Open Banking

Berlin Group und der Weg zur PSD3

Weltweit offenes Banking
Bild: JoZtar | Getty Images

Die PSD2 ist erst der Anfang einer vollumfänglichen Neuordnung der Art und Weise, wie Banking in Zukunft funktionieren wird.

Mit den Richtlinien der PSD2 wurden in Europa erste wichtige Rahmenbedingungen für Open Banking geschaffen. In diesem Zusammenhang haben sich unterschiedliche Arbeitsgruppen zur Klärung und Standardisierung von Prozessen und von Schnittstellen (APIs) gebildet.

Das Thema API-Standardisierung ist einer der wichtigsten Bereiche für den Aufbau eines funktionierenden Open Banking-Ökosystems. Die Berlin Group ist mit ihrer NextGenPSD2-Initiative bei der PSD2 API-Standardisierung führend und zieht immer mehr Unterstützer und Anwender an. Im Laufe der letzten Monate hat sie verschiedene Versionen ihres Regelwerkes veröffentlicht. Diese enthalten neue Funktionen und Anpassungen, die bei der Klärung offener PSD2-Fragen durch die EBA und Aufsichtsbehörden entwickelt wurden.

Standards über die PSD2 hinaus

Die NextGenPSD2 sieht sich nicht mehr als reine PSD2-Schnittstelle, sondern möchte über die PSD2 hinausgehen und für den Markt nützliche Standards für weitere Anwendungsfälle bieten. Dazu wurde unter anderem die Berlin Group Advisory Group gegründet und die Initiative so auch für relevante Marktteilnehmer wie FinTechs, Beratungs- und Softwarehäuser geöffnet. Diese können nun dabei unterstützen, den Standard mit marktrelevanten Erweiterungsvorschlägen weiterzuentwickeln.

Ergebnisse aus der letzten Konferenz der Berlin Group

Mitte November hat die Berlin Group ihre zweite Konferenz in Berlin abgehalten – eine dritte folgt Anfang Dezember, noch diese Woche in Paris. Zu Gast waren neben der Berlin Group Delegation auch Vertreter der Europäischen Kommission (EK), der Europäischen Zentralbank (EZB) sowie der Europäischen Bankenaufsicht (EBA). Die Konferenz hat offene Fragen, Schwächen und Potenziale der PSD2 diskutiert und vor allem ausgeleuchtet, wohin eine Vision jenseits der PSD2 führen kann. Die wichtigsten Ergebnisse der Konferenz werden im Folgenden vorgestellt.

Führender PSD2 API-Standard in der EU – und darüber hinaus

Laut einer Umfrage der EZB bei Banken sind momentan sechs bis sieben verschiedene API-Standards inklusive der NextGenPSD2 im Umlauf – STET, Open Banking UK, lokale Standards (Polen, Slowenien etc.). Etwa 78 Prozent aller Banken in EU-Staaten setzen auf den NextGenPSD2-Standard der Berlin Group. Diese Entwicklung sehen die EZB und die EK positiv, um eine Fragmentierung innerhalb der EU zu vermeiden. Allerdings ist hier noch zu erwähnen, dass auch die NextGenPSD2-Spezifikation unterschiedliche Umsetzungen zulässt und somit eine Fragmentierung allenfalls minimieren kann.  

Die PSD2 hat international Wellen geschlagen und gilt weltweit neben der Open Banking UK-Regulierung der Competition and Market Authority (CMA) als Blaupause für Regulierungsvorhaben dieser Art (siehe Artikel "Die Kunst der Open Banking-Regulierung“ auf MoneyToday zum Thema).

Die Frage der API-Standardisierung stellt sich auch in anderen regulierten Ländern und Regionen, wie zum Beispiel dem Mittleren und Nahen Osten (zum Beispiel Israel), in Japan und in den USA. Sie können von den Erfahrungen der europäischen Initiative lernen und soweit möglich in Teilen übernehmen.

Version 1.3 und immer noch offene Fragen

Neben der Vorstellung der aktuellsten Version 1.3 mit ihren Neuerungen (zum Beispiel Signing Baskets, Card Accounts etc.) wurden mit den Teilnehmern der EK und EZB die brennenden offenen Fragen diskutiert. Die Berlin Group ist "nur" eine Standardisierungs-Initiative und keine Instanz, welche die Deutungshoheit über die Auslegung der RTS innehat.

