Überarbeitung der technischen Regulierungsstandards (RTS) für starke Kundenauthentifizierung und sichere Kommunikation im Rahmen der zweiten Zahlungsdiensterichtlinie (PSD2)

Überarbeitung der technischen Regulierungsstandards (RTS) für starke Kundenauthentifizierung und sichere Kommunikation im Rahmen der zweiten Zahlungsdiensterichtlinie (PSD2) | Charles Krier von Annerton | PayTechLaw

Am 5. April 2022 veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) einen Entwurf zur Überarbeitung der technischen Regulierungsstandards für eine starke Kundenauthentifizierung und sichere offene Standards für die Kommunikation unter der PSD2 (aktuell geregelt in der Delegierten Verordnung (EU) 2018/389 der Kommission). In diesem Blogbeitrag werden wir uns die Hintergründe sowie die Auswirkungen der vorgeschlagenen Änderungen zu den technischen Regulierungsstandards genauer anschauen.

 

Aktuelle Situation beim Zugang zu Zahlungskontoinformationen

Gemäß Art. 97 PSD2 sind Zahlungsdienstleister dazu verpflichtet, jedes Mal eine starke Kundenauthentifizierung durchführen, sobald ein Zahlungsdienstnutzer online, direkt oder über einen Kontoinformationsdienstleister auf sein Zahlungskonto zugreift.

Abweichend von dieser Anforderung gestatten die aktuellen Regulierungsstandards den Zahlungsdienstleistern, die starke Kundenauthentifizierung nicht verpflichtend durchführen zu müssen, sofern:

  • der Zugriff auf den Kontostand und/oder die jüngsten Transaktionen beschränkt ist,
  • keine sensiblen Zahlungsdaten offengelegt werden, und
  • die starke Kundenauthentifizierung beim ersten Zugriff auf die Informationen und danach mindestens alle 90 Tage angewendet wird.

Diese Ausnahmeregelung wurde von der EBA bei der Ausarbeitung der technischen Standards im Jahr 2016 eingeführt, da ohne eine solche Regelung die starke Kundenauthentifizierung für jeden einzelnen Zugang die wirtschaftliche Lebensfähigkeit von Kontoinformationsdienstleistern untergraben hätte, die mit der PSD2 ausdrücklich gefördert werden sollte.

Diese Ausnahmeregelung, wie auch alle anderen Ausnahmen von der starken Kundenauthentifizierung, wurden von der EBA in den technischen Regulierungsstandards als freiwillig ausgelegt.

 

Die Nachteile der derzeitigen Situation

Kontoführende Institute dürfen, müssen jedoch nicht von der Ausnahmeregelung zur starken Kundenauthentifizierung Gebrauch machen. Dies bedeutet, dass sie jederzeit entscheiden können, eine starke Kundenauthentifizierung für alle Vorgänge zu verlangen, die in den Geltungsbereich der Ausnahmeregelung fallen.

Die bei der Anwendung der aktuellen technischen Regulierungsstandards gesammelten Erfahrungen haben gezeigt, dass genau der freiwillige Charakter dieser Ausnahmeregelung zu sehr unterschiedlichen Praktiken bei ihrer Anwendung geführt hat:

  • einige kontoführende Institute verlangen alle 90 Tage eine starke Kundenauthentifizierung,
  • andere in kürzeren Zeitabständen,
  • während eine dritte Gruppe von kontoführenden Instituten die Ausnahmeregelung nicht anwendet und eine starke Kundenauthentifizierung für jeden Kontozugang verlangt.

Diese uneinheitliche Anwendung der Ausnahmeregelung und die häufige Anwendung der starken Kundenauthentifizierung haben zu unerwünschten Nebeneffekten für die Kunden (z. B. mehrfache starke Kundenauthentifizierung zu verschiedenen Zeitpunkten) sowie zu negativen Auswirkungen für die Dienste der Kontoinformationsdienstleister geführt.

 

Das Konsultationspapier

Um sicherzustellen, dass ein angemessenes Gleichgewicht zwischen den PSD2-Zielen der Verbesserung der Sicherheit, der Förderung der Innovation sowie der Stärkung des Wettbewerbs in der EU erreicht wird, sah die EBA die Notwendigkeit, die Anwendung dieser Ausnahmeregelung im Falle des Zugangs über Kontoinformationsdienstleister weiter zu harmonisieren. Daher schlug die EBA in ihrem Konsultationspapier vom Oktober 2021 eine gezielte Änderung der aktuellen technischen Regulierungsstandards vor.

