Ein neues Zeitalter des Online-Bankings

Autor/Redakteur: Andreas Schremmer, VP Sales Banking & Payment Germany bei Gemalto/gg

Revolutionen sind in der Regel ungeplant und unkontrolliert. Sie entstehen auf natürliche Art und schlagen plötzlich zu, wenn man sie am wenigsten erwartet. Aber dieses Mal ist es anders. Die Revolution ist geplant. Sie wird kontrolliert. Und sie steht bereits vor der Tür. Willkommen im neuen Zeitalter des digitalen Bankings in Europa.

Der Regulator ist die Europäische Union höchstpersönlich. Ihre Aufgabe besteht aus drei Teilen: Onlinezahlungen praktischer zu gestalten, neue Wege zu finden, um dies zu erreichen, und Sie dabei zu schützen.

Wie? Durch die zweite Zahlungsdienstleisterrichtlinie, eine Richtlinie der EU, die 2016 in Kraft trat und bis Anfang nächstes Jahr in nationales Recht umgesetzt werden wird. Unternehmen werden sich anschließend bis Ende 2018 oder Anfang 2019 an die entsprechenden technischen Standards anpassen müssen.

Wen genau werden diese Vorgaben betreffen? Finanzinstitute ‒ aber nicht allein. Auch die Tätigkeiten von FinTechs und Drittanbietern (Third-Party Providers (TPPs)) werden den Richtlinien unterliegen, um den Wettbewerb im Finanzsektor zu stimulieren.

Und genau dort beginnt die Revolution. Denn die PSD2 (Payment Service Directive 2) ist kein einfacher, alleinstehender Rechtsakt: Sie ist ein Meilenstein bei der Digitalisierung von Finanzdienstleistungen und E-Payments. Neue Technologien und Authentifizierungsmechanismen haben Zahlungsprozesse für Unternehmen und Verbraucher verändert und fast jede Finanztransaktion