Am Mittwoch dieser Woche stand die EU-Zahlungsdiensterichtline (PSD2) bei einer Sitzung der EU-Kommission auf der Tagesordnung. Erwartungsgemäß wünscht die Kommission danach eine Überarbeitung des „Final Draft“ der Europäischen Bankenaufsicht (EBA) zu den Regulatory Technical Standard (RTS) zur starken Kundenautentifizierung (SCA) und zur sicheren Kommunikation (CSC) im Rahmen der PSD2.
BargeldlosBlog dokumentiert die Änderungswünsche der EU-Kommission.
An den Vorschlägen der EBA zur Zwei-Faktor-Autorisierung, die hier im Beitrag „Zwei Faktor Unsinn“ thematisiert werden, soll sich nachdem was man aus Brüssel hört bzw. liest (s.u.) nichts mehr ändern. Dagegen erwartet die EU-Kommission eine Überarbeitung der RTS im Hinblick auf den Zugang von Drittdienstleistern (TTP) zum Bankkonto.
Zur Diskussion um das Für und Wider bzw. das Wie und Warum verweise ich auf eine gute Zusammenfassung und Kommentierung von André Bajorat auf Payment and Banking. Das Thema ist in der Tat emotional besetzt und naturgemäß hoch umkämpft. Die Banken fürchten um die Hoheit über Infrastruktur, Daten und Kunden. Die FinTechs wollen Finanz-Cockpits bauen, mehrere Konten und Depots für ihre Kunden überblicken und managen und smartere Beratungs- und Dienstleistungen bieten, als die behäbige, etablierte Finanzwelt.
Es geht ums Eingemachte bzw. ums Eingelagerte, um „Screen Scraping“ und API, um Schnittstellen zu den rund 6000 Banken in Europa und deshalb, und weil eine Zusammenfassung und Übersetzung aufwendig (Vatertag, Sonnenschein) und unpräsize wäre, dokumentiert BargeldlosBlog die Antwort eines Kommissionssprecher zu den Änderungswünschen der EU-Kommission an den RTS vom Mittwoch dieser Woche im Folgenden im Wortlaut. Der EBA liegt das offizielle Kommissionsschreiben noch nicht vor, sobald es vorliegt, soll es auf der Website der Bankaufsichtsbehörde veröffentlicht werden, so eine Sprecherin.
Statement der EU-Kommission zum „finalen“ EBA-Draft
„The revised Payment Services Directive entered into force nearly 18 months ago. The technical standard (RTS) on Strong Customer Authentication is key because it will enable high security standards for electronic payments to be applied and at the same time maintain convenience for users.
We have to make sure that the new rules bring more security, competition and value for money for payment users in Europe. The approach needs to be fair for all actors active in this market (banks as well as FinTech companies) and not unduly disrupt existing business models. This is why we are today proposing some limited amendments to the draft RTS sent by the European Banking Authority.
Overall, we are very happy with EBA’s work, considering the technical complexity of this topic and the many objectives EBA had to reconcile in this text. We are however proposing some limited changes, mainly relating to the communication interfaces that banks have to put in place to ensure secure, effective and user-friendly communication between themselves and their FinTech counterparts. The quality of those interfaces is crucial for the market.
In further detail:
- In our view, the draft EBA text needs to be reinforced in instances where banks opt to set up dedicated interfaces for the communication with FinTechs.
- While the Commission appreciates that the draft RTS presented by EBA puts in place a number of safeguards to ensure a well-functioning interface, these safeguards do not seem to provide an adequate solution when the interface is effectively down or not performing at the requested level. Consumers expect 24/7 availability of the services that they seek online.
- We therefore propose that the banks ensure that a fall-back/contingent option is place to ensure business continuity. Banks having opted for dedicated interfaces should, as a contingency measure, offer alternative secure communications, in particular their online banking platform which their customers routinely use every day.
- This fall-back solution can be compared to the spare wheel most cars have in their boot in case one of their tyres would get punctured. The spare wheel is not even a 10th of the cost of the car and it allows us to pursue our travel in all safety.
- The proposed amendments aim to strike a careful balance and to ensure that there will be sufficient room for innovation and fair competition among all existing and new players once PSD2 becomes applicable, while at the same time not compromising on security.
- We will continue to work with both banks and FinTechs to open up new and more convenient ways for consumers to use their bank accounts while maintaining the highest level of security.
- It will be no longer be permitted to directly access the customer’s data through the use the techniques of screen scraping, i.e. accessing the data through the customer facing interface with the use of the customer’s security credentials, without any further identification of the FinTech vis-à-vis the banks.
- The use of screen scraping has data protection risks in particular. FinTechs can access all online banking data of the customer, and view the very same data that the customer is able to view when accessing the online banking site himself. This access may go much further than the data that FinTech actually need for their services. More importantly, the access may go beyond to what the customer actually has agreed to when making use of the FinTech services.
- PSD2 has therefore put in place a framework to contain this risk. It requires that banks put in place a communication channel that allows FinTechs to access the data that they need in accordance with PSD2, and that enables banks and Fintechs to identify themselves when accessing these data.
- Once the Commission has submitted its proposal, the EBA will have six weeks to issue its opinion. After that, the Commission will assess the changes that EBA has introduced in the draft text and to see if it can accept these changes or whether further amendments are necessary. After the adoption by the Commission, the European Parliament and the Council have three months (with a possible extension of another three months) to give their consent to the Regulation. The RTS will become enforceable 18 months after it has entered into force.“
P.S.: Das Statement habe ich im Rahmen einer Recherche für einen Beitrag in der aktuellen Lebensmittel Zeitung erhalten, indem es um die Auswirkungen der geplanten Zwei-Faktor-Autorisierung auf den Onlinehandel und die ePayment-Welt geht.
Update 1.6.2017: Und hier nun das offizielle Schreiben der EU-Kommission an die EBA.
Update 24.7.2017: Es bleibt spannend und man kommt mit dem Wundern und Kommentieren nicht hinterher: Die EBA hat auf das „Anforderungsschreiben“ der EU-Kommission geantwortet und weist die Wünsche aus Brüssel in vier Punkten zurück. Wüsste nicht, dass es einen vergleichbaren Verfahrensablauf bei einer EU-Richtlinie gegeben hätte. Nun liegt der Ball wieder bei der EU-Kommission. Für die „Rechtsunterworfenen“ keine angenehme Situation, denn die Zeit läuft. Das nationale Umsetzungsgesetz zur PSD2 wurde bereits verabschiedet, die zentralen RTS-Vorgaben sind aber noch nicht fixiert und es ist völlig offen, was passieren wird bzw. in welche Richtung es gehen soll. Aus dem Markt hört – auch von großen Playern – immer häufiger die Losung: „Zwei-Faktor-Autorisierung & Co., das kann nicht kommen, weil es gar nicht geht“. Mal sehen (siehe auch -> SEPA, da hörte man ähnliche Stimmen).