Sie möchten also Ihre Neo-Bank erweitern? Wichtige regulatorische Überlegungen für digitale Banken

Michael Magrath, 28. August 2020

Filiallose Neo-Banken nur online (auch als Challenger-Banken oder reine Digital-Banken bekannt) sind in Europa, Lateinamerika und Asien weit verbreitet und gewinnen in den USA rasch an Bedeutung

Neobanken bieten Kunden in der Regel mehr Komfort und überlegene Online-Erlebnisse. Beispielsweise schließen Kunden, die ein Konto bei einer Neobank eröffnen, den Vorgang vollständig online über einen Webbrowser oder über die mobile App der Bank ab, ohne Papierformulare unterschreiben oder eine Bankfiliale besuchen zu müssen. Seit der Pandemie möchten weniger Menschen in eine Filiale gehen, um ein neues Konto zu eröffnen oder Finanztransaktionen durchzuführen. Dadurch werden Neobanken so positioniert, dass Verbraucher erfasst werden, die ein vollständig mobiles Erlebnis suchen.

Neobanken müssen weiter wachsen, um erfolgreich zu sein. Wachstum ist für viele gleichbedeutend mit geografischer Expansion. In diesem Blog behandeln wir die wichtigsten Vorschriften, die Neo-Banken nur für digitale Medien berücksichtigen müssen, wenn sie schnell und erfolgreich wachsen möchten.

Wechseln Sie zu einem der folgenden Abschnitte:

1. Kennen Sie die Bestimmungen Ihres Kunden (KYC) für die Remote-Kontoeröffnung

Alle Banken müssen Kunden gemäß den einschlägigen KYC-Bestimmungen (Know Your Customer) an Bord haben. Diese Bestimmungen sehen vor, dass Banken die Identität der Person überprüfen müssen, die ein neues Konto eröffnet, auch wenn dieser Benutzer entfernt ist und sich nicht physisch in einer Filiale befindet. Da Neo-Banken auf die Eröffnung von mobilen und Online-Konten angewiesen sind, ist es besonders wichtig sicherzustellen, dass sie den Vorschriften zur Überprüfung der digitalen Identität entsprechen.

In den USA ist die Gesetz über Wirtschaftswachstum, Rechtshilfe und Verbraucherschutz wurde im Mai 2019 Gesetz. In Abschnitt 213 ermöglicht das MOBILE-Gesetz (Online-Banking-Initiierung legal und einfach machen) Finanzinstituten, neue Kunden durch Scannen des Führerscheins oder des Personalausweises digital zu binden. Diese Art der digitalen Remote-Kontoeröffnung senkt die Kosten für Banken und verbessert das Kundenerlebnis von Beginn der Beziehung an, während die Richtlinien zur sozialen Distanzierung eingehalten werden. Der USA PATRIOT Act von 2001 schreibt KYC für alle USA vor Banken. In diesem Gesetz ist die Anforderung eines Kundenidentifizierungsprogramms (CIP) enthalten, das Finanzinstitute verpflichtet, die Identität von Personen zu überprüfen, bevor sie Finanztransaktionen durchführen können.

In Kanada veröffentlichte das kanadische Zentrum für die Analyse von Finanztransaktionen und Berichten (FINTRAC) ein Papier mit dem Titel Methoden zur Überprüfung der Identität einer Person und zur Bestätigung der Existenz eines Unternehmens oder einer anderen Einrichtung als eines Unternehmens . Wenn eine Person nicht physisch anwesend ist, können Finanzinstitute mithilfe der Technologie zur Eröffnung eines digitalen Kontos und zur Überprüfung der Identität ein Bankkonto eröffnen, sofern die Bank eine Lösung verwendet, mit der die Echtheit des Ausweisdokuments des Antragstellers bewertet und überprüft werden kann dass die Person, die versucht, das Konto zu eröffnen, die Person im Ausweisdokument ist.

In Großbritannien ist die Bestimmungen zu Geldwäsche, Terrorismusfinanzierung und Geldtransfer (Angaben zum Zahler) 2017 schreibt vor, dass Finanzinstitute strenge Maßnahmen zur Überprüfung der Kundenidentität durchführen. In den ersten Monaten der COVID-19-Pandemie hat die britische Financial Conduct Authority (FCA) sagte Es war „bereit, die Regeln für Finanzdienstleistungsunternehmen zu lockern, die Selfies von Kundenfoto-Fotos akzeptieren, um ihre Identität zu überprüfen, als eine von mehreren Maßnahmen, um die Belastung während der Sperrung von Coronavirus zu verringern.“

