PSD2: Kommission bietet lang erwartetes Update zu RTS und Screen-Scraping an
Viele europäische Banken, Bankenverbände und Fintech-Unternehmen warten derzeit auf die Verabschiedung der Regulatory Technical Standards (RTS) für eine starke Kundenauthentifizierung (SCA) und eine gemeinsame und sichere Kommunikation (CSC) durch die Europäische Kommission und das Parlament. Diese RTS definieren die technischen Anforderungen für die Kommunikationsschnittstellen (APIs) Diese Banken müssen in Zukunft Drittanbietern (TPPs) zur Verfügung stellen und angeben, wie Banken Benutzer authentifizieren müssen, wenn sie auf ein Zahlungskonto zugreifen oder eine Zahlung veranlassen.
Die jüngste Entwicklung in Bezug auf das RTS geht auf den Juni zurück. Zu diesem Zeitpunkt veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) ihre Stellungnahme zu den von der Europäischen Kommission vorgeschlagenen Änderungen der EBA ist so genannt endgültige Entwurf RTS . Die Stellungnahme der EBA zeigte unterschiedliche Ansichten zwischen der EBA und der Kommission hinsichtlich der Notwendigkeit, dass Banken eine „Fallback“ -Kommunikationsschnittstelle auf der Grundlage von Screen Scraping bereitstellen, falls die API-basierte Schnittstelle einer Bank nicht verfügbar wäre oder nicht angemessen funktioniert. Die EBA und die Finanzinstitute befürworteten die Notwendigkeit einer solchen Ersatzschnittstelle nicht. Die Kommission und die TPP beantragten dagegen die Aufnahme in das RTS.
Beim Die NextGenPSD2-Konferenz der Berliner Gruppe Ein Vertreter der Europäischen Kommission, der am 25. Oktober in Berlin stattfand, stellte ein lang erwartetes Update zur Verfügung. Herr Ralf Jacob besprach die Zeitpläne für das RTS und erläuterte den Ansatz bezüglich der Kommunikationsschnittstelle.
In Bezug auf die Fristen erklärte Herr Jacob, dass der Text des RTS fertig sei und derzeit übersetzt werde. Das RTS wird voraussichtlich um den 25. November veröffentlicht. Um offiziell zu werden, muss das RTS im Amtsblatt der Europäischen Union veröffentlicht werden, was Ende Februar 2018 geschehen soll. Das RTS wird 18 Monate später, im August 2019, in Kraft treten.
Die Kommission schlägt vor, die Catch-22-Situation in Bezug auf die Kommunikationsschnittstelle zu lösen, indem die Banken nicht aufgefordert werden, eine auf Screen Scraping basierende Fallback-Schnittstelle bereitzustellen, wenn ihre API-basierte Kommunikationsschnittstelle ordnungsgemäß funktioniert. Auf den ersten Blick scheint die Kommission dem von der EBA und den Banken vorgeschlagenen Ansatz zu folgen. Der Teufel steckt jedoch im Detail: Die Kriterien, anhand derer bestimmt werden kann, ob eine bestimmte API-basierte Schnittstelle angemessen funktioniert, werden von einer neuen Branchenorganisation definiert, die sich aus Vertretern von Banken und TPPs zusammensetzt. Auf diese Weise verlagert die Kommission die Verantwortung für die Festlegung von Kriterien auf die Marktteilnehmer und stellt sicher, dass TPPs ein Mitspracherecht bei der Qualität von API-basierten Schnittstellen haben, die von Banken bereitgestellt werden sollen.
Alles in allem bevorzugt der von der Kommission vorgeschlagene Ansatz weitgehend API-basierte Schnittstellen und versucht, die längst überfällige Praxis des Screen Scraping zu beseitigen.
Die Mitteilung der Kommission auf der NextGenPSD2-Konferenz beendet das mehrmonatige Schweigen des Regulierungsfunks und verleiht dem PSD2 Umsetzungsprozess. Es liegt nun an den Standardorganisationen wie The Berlin Group, Open Banking UK und STET, die Fertigstellung vorzunehmen API-Standards und an Banken, um Entscheidungen bezüglich ihrer zu treffen Verfahren für eine starke Kundenauthentifizierung .
