wissen: Eine Information, die nur der Besitzer kennt, zum Beispiel eine PIN oder ein Passwort.
Besitz: Etwas, das nur der Benutzer in Händen hat, z.B. eine Karte oder ein Smartphone.
Inhärenz: Biometrische Merkmale des Besitzers, die per Fingerabdruck, Iris-Scan oder Stimmerkennung erfasst werden.
Jedes Element muss unabhängig sein, um auszuschließen, dass sie gegeneinander ausgespielt werden, und die Daten zur Nutzer-Authentifizierung müssen jederzeit und unter allen Umständen geschützt werden.
Um intermediären (“man in the middle”-Attacken) Angriffen zu verhindern, macht es die PSD2 erforderlich, dass alle Transaktionen, einschließlich Online- und Mobile-Payments, einen eindeutigen Authentifizierungscode verwenden, der die Transaktion sowohl mit dem Zahlungsbetrag als auch mit dem Zahlungsempfänger dynamisch verknüpft.
Jegliche Änderung des Zahlungsbetrags oder des Zahlungsempfängers wird sofort erkannt und verhindert, dass die Transaktion bearbeitet wird. Während des gesamten Bezahlvorgangs muss der Zahlende jederzeit Klarheit haben, sowohl in Bezug auf den Betrag als auch in Bezug auf den Zahlungsempfänger.
Services und Plattformen sicher machen
Die Zwei-Faktor-Authentifizierung ist obligatorisch für den Zugang zu Zahlungskonten im Internet und ebenso zu aggregierten Übersichten von Zahlungskonten. SCA ist auch notwendig, um elektronische Zahlungen vorzunehmen sowie für jegliche Aktion über einen Online- oder Mobile-Kanal. Gemäß der PSD2 müssen die Banken auch Systeme zur Erkennung betrügerischer Identitäten installieren, um ehrliche Kunden und Cyberkriminelle unterscheiden zu können.
Die Herausforderung für Banken besteht darin, Wege zu finden, dies für Online- und Mobile-Nutzer sowie für Batch-Verarbeitungen mit enormem Volumen so nahtlos wie möglich umzusetzen.
Ausnahmeregelungen für Friktionsfreiheit
Die starke Fokussierung der PSD II auf User Experience erlaubt es den Banken, adaptive und risikobasierte Authentifizierung zu nutzen, um festzustellen, wann eine starke Kundenauthentifizierung notwendig ist.
Um den elektronischen Zahlungsverkehr weiterhin so komfortabel und nahtlos wie möglich zu halten, erlaubt die PSD2 auch einige Ausnahmen von den strengen SCA-Anforderungen:
Günstige Online- und Mobilzahlungen (bis zu 30 €)
Ausnahme: Wenn ein kumulierter Wert von 100 € erreicht wird, oder wenn fünf Zahlungen von bis zu 30 € geleistet wurden.
Kontaktlose Kartenzahlungen bis zu 50 €
Ausnahme: Wenn ein kumulierter Wert von 150 € erreicht wird, oder wenn fünf kontaktlose Zahlungen von bis zu 50 € getätigt wurden.
Unbeaufsichtigte Zahlungen (Terminals, Automaten, etc.)
Unbeaufsichtigte Zahlungsterminals, etwa für Beförderungsentgelte und Parkgebühren.
Vertrauenswürdige Transaktionen
Online-Transaktionen (Kreditüberweisungen, Überweisungen mit Karte) zugunstene eines vertrauenswürdigen Zahlunsgempfängers, der z.B. dem Zahlenden bereits bekannt ist.
Genehmigte Zahlungen durch Unternehmen
Wenn spezielle Zahlungsverfahren und -protokolle verwendet werden, die im Sicherheitsniveau auch den Vorgaben der jeweils national zuständigen Behörde entsprechen.
Online-Zahlungskonten
Wenn das Online-Zahlungskonto geprüft wird, wird SCA nur beim ersten Mal benötigt und dann jeweils nach Ablauf von 90 Tagen nach dem letzten SCA.
Anwendungen mit geringem Risiko
Wenn die vom Zahlungsdienstleister festgestellten Betrugsraten niedriger sind als die festgelegten Referenzbetrugsraten laut Anhang des Merkblatts zum Regulatorischen Technischen Standard.
Die Verantwortung tragen
Abgesehen von diesen Ausnahmen mit geringem Risiko und geringem Wert sind Banken verpflichtet, SCA einzuführen. Der Zahlende kann die volle Rückerstattung vom PSP oder der Bank verlangen, wenn ein Betrug vorliegt und keine SCA erfolgte, und natürlich wenn er nicht seinerseits betrügerisch gehandelt hat.
Banken müssen nicht nur sicherstellen, dass die SCA, wenn erforderlich, bei ihren Kundentransaktionen erfüllt sind, sie müssen auch die API-Kommunikation bezüglich Kontoführung und -Verwaltung sowie die Durchsetzung von Zugriffskontrollen für autorisierte Drittanbieter (TPPs) sicherstellen.