Im März 2020 wurde die Task Force für finanzielle Maßnahmen (bestehend aus 39 Ländern, die die meisten großen Finanzzentren auf der ganzen Welt repräsentieren) weiter veröffentlicht Anleitung zur digitalen Identität . In den Leitlinien sind Einzelheiten dazu enthalten, wie die Kunden-Due-Diligence-Prüfung am besten auf digitale Kontoeröffnungsprozesse angewendet werden kann digitale Identitätsprüfung im Rahmen des Customer Onboarding. Laut FATF kann „eine zuverlässige digitale ID die Identifizierung von Personen im Finanzsektor einfacher, billiger und sicherer machen.  Es kann auch bei den Anforderungen der Transaktionsüberwachung helfen und Schwachstellen bei Maßnahmen zur Kontrolle des Menschen minimieren. “ Die Leitlinien der FATF lauten, dass die Blaupause, die digitale Banken für das „Non-Face-to-Face-On-Boarding“ befolgen sollten.

Um diesen Anforderungen gerecht zu werden, haben einige Banken integriert automatische Überprüfung von ID-Dokumenten mit Gesichtsvergleich um die Identität eines potenziellen Kunden digital zu überprüfen. Hier wird der Kunde gebeten, sein von der Regierung ausgestelltes Ausweisdokument (normalerweise Führerschein, Reisepass oder Personalausweis) mit seinem Telefon zu scannen. Der Scan des ID-Dokuments wird dann unter Verwendung von Authentizitätsalgorithmen und maschinellem Lernen analysiert, um zu überprüfen, ob es echt ist.

Sobald das ID-Dokument überprüft wurde, wird das Foto auf dem Dokument mithilfe der Gesichtsvergleichstechnologie mit dem Selfie-Foto verglichen. Wenn eine Übereinstimmung festgestellt wird und beide als echt eingestuft werden, kann der Antragsteller mit der Eröffnung des Remote-Bankkontos fortfahren. Die Aufsichtsbehörden definieren dies als „On-Boarding von Angesicht zu Angesicht“ und bieten dem Kunden und der Bank eine Reihe von Vorteilen, darunter Benutzerkomfort, Reduzierung der Betriebskosten und die Möglichkeit, Kunden gemäß den Anforderungen der sozialen Distanzierung an Bord zu bringen .

2. Bestimmungen zur Online-Sicherheit und risikobasierten Authentifizierung

Wie herkömmliche Banken müssen Neobanken robuste Online-Betrugsbekämpfungs- und digitale Sicherheitssysteme integrieren und aufrechterhalten. Dazu gehören Back-End-Sicherheit, die Sicherung von Front-End-Systemen sowie Compliance und Berichterstellung.

Neben den regulatorischen Anforderungen haben Neobanken einen weiteren starken Treiber für die Sicherung der Kundenkonten - das Reputationsmanagement und die Wahrnehmung der Verbraucher. Während 90% der Neo-Bank-Kunden in den USA und 88% in Großbritannien 61% der Verbraucher geben an, dass sie einer traditionellen Bank mehr mit ihrem Geld vertrauen als einer Neo-Bank, und 82% geben an, dass die Gewährleistung der Sicherheit von Transaktionen bei der Auswahl einer Bank von entscheidender Bedeutung ist . Im Gegensatz zu vielen traditionellen Banken müssen Neobanken das Vertrauen der Verbraucher gewinnen und ihre Kunden strikt vor allen Arten von Betrug schützen - einschließlich mobiler Trojaner und Angriffe, Phishing-Betrug und Kontoübernahmeversuchen.   

Der Schutz von Kundenkonten vor Betrug und unbefugtem Zugriff ist auch ein wichtiges Anliegen der Aufsichtsbehörden. In den USA schreibt die Aufsichtsbehörde des Staates New York, das New Yorker Finanzministerium (NYDFS), spezifische Vorschriften vor Cybersicherheitsanforderungen . Zu den Anforderungen gehört unter anderem, dass Finanzinstitute „wirksame Kontrollen anwenden müssen, die Folgendes umfassen können risikobasierte Authentifizierung oder Multi-Faktor-Authentifizierung, um nicht öffentliche Informationen oder Informationssysteme vor unbefugtem Zugriff zu schützen. “    

In der EU schreibt die Richtlinie 2 über Zahlungsdienste (PSD2) die Verwendung von vor Starke Kundenauthentifizierung Zahlungen und Transaktionen gegen Betrug zu sichern. PSD2 stellt sicher, dass fortschrittliche Authentifizierungskonzepte wie dynamische Verknüpfung, Gerätebindung für mobile Apps, Abschirmung mobiler Anwendungen und Analyse des Transaktionsrisikos zu Standard-Sicherheitstools für Finanzdienstleistungen werden. PSD2-ähnliche Initiativen gehen über den Block hinaus wie Bahrain und Truthahn haben auch den Ansatz der EU angenommen.

