Finale Version der RTS im Rahmen der PSD II – EBA fordert zu technologischem Wettbewerb auf

• EBA finalisiert die ‚Regulatory Technical Standards‘ (RTS) zu starker Kundenauthentifizierung und sicherer Kommunikation im bargeldlosen Zahlungsverkehr

• Endgültige Bestätigung der verpflichtenden Bereitstellung der PSD II-Schnittstelle für Third Party Payment Service Provider (TPPs) – Screen Scraping somit nicht mehr notwendig und untersagt

• Regelung für mandatorische ‚Strong Customer Authentication‘ (SCA) entlang der Rückmeldungen aus dem Markt adjustiert: Limit für Ausnahme bei Remote Payments von 10 € auf 30 € erhöht, statt 30 nur alle 90 Tage erneute SCA für Account Information Service notwendig und biometrische Verfahren uneingeschränkt für SCA nutzbar

• Mit ‚transaction risk analysis‘ (TRA) und unbedienten Terminals Schaffung zweier neuer Ausnahmen für SCA

• Im Ergebnis schafft EBA ausgewogene und am Markt orientierte Regulierung; durch Einführung des Ausnahmetatbestandes TRA werden Banken einmal mehr zum technologischen Wettbewerb aufgefordert

Die EBA hatte im August 2016 den Konsultationsentwurf des RTS veröffentlicht und diesen in einer öffentlichen Anhörung am 23. September 2016, insbesondere in den Punkten „Nutzung der starken Kundenauthentifizierung beim Kontozugang (1-Monat-Diskussion)“ und „Nutzung von Risk Based Approach als Ersatz für den 2. Faktor“, präzisiert. Nunmehr hat die EBA, nach Einbeziehung von 224 erhaltenen Rückmeldungen aus dem Markt, am 23. Februar 2017 die finale Version der RTS veröffentlicht. Die RTS werden, abhängig von der Verabschiedung durch das Europäische Parlament, somit frühestens ab November 2018 gelten.

Die EBA kategorisiert die erhaltenen Rückmeldungen in die drei Themenbereiche

1. Geltungsbereich der RTS und Technologie-Neutralität
2. Zugang für Third Party Payment Service Provider (TPPs) zum Zahlungskonto und Anforderungen an die Kommunikation
3. Ausnahmen für Zahlungen mit geringem Risiko nach Transaktions-Risikoanalyse

Ausführungen zu Themenbereichen

Geltungsbereich und Technologie-Neutralität

Die EBA führt aus, dass den Geltungsbereich nicht die RTS, sondern die PSD II vorgibt. D.h. der Nutzer führt über onlinefähige Zahlungskonten Fernzahlungen aus, die ebenfalls online angegriffen und somit zu Verlusten für den Nutzer führen können. Ferner gelten die RTS für Überweisungen und Kartenzahlungen sowie Zahlvorgänge, bei denen fallbegleitend ein elektronisches Lastschriftmandat erteilt wird – nicht jedoch für die Lastschriftabwicklung selber. Darüber hinaus sieht die EBA den Geltungsbereich nicht nur bei Privatkunden, sondern auch bei Firmenkunden.

Zur Wahrung der Technologie- und Geschäftsmodell-Neutralität wurden Bezüge zum ISO-Standard 27001 und zu „HTTPS over TLS“ im finalen RTS Entwurf entfernt. Demgegenüber wurde der Bezug zum ISO-Standard 20022 beibehalten, da ein standardisiertes Nachrichten-Format für Zahlungsverkehrsdaten für die EBA Voraussetzung für den Erfolg der PSD II ist. Insgesamt wurden die Sicherheitsanforderungen bei den drei Elementen der starken Kundenauthentifizierung (Besitz, Wissen, Inhärenz) sowie dem Authentifizierungsgeheimnis abstrahiert und durch ein „as long as the security requirements are fulfilled“ an den technologischen Fortschritt gebunden.

Zugang für TPPs zum Zahlungskonto

Konteninformationsdienste dürfen nun ohne Auslösung durch den Konteninhaber vier Mal täglich die Konten aggregieren. Zudem ist statt der initial angedachten 30 nur alle 90 Tage eine erneute starke Kundenauthentifizierung für die Autorisierung von Account Information Services notwendig. Ab Beginn der Wirksamkeit der RTS dürfen Drittdienste kein Screen Scraping mehr nutzen und müssen die PSD II-Schnittstelle der kontoführenden Bank als Grundlage ihrer Dienstleistungen utilisieren. Entsprechend müssen die Banken über diese Schnittstelle dem Drittdienstleister die gleiche Verfügbarkeit und das gleiche Leistungsspektrum zur Verfügung stellen wie dem eigenen Kunden im Online-Zugang. Diesbezügliche Schittstellen-Anforderungen sind im neuen Artikel 28 präzisiert.

