PSD2-Kontoschnittstelle
Im Januar 2016 trat die novellierte EU-Zahlungsdiensterichtlinie (PSD II) in Kraft. Sie ist innerhalb von zwei Jahren in das Recht des Mitgliedstaates umzusetzen. Dritten Zahlungsdienstleistern wird damit die Möglichkeit eingeräumt, auf verschiedene Funktionalitäten des vom Kunden online geführten Zahlungskontos zuzugreifen. Kontoführende Zahlungsdienstleister müssen den Zugang und die entsprechenden Informationen den Drittdienstleistern unentgeltlich zur Verfügung stellen.
Konkret betrifft dies die folgenden drei Dienste:
1. Zahlungsauslösedienst,
2. Kontoinformationsdienst,
3. Drittkartenemittent.
In Bezug auf die elektronische Schnittstelle muss die Europäische Bankenaufsichtsbehörde (EBA) innerhalb von 12 Monaten nach in Kraft treten der PSD II Anforderungen (Regulatory Technical Standards, RTS) für die Authentifizierung und die sichere Kommunikation definieren und diese der Europäischen Kommission vorlegen. Nach Annahme durch die Kommission bleibt dem Markt eine Umsetzungsfrist von 18 Monaten.
Allerdings wird die EBA lediglich generische Anforderungen definieren, so dass eine europaweit einheitliche Umsetzung nicht gewährleistet werden kann. Die Umsetzung der technischen Anforderungen wird letztendlich dem Markt überlassen. Dies birgt die Gefahr, dass sowohl Banken als auch Drittdienstleister mehrere Standards unterstützen müssen und das Ziel einer Harmonisierung verfehlt wird. Dies dürfte weder im Interesse des Regulators noch der Banken und Drittdienstleister sein.
Die Deutsche Kreditwirtschaft plädiert daher gemeinsam mit der österreichischen STUZZA und der schweizerischen SIX für eine einheitliche interoperable Kommunikation zwischen Drittdienstleistern und Banken in Europa, was wiederum einen einheitlichen Schnittstellenstandard voraussetzt. Sie setzen sich dafür ein, auf europäischer Ebene zeitnah einen breiten und akzeptierten Marktstandard zu schaffen.
Generelle Anforderungen wurden hierfür in einer Präsentation festgehalten. Das Whitepaper der Deutschen Kreditwirtschaft enthält bereits detailliertere Anforderungen.
2. 10 August 2016 2
Europe-wide approach necessary to avoid fragmentation
The European Banking Authority will merely define generic requirements; uniform pan-European
implementation cannot be ensured.
Implementation of the technical requirements will ultimately be left to the market. This harbours
the danger that both banks (ASPSP) and third-party service providers (TPP) would have to support
several different standards, leading to fragmentation.
We are in favour of uniform interoperable communication between third-party service providers
and banks in Europe; this, in turn, presupposes a common interface standard.
The following requirements are based on our experience with standardised interfaces. They serve
as starting point for a European discussion.
3. 10 August 2016 3
High-Level-Requirements
1. Governance for pan-European collaboration; e.g. agreed timetable, multi-stakeholder approach,
transparent processes
2. Specification of/agreement on data elements/messages
3. Specification of a secure communication protocol (PSD2-compliant, but also extensible to include
additional services)
4. Use of free and open standards
5. Directory services to identify TPPs and ASPSPs
6. Public Key Infrastructure (PKI) to authenticate TPPs
7. Certification and registration process must be linked to (5.) and (6.)
Optional:
Development of a prototype using MVP approach to gain experience
MVP = Minimum Viable Product
4. 10 August 2016
GBIC Working Group white paper
GBIC has published a white paper on „Requirements for a data interface for third-party services“.
It contains key requirements in the following areas:
organisational procedures
functional (banking) aspects
technical processing
authentication and authorisation
4