Das Ökosystems aus Berlin Group, API Evaluation Working Group, EK, EZB und EBA bilden eine Art Einheit zur Meinungsbildung in der Community. Allerdings sind am Ende die Anforderungen der nationalen NCAs bindend. Zuletzt am 9. November 2018 hat die API Evaluation-Arbeitsgruppe ein Papier mit Empfehlungen zur Auslegung der RTS veröffentlicht, welche einen de facto "bindenden" Charakter haben kann. Nichtsdestotrotz bleiben weitere Fragen offen:

Finale und konkrete Anforderungen für die Banken zur Ausnahme aus der Fallback-Lösung ("Authenticated Screen Scraping")
Die Fallback-Lösung sieht vor, dass Banken das "Screen Scraping" auf ihren Online Banking-Seiten für Drittanbieter (TPP) als Notlösung bereitstellen müssen, wenn sie keine zuverlässige und performante API zur Verfügung stellen können. Die Anforderungen für eine Genehmigung, um aus dieser Notlösung ausgenommen zu werden, definieren die nationalen Aufsichtsbehörden (NCA) der jeweiligen EU-Mitgliedsstaaten. Die API Evaluation-Arbeitsgruppe arbeitet an Kennziffern, die zu erfüllen sind und die EBA hat eine Empfehlung für die Auslegung der Anforderungen an die NCAs ausgearbeitet. Letztere soll die Auslegung harmonisieren und deren Umsetzung europaweit in Form von "Guidelines" sicherstellen.

Bisher sind die Anforderungen nicht klar definiert – bezüglich einer für TPPs zufriedenstellenden Bereitstellung der Schnittstelle, "Obstacles" unter Artikel 32.3 der RTS (Regulatory Technical Standards), "Redirection" als einzige SCA-Möglichkeit (SCA: starke Kundenauthentifizierung), Nachweis über das erfolgreiche Testen mit TPPs und Berechnung von Performanz und Downtimes. Die EBA hat erst kürzlich (am 4. Dezember 2018) eine finale "Guideline" für diese offenen Fragestellungen zur Fallback-Lösung veröffentlicht.

PSD2 RTS-konforme Sicherheitsverfahren
Nach wie vor gibt es unterschiedliche Interpretationen der RTS-Anforderungen in Bezug auf Verfahren für die starke Kundenauthentifizierung.  Die einen sehen SMS-TAN als konform an und die anderen nicht. Zweifelfrei ist allerdings, dass TAN- und iTAN-Listen nicht mehr konform sein werden. Doch wie sieht es mit Touch-ID und Face-ID aus? Hier haben die NCAs unterschiedliche Meinungen und einige NCAs haben sich noch nicht abschliessend mit diesen Themen beschäftigt.

Verschiedene Directory und Register Services
Das als zentrale Datenbank mit allen lizenzierten und zugelassenen TPPs vorgesehene EBA-Register wird vom Markt als unzureichend angegesehen. Es fehlen unter anderem maschinenlesbare APIs und die Abfrage in Echtzeit. Momentan ist ein Wettbewerb zwischen Directory-Diensten entbrannt – neben PRETA sind auch Dienste wie Konsentus, die in Echtzeit neben TPP-Listen auch Informationen zu Developer-Portalen und APIs der Banken-APIs zur Verfügung stellen. Diese Informationen werden über APIs durch Banken, TPPs und QTSPs (Qualified Trust Service Provider) in ihre Sicherheitsarchitektur einbindbar sein.

eIDAS Zertifikate von QTSPs
Nachdem ein TPP sich in einer NCA um eine PSD2-Lizenz bemüht hat, werden diese Informationen im Passporting-Prozess an alle anderen NCAs der EU-Mitgliedstaaten weitergeleitet und somit ist die Lizenz in der gesamten EU gültig. Der TPP kann ein eIDAS Zeritifkat bei einem in der EU ansässigen QTSP seiner Wahl kaufen. Der Standard wurde von der ETSI definiert. In Deutschland bietet die Bundesdruckerei ab Anfang kommenden Jahres erste Test-Zertifikate an. Hier zeigt sich: die Zeit ist knapp und es sind noch keine Erfahrungswerte vorhanden.

TPP-Registrierung
Die PSD2 und RTS sagen klar, dass TPP diskriminierungsfrei und ohne Vertrag auf die APIs zugreifen dürfen. Ist eine TPP-Registrierung nun in einem Developer-Portal erlaubt und ist dies das standardisierte Vorgehen? Es ist technisch auch möglich, dass ohne direkte Registrierung über den Sessionaufbau zwischen TPP und Bank mit dem eIDAS-Zertifikat im Backend ein Onboarding stattfindet. Das ist allerdings technisch etwas aufwendiger. Hier wird es eine Fragmentierung auf dem Markt geben und so neue Geschäftsmodelle für Dienstleister.