Ausnahmen für Zahlungen mit geringem Risiko nach Transaktions-Risikoanalyse

Generell führt die EBA aus, dass Ausnahmen ihrem inhärenten Zweck entsprechen müssen, da die Anwendbarkeit von Ausnahmeregelungen für eine Mehrheit von Zahlungen dem Ziel einer Erhöhung der Sicherheit im Zahlungsverkehr entgegenstehen würde. Darüber hinaus sieht die EBA mit den RTS den Weg in die Post-PSD II-Welt bereitet, in der starke Kundenauthentifizierung (SCA) den Grundsatz jeder Transaktion bildet. Ausnahmen von der Nutzung starker Kundenauthentifizierung sind in den Artikeln 10 bis 18 aufgeführt.

Mit TRA (‚transaction risk analysis‘, Artikel 16) und unbedienten Terminals (Artikel 12) hat die EBA zwei neue Ausnahmen geschaffen. Artikel 16 zielt dabei auf die Senkung der Verluste im bargeldlosen Zahlungsverkehr durch ein Incentive-Modell nach dem Muster „je niedriger die Verluste, desto höher die monetäre Schwelle für SCA“. Unbediente Terminals (bediente Terminals sind zum Beispiel POS-Terminals im Handel) für Transport (z.B. Mautgebühren) und Parken bilden den zweiten neuen Ausnahmetatbestand.

Abbildung 1: Ausnahmen von der Nutzung starker Kundenauthentifizierung

Ferner wurde die Ausnahme für Remote Payments mit niedrigen Beträgen von 10 Euro auf 30 Euro angehoben, bei aufeinanderfolgenden Zahlungen bleibt die Summenschwelle bei 100 Euro oder fünf Zahlungen ohne SCA. Bei kontaktlosen Zahlungen am POS liegen die Grenzen bei 50 Euro, resp. 150 Euro als Summe und ebenfalls fünf Zahlungen. Wertgleiche Zahlungen an den gleichen Empfänger fallen nun unabhängig vom Zahlungsinstrument unter den Ausnahmetatbestand.

Neue Regelungen im Detail

Der neu geschaffene Artikel 2 fordert eine Transaktionsüberwachung zur Entdeckung nicht autorisierter und betrügerischer Zahlungen und betont die Wichtigkeit des Monitorings von Risiko und Betrug. Die Transaktionsüberwachung muss dabei auf Basis des normalen Verhaltens des Nutzers arbeiten. Als Mindestmaß müssen in die Risikoanalyse kompromittierte und gestohlene Kontoidentitäten, der Zahlungsbetrag, bekannte Schadensszenarien und Anzeichen für eine Infektion mit Schadsoftware einbezogen werden. Das spricht für ein komplettes Risikoanalyse-System, was derzeit in der Online-Welt der Banken (im Gegensatz zur Kartenwelt) kaum vorhanden sein dürfte. Im Falle der Ausnahme nach TRA ‚transaction risk analysis‘ (Artikel 16) werden explizit einzubeziehende und in Echtzeit zu bewertende Risikofaktoren genannt, u.a. das historische Ausgabeverhalten des Nutzers, den Aufenthaltsort von Zahler und Zahlungsempfänger oder auch eine mögliche abnormale Nutzung eines Zugangsgerätes oder der verwendeten Software.

Im Artikel 5 ‚dynamic linking‘ sind die im Entwurf aus dem August 2016 enthaltenen technischen Einschränkungen zu Anzahl von Geräten und Kanälen entfernt und durch die Forderung nach Sicherheit von Vertraulichkeit, Authentizität und Integrität gewährenden Verfahren ersetzt worden. Nach Einschätzung der Verfasser wird durch diese technologieoffene Regulierung ein hoher Grad an Zukunftssicherheit gewährleistet, was hervorgehoben werden soll.

Artikel 16 schließlich führt mit der Transaktionsrisikoanalyse TRA eine neue Ausnahmeregel ein, die um das Schwellenmaß ETV ‚Exemption Threshold Value‘ baut. Abhängig von der Verlustrate des Zahlungssystemanbieters kann das ETV 100, 250 oder 500 Euro betragen. Erst nach Überschreiten des ETV muss starke Kundenauthentifizierung eingeschaltet werden. Dabei unterscheidet die EBA zwischen kartenbasierten Zahlungen und Überweisungen. Die genauen Zahlenwerte gibt Abbildung 2 wieder. Das Risikoanalysesystem muss in Echtzeit arbeiten.