Die wichtigsten vorgeschlagenen Änderungen können wie folgt zusammengefasst werden:

  • Einführung einer neuen verpflichtenden Ausnahmeregelung zur starken Kundenauthentifizierung im Falle des Kontozugangs über einen Kontoinformationsdienstleister, wenn bestimmte Bedingungen erfüllt sind (siehe unten),
  • Beschränkung des Anwendungsbereichs der freiwilligen Ausnahmeregelung auf die Fälle, in denen der Kunde direkt auf die Kontoinformationen zugreift, und
  • Verlängerung der Frist für die Erneuerung der starke Kundenauthentifizierung von 90 auf 180 Tage, sowohl wenn die Informationen über einen Kontoinformationsdienstleister als auch direkt durch den Kunden abgerufen werden.

Die EBA erhielt mehr als 1.200 Antworten auf den Entwurf von einem breiten Spektrum von Interessengruppen.

 

Die wichtigsten Anliegen

Die Hauptbedenken der Befragten betrafen (i) die Auswirkungen auf die Sicherheit der Kundendaten und -gelder, (ii) die Häufigkeit der Erneuerung der starken Kundenauthentifizierung sowie (iii) die Umsetzungs- und Übergangsfristen.

 

Verpflichtende Ausnahmeregelung

Die neue verpflichtende Ausnahmeregelung zur starke Kundenauthentifizierung gilt für den Fall, dass der Kontozugang über einen Kontoinformationsdienstleister erfolgt, und nur dann, wenn:

  • der Online-Zugang auf einen oder beide der folgenden Punkte beschränkt ist: Kontostand eines oder mehrerer bezeichnete Zahlungskonten und die in den letzten 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführten Zahlungsvorgänge,
  • keine sensiblen Zahlungsdaten offengelegt werden,
  • die starke Kundenauthentifizierung auf den ersten Online-Zugang über den Kontoinformationsdienstleister angewandt wurde,
  • weniger als 180 Tage seit dem letzten Online-Zugriff über den Kontoinformationsdienstleister vergangen sind,
  • keine Gründe für einen nicht genehmigten oder betrügerischen Zugang zu einem Zahlungskonto von einem Zahlungsdienstleister objektiv gerechtfertigt und ordnungsgemäß nachgewiesen wurden.

 

Freiwillige Ausnahmeregelung

Die freiwillige Befreiung von der starken Kundenauthentifizierung ist auf Fälle beschränkt, in denen der Kunde direkt auf die Kontoinformationen zugreift, und kann angewendet werden, wenn:

  • der Online-Zugriff auf einen oder beide der folgenden Punkte beschränkt ist: den Kontostand eines oder mehrerer bezeichneter Zahlungskonten und die in den letzten 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführten Zahlungsvorgänge,
  • keine sensiblen Zahlungsdaten offengelegt werden,
  • die starke Kundenauthentifizierung vom Zahlungsdienstnutzer für den ersten Online-Zugang beantragt wurde,
  • weniger als 180 Tage seit dem letzten Online-Zugriff durch den Zahlungsdienstnutzer vergangen sind.

 

Neue Fristen

Die Frist, innerhalb derer die kontoführenden Institute den Kontoinformationsdienstleistern die Änderungen an ihren Schnittstellen zur Verfügung stellen müssen, wurde von einem Monat auf zwei Monate vor der Umsetzung dieser Änderungen verlängert.

Außerdem wurde die Gesamtumsetzungsfrist von 6 auf 7 Monate nach Veröffentlichung der überarbeiteten technischen Regulierungsstandards im Amtsblatt der EU verlängert.

 

Verabschiedung und Inkrafttreten

Der EBA-Entwurf zur Änderung der technischen Regulierungsstandards wird der Kommission zur Genehmigung (Delegierte Verordnung der Kommission), vorbehaltlich der Prüfung durch das Europäische Parlament und den Rat vor der Veröffentlichung, vorgelegt.

Die überarbeiteten RTS gelten 7 Monate nach Inkrafttreten.

 

Cover picture: Copyright © Adobe Stock/Looker_Studio

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like