Testphasen vor dem 14. September 2019
Es wird vor dem 14. September 2019 (PSD2 APIs produktiv) zwei Testphasen geben:

Die eine mit einigen TPPs und einer Testumgebung (Sandbox) ab 14. März 2019 für drei Monate. Ab 14. Juni 2019 müssen Banken alle TPPs für weitere drei Monate auf die Systeme lassen, allerdings nicht mehr auf die Testsysteme, sondern auf die Produktivsysteme.

Auch hier gelten unterschiedliche Auslegungen. Die deutsche Bankenlandschaft geht eher in die Richtigung, dass die zweite Phase auf echten Produktivsystemen und Produktionskonten laufen sollten. Hierzu müssen TPPs bei den Banken echte Bankkonten eröffnen und darauf testen. Andere Banken wollen auf testnahen Systemen testen.

Klarheit ist auch hier europaweit erforderlich. Für das Thema Testing hat die Berlin Group die “NextGenPSD2 Implementation Support Programme” (NISP) ins Leben gerufen, um die die Erhaltung der Ausnahme von der Fallback-Lösung sicherzustellen. In diesem Programm sollen Synergien bei der Implementierung und beim Testing für alle Teilnehmer generiert werden. 

Der Weg zur PSD3

Nach PSD2 ist vor PSD3 – das mag für viele Banken erschreckend klingen. Zumal die meisten noch mit der Umsetzung und den Auswirkungen der PSD2 auf ihre Geschäftsmodelle beschäftigt sind. Allerdings sind die oben genannten ungeklärten Fragen und die zunehmende Fragmentierung eine offene Flanke für den Regulator, um nachzubessern oder gar um weitere öffnende Massnahmen zu ergreifen.

Die Konferenz hat den Regulator inspiriert, in welche Richting Open Banking in der EU gehen kann:

  • Das Thema Instant Payments ist entkoppelt von der PSD2 – hier ist eine engere Verzahnung von Open Banking und Instant Payments wünschenswert. So kann das Potenzial von mehr Wettbewerb im Zahlungsverkehrsmarkt erhöht werden, insbesondere im eCommerce und am POS.
  • Der Zugang zu weiteren Kontotypen – nicht nur zu online zugänglichen zahlungsverkehrsfähigen Konten, sondern zum Beispiel auch zu Kreditkarten, Wertpapierdepots, Krediten etc.
  • API-Standardisierung, Directory Services, Infrastruktur könnten vom Regulator strikter vorgegeben werden, um Fragmentierung zu beseitigen.
  • Nicht nur Open Banking ist ein Thema, sondern Open Data Economy insgesamt. Hier könnten Daten nicht nur von Banken, sondern auch von den Tech-Giganten und eCommerce-Plattformen für Banken und FinTechs geöffnet werden. Allerdings geht diese Art von Regulierung über den Zahlungsverkehr hinaus und könnte durch andere Regulierungen als die PSD reguliert werden.
  • Regulierung goes agile – in der sich schnell wandelnden technologischen Welt können starre Regulierungen nicht mehr bestehen. Auch für die Nachfolger der PSD2 werden agilere Konzepte für Anpassungen in nationales Recht benötigt.

Was lernen wir daraus?

Die nächste Regulierung wird kommen und diese wird den Markt weit mehr öffnen und deutlich mehr ermöglichen als die PSD2 heute. Es ist essenziell, dass Banken diese Marktdynamiken genau verstehen und sich entsprechend beim Regulator sowie bei den verschiedenen Initiativen und Foren mit ihren Interessen positionieren.

"Compliance only" wird nicht reichen. Die PSD2 ist erst der Anfang einer vollumfänglichen Neuordnung der Art und Weise, wie Banking in Zukunft funktionieren wird.

Der Autor: Hakan Eroglu

Hakan Eroglu ist Experte für Zahlungsverkehr, PSD2/Open Banking und Digitale Ökosysteme bei Mastercard und leitet Open Banking global bei Mastercard Advisors. Er verfügt über langjährige Projekterfahrung insbesondere in den Bereichen Open Banking-Strategie, im Aufbau von API-Geschäftsmodellen sowie Mobil- und Internet-Bezahlverfahren in Europa, Lateinamerika und Asien. 

Hakan ist Mitglied des Berlin Group NextGenPSD2 Advisory Board, der Schweizerischen Kommission für Standardisierungen im Finanzbereich (SKSF), Open Banking Working Group der Euro Banking Association (EBA) und Autor von Positionspapieren, Artikeln sowie Vernehmlassungen und Konsultationen zu den Themen PSD2, Open Banking und FinTechs.