Abbildung 2: ETV in Abhängigkeit von Verlustrate und Zahlungsinstrument

Zusätzlich zu den Sicherheitsfaktoren aus Artikel 2 müssen sechs Faktoren in die Risikobewertung einfließen wie zum Beispiel Prüfung auf abnormales (Ausgabe-)Verhalten des Zahlers oder ein ungewöhnlicher Aufenthaltsort des Zahlers. Die Verlustrate als Vergleichsmaßstab für das ETV ergibt sich aus der Summe der nicht autorisierten und betrügerischen Zahlungen je Zahlungsinstrument pro 90 Tage, unabhängig, ob die Zahlungen wieder erlangt werden konnten. Berechnungsmethode und die Verlustraten selbst müssen auf Nachfrage der Aufsicht zur Verfügung gestellt werden. Artikel 17 und 18 führen weitere Details zur Ausgestaltung der Ausnahme nach RTA ein.

Zwar stellt schon die PSD II unmissverständlich klar, dass die kontoführende Bank Dritten den Zugang unentgeltlich über eine Schnittstelle zur Verfügung stellen muss, jedoch wird dies in den RTS nochmals explizit ausgeführt: Die Unentgeltlichkeit in Artikel 27 Nr. 4 und die Pflichten im Rahmen der dedizierten Schnittstelle im Detail durch Artikel 28. Die kontoführende Bank hat zudem die Pflicht, Verfügbarkeit und Leistungsspektrum der Schnittstelle zu überwachen und die Statistiken hierzu der Aufsicht auf Anfrage zur Verfügung zu stellen. Auch die Drittanbieter sollen der Aufsicht Mängel der Schnittstelle melden.

Bewertung und Fazit

Der Verzicht auf enge technische Vorgaben zu Endgeräten und Kommunikationskanälen, die endgültige uneingeschränkte Gleichstellung auch der verhaltenstypischen Biometrie mit Besitz und Wissen sowie das Weglassen unnötiger Gedankenspiele zur „Mandatierung von Ausnahmen“ wie noch bei der öffentlichen Anhörung im September 2016 zeugen vom konstruktiven Adaptionsverhalten und letzlich von der Weitsicht der EBA.

Nach Ansicht der Autoren stellt das finale RTS einen guten Kompromiss der Forderungen aller Stakeholder dar. Die EBA hat es geschafft, eine ausgewogene und am Markt orientierte Regulierung für starke Kundenauthentifikation und Kommunikation für die durch die PSD II geforderten Dienstleistungen zu erstellen.

Bereits zur initalen Veröffentlichung der PSD II war davon auszugehen, dass der Einstieg von Drittdiensten in die bilaterale Bank-Kunde-Beziehung zu einem „Convenience-Wettlauf“ zwischen Dritten und Banken führen wird. Der nun in die RTS aufgenommene Ausnahmetatbestand TRA ebnet Banken den Weg, kundenfreundliche Dienstleistungen anzubieten und ist somit das Mittel der Wahl, um den Wettlauf um den Kunden für Banken positiv gestalten zu können. Wollen Banken diese Ausnahmeregelung ziehen, müssen sie Verluste und Risiken der Zahlungen überwachen und durch unabhängige Auditoren bewerten lassen.

Diese neu hinzugekommene Erweiterung der RTS kann aus Sicht der Banken als Attacke der letzten Bastion des Nicht-Meldens von Verlusten interpretiert werden. Angesichts der „Meldedichte“ fortschreitender EZB-Regulierung sollte dieser Preis jedoch den durch die finale RTS „neu“ gewährten Freiheiten unterzuordnen sein. Diese Obligation, wie auch die nunmehr „unvermeidbare“ Implementierung umfangreicher Fraud Scoring Systeme in E- und M-Banking-Kanäle, sollte von Banken nicht als Bürde, sondern  als Chance für ein neue dienende Rolle zum Kunden, für Zusammenarbeit untereinander und mit TTPs ohne Scheuklappen und für eine echte Innovationskultur verstanden werden – sonst könnte mittelfristig aus dem bilateralen Bank-Kunde-Verhältnis ein bilaterales Dritte-Kunde-Verhältnis werden.

https://www.eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+and+CSC+under+PSD2+%28EBA-RTS-2017-02%29.pdf

http://www.coretechmonitor.com/de/auswirkungen-rts-psd-ii/

http://www.coretechmonitor.com/de/public-hearing-der-eba-zu-starker-authentifizierung-und-sicherer-kommunikation-im-rahmen-der-psd-ii/