Seit die PSD2 in Kraft getreten ist, sind viele europäische Banken noch immer besorgt um die Auswirkungen der Anpassung an SCA unter den neuen Rahmenbedingungen. Durch Zusammenarbeit mit API-Partnern wie ndgit können sie jedoch sicherstellen, dass ihre Services innovative Authentifizierungsplattformen umfassen. Und zwar diese, die SCA mit einfach zu implementierenden Multi-Faktor-Authentifizierungsmodulen unterstützen. Auf diese Weise können sie nicht nur ihr Unternehmen schützen und die regulatorischen vorgaben erfüllen, sondern auch ihren Kunden ein sicheres, nahtloses und zuverlässiges Erlebnis bieten.
Die Zahlungsdiensterichtlinie PSD2 wurde am 14. September 2019 mit dem Ziel in Kraft gesetzt, den Verbraucherschutz sowie die Sicherheit elektronischer Zahlungen zu verbessern. Darüber hinaus zielte das Regelwerk darauf ab, den Wettbewerb einerseits und Innovationen andererseits zu fördern. 2022 stellte die Europäische Kommission die PSD2 auf den Prüfstand. Dazu führte sie mehrere Konsultationen zum Erfolg […]
Bereits seit dem 14. September 2019, also mehr als 3 Jahre, ist die europäische Zahlungsdiensterichtlinie PSD2 nun schon in Kraft. Zeit für ndgit, einen Blick in die Statistiken unserer PSD2-Lösung zu werfen. Die folgend dargestellten Erkenntnisse und Ausblicke basieren auf dem Einsatz des Produkts in führenden Banken Europas, verteilt auf 36 Produktiv-Instanzen über acht Länder […]
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
Next level embedded finance platforms: Von der regulatorisch gesteuerten zur marktgesteuerten Open-Banking-Infrastruktur Die Einführung der PSD2 hat Banken unter Druck gesetzt, die Zahlungsdienstleisterrichtlinie bis zum Stichtag Anfang 2018 umzusetzen. Die Folge war eine Sonderkonjunktur für Dienstleister, die auf das Management der PSD2-relevanten Schnittstellen (APIs) spezialisiert sind. Ndgit schaffte es so innerhalb kurzer Zeit unter die […]
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
Open Banking & Open Finance Trends 2022 Die Corona-Epidemie hat den Megatrend Digitalisierung noch einmal beschleunigt, gerade auch im Bereich Open Finance. 2022 erwarten wir daher wieder einen Boom in einer ohnehin schon äußerst dynamischen Branche. Zeit, zurück- und nach vorne zu schauen: Was waren die Top-Themen in Open Finance 2021? Und welche Trends werden das kommende […]
Die Zusammenarbeit mit einem externen PSD2-API-Lösungsanbieter kann unterschiedliche Vorteile haben: zum Beispiel niedrigere Kosten und Risiken oder neue Umsatzquellen, Geschäftsmodelle oder externe Serviceangebote durch Drittanbieter (TPPs)...
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
2021 wird sich die Digitalisierung der Bankenwelt noch einmal erheblich beschleunigen. In diesen Webinaren möchten wir zeigen, welche Möglichkeiten Banken haben, diese Entwicklung für sich zu nutzen.
Beitrag - Von Sebastian Deck, Für Fortgeschrittene
Die zweite EU-Zahlungsdienstleisterrichtlinie PSD2 ist seit gut einem Jahr vollständig in Kraft. Zeit für ndgit, einen der Pioniere im Bereich PSD2-Compliance, zurück und nach vorne zu schauen.
In den vergangenen 18 Monaten war es vor allem ein Thema bzw. ein Akronym, das die Bankenbranche beschäftigte: PSD2 oder ausgeschrieben Payment Service Direktive II. Getrieben durch die gesetzlichen Vorgaben, mussten Banken Strategien und Lösungen entwickeln, um ihre Systeme für Drittanbieter zu öffnen [...]
14. März 2019 – ein denkwürdiges Datum, denn an diesem Tag macht der europäische Finanzmarkt den Schritt in ein neues Zeitalter: PSD2 (Payment Service Directive II) sei Dank wird der Einstieg für neue Anbieter von Finanzdiensten deutlich erleichtert und die Vielfalt von neuen bankenunabhängigen Services für Kunden gefördert.
Die Umsetzung der PSD2 ist für viele Banken die Einstiegsdroge ins Open Banking. Hier wird bei der Bank Software aufgespielt, die die PSD2-Vorgaben umsetzt – z.B. eine auf API Technologie basierende out-of-the-box Lösung von ndgit.
Reibungsloses Consent Management ist einer der Eckpfeiler der erfolgreichen PSD2-Implementierung. Oliver Dlugosch erklärt, wie Banken sich dedizierte APIs zunutze machen können, um Komplexität zu reduzieren und Prozesse nahtloser zu gestalten.
Die im Jahr 2018 in Kraft getretene neue europäische Zahlungsdiensterichtlinie PSD II gleicht einem Zündfunken zur Transformation der gesamten Bankenbranche. Der Funke mag noch klein sein, aber: Er bewirkt schon heute weitreichende Veränderungen in der Anlagepolitik und -strategie, wie Oliver Dlugosch, CEO ndgit, erläutert.
Wenn die europäische PSD2-Richtlinie 2018 national umgesetzt sein wird, bedeutet das eine Zäsur. Banken verlieren per Gesetz die exklusive Informations-Hoheit über den Kunden und müssen gegenüber Dritten den Zugriff auf das Konto unter geregelten Bedingungen öffnen.