Während Finanzinstitute die Sicherheit, Redundanz und finanziellen Vorteile der Cloud-Datenspeicherung nutzen, sollten Neobanken auch die lokalen Cloud- und Datenresidenzgesetze berücksichtigen.   

3. Schutz des mobilen Kanals

Alle Banken, insbesondere aber Filiallose Neobanken, müssen eine robuste Sicherheit für den mobilen Kanal implementieren, insbesondere für die mobile App selbst. Dies ist nach der globalen Pandemie von entscheidender Bedeutung Mobile Bedrohungen nehmen für traditionelle Banken, Herausfordererbanken und FinTechs zu . Erst kürzlich hat die Das FBI warnte die Verbraucher vor einer Zunahme des auf mobilen Apps basierenden Banking-Trojaners Die Aktivität wurde aufgrund einer pandemiebedingten Zunahme der Mobile-Banking-Aktivitäten erwartet.

Für viele Neobanken ist die mobile App der einzige verfügbare Kundenkontaktpunkt. Die mobile App ist der Kanal, in dem der Kunde ein Konto eröffnet, auf sein Geld zugreift, Zahlungen und Transaktionen ausführt, Supportprobleme löst und über neue Produkte informiert wird. Bei so viel Fahrt auf der App muss sie exzellent sein. Es muss ein einwandfreies Kundenerlebnis bieten und außerdem sicher sein. Wenn die mobile App aufgrund eines Angriffs ausfällt, fällt die gesamte Bank aus. Ein App-Ausfall verweigert den Kunden nicht nur den Zugang zu ihrem Geld, sondern kann auch das Vertrauen der Verbraucher ernsthaft beeinträchtigen. Negative Schlagzeilen über Verstöße gegen Herausfordererbanken können es noch schwieriger machen, Kunden davon zu überzeugen, Neobanken ihr Geld anzuvertrauen.

Da mobile Apps auf mobile Geräte heruntergeladen werden, über die App-Entwickler bei Neobanken keine Kontrolle haben, kann dem Sicherheitsstatus dieser Geräte nicht vertraut werden. Neobanken müssen daher zusätzliche Maßnahmen ergreifen, um die Sicherheit und Integrität der App zu gewährleisten.

Das Finanzinstitut muss unbedingt alles tun, um sich mit dem Wissen und der Sachkenntnis auszustatten, um seine Kanäle sowie die Daten und Transaktionen seiner Kunden kontinuierlich zu überwachen und zu schützen und gleichzeitig das Kundenerlebnis zu verbessern. 

Um diese Anforderungen zu erfüllen, verlassen sich viele Banken bei der Implementierung auf vertrauenswürdige Lösungsanbieter von Drittanbietern Abschirmung der mobilen App für Sie. Die Abschirmung von Anwendungen schützt eine mobile Banking-App von innen heraus. Damit kann die App auch in potenziell feindlichen Umgebungen wie Geräten mit Jailbreak oder Root sicher betrieben werden - und den Dienst nur dann verweigern, wenn dies unbedingt erforderlich ist.

Abschirmung mobiler Apps
Whitepaper

Abschirmung mobiler Apps: So reduzieren Sie Betrug, sparen Geld und schützen Ihre Einnahmen

Erfahren Sie, wie App-Shielding mit Laufzeitschutz der Schlüssel zur Entwicklung einer sicheren, ausfallsicheren Mobile-Banking-App ist.

Jetzt herunterladen

 

4. Datenschutz und Datenschutz

Angesichts der in den letzten Jahren bekannt gewordenen Verstöße und des unbefugten Verkaufs und Austauschs von Verbraucherdaten durch Datenaggregatoren müssen Neobanken die Daten ihrer Kunden vor Verstößen und Angriffen schützen. Über Bußgelder hinaus können Datenverletzungen und Angriffe das Vertrauen der Verbraucher in nicht traditionelle Banken erheblich beeinträchtigen. Datenschutz- und Datenschutzbedenken können Verbraucher auch davon abhalten, zu Neobanken zu wechseln.

Ende Juli 2020 unterstützte Mark Cuban Das FinTech-Startup Dave hat einen Sicherheitsvorfall gemeldet Dies führt dazu, dass Millionen ihrer Benutzer personenbezogene Daten preisgeben. Obwohl FinTech eine Erklärung veröffentlicht hat, dass keine betrügerischen Aktivitäten stattgefunden haben, werden Nachrichten über den Verstoß und die Notwendigkeit, 7,5 Millionen Kunden zu benachrichtigen und alle Kundenkennwörter zurückzusetzen, das Verbrauchervertrauen sicherlich beeinträchtigen.  

Weltweit wurden zahlreiche Datenschutzgesetze und -bestimmungen erlassen. Diese beinhalten:

  • Allgemeine Datenschutzverordnung (DSGVO) der Europäischen Union
  • US California Consumer Privacy Act (CCPA)
  • Thailands Datenschutzgesetz (Einhaltung trat am 27. Mai 2020 in Kraft)
  • Brasiliens allgemeines Datenschutzgesetz (Durchsetzung beginnt am 1. August 2021)

Weitere solche Vorschriften kommen. Besonders in den USA, wo andere Staaten CCPA-ähnliche Gesetze einführen und der US-Kongress kürzlich Bundesgesetze eingeführt hat.

5. Open Banking-Initiativen

In den letzten Jahren wurden weltweit viele Open-Bank-Initiativen umgesetzt. Open Banking ermöglicht Drittanbietern von Finanzdienstleistungen (TPPs) den Zugriff auf Kundendaten (mit Zustimmung des Kunden) von Banken oder Finanzinstituten mithilfe von APIs (Application Programming Interfaces). Open Banking zielt darauf ab, bessere Optionen für Finanzdienstleistungen für Verbraucher zu schaffen, indem mehr Akteure in den Finanzdienstleistungsmarkt eintreten können.

Neobanken müssen die individuellen Anforderungen der einzelnen Aufsichtsbehörden erfüllen und sollten sowohl regulierte als auch nicht regulierte lokale Open-Banking-Initiativen kennen, wenn sie in eine neue Gerichtsbarkeit ziehen möchten. Neobanken ohne die umfangreichen Compliance-Teams größerer Banken sollten nach Anbietern und Partnern suchen, die in diesen schnelllebigen und vielfältigen Initiativen tiefgreifende Fachkenntnisse nachweisen können.

Während Open Banking in der EU klar definiert und verabschiedet wurde (Finanzinstitute müssen die von PSD2 festgelegten Vorschriften einhalten), treiben auch der asiatisch-pazifische Raum, Hongkong, Japan, Singapur und Südkorea ihre Open Banking-Initiativen voran. In Australien diente die Verabschiedung des Consumer Data Right (CDR) im Februar 2020 als Katalysator für Open Banking, und am 1. Juli 2020 mussten die australischen „Big 4“ -Banken „Produktreferenzdaten mit akkreditierten Datenempfängern“ teilen.

In Nordamerika hat Kanada eingehende Studien durchgeführt und "Open Banking" in "Consumer Directed Finance" umbenannt. Obwohl die kanadische Regierung Open Banking noch nicht genehmigt hat, sind die Studien vielversprechend und verbraucherorientierte Finanzierungen könnten früher als später eingeleitet werden.

Zusammenfassung

Die Vielzahl regulatorischer Anforderungen kann für jede Bank überwältigend sein. Dieser Artikel ist in Bezug auf die regulatorischen Anforderungen, mit denen Neobanken konfrontiert sind, sehr hoch und soll kein Fahrplan für die Einhaltung sein. Es werden jedoch einige der Nuancen hervorgehoben, mit denen Neobanken weltweit konfrontiert sind.

Neobanken, die geografisch expandieren möchten, stehen vor vielen Herausforderungen. Sie müssen vorsichtige Verbraucher davon überzeugen, dass sie ihr Geld sicher aufbewahren können. Sie müssen die Aufsichtsbehörden davon überzeugen, dass sie sicher und konform arbeiten können. und sie müssen ihre wertvolle mobile App vor Angriffen und zunehmenden Betrugsfällen schützen. Sie müssen dies alles auf eine Weise tun, die das überlegene Online- und In-App-Erlebnis, das sie ihren Kunden bieten, nicht beeinträchtigt oder mindert.

Zu diesem Zweck sollten Neo-Banken nach Technologien suchen, mit denen Betrug und Angriffe erkannt und gestoppt werden können, ohne die Art und Weise zu beeinträchtigen, wie ein typischer Kunde täglich mit seiner App interagiert. Technologien wie Verhaltensbiometrie, digitale Identitätsprüfung und Risikoanalyse auf der Basis von maschinellem Lernen können dazu beitragen, dieses Gleichgewicht zu erreichen. Wichtig ist, dass sie auch nach Technologien suchen, die sie bei der Einhaltung spezifischer Vorschriften unterstützen, z. B. der Anforderungen für eine starke Kundenauthentifizierung und digitale Identitäten.

Wenn sie dies können, sind die Möglichkeiten für Wachstum und Expansion endlos.

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Co-Vorsitzender der Arbeitsgruppe Government Deployment der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records Association (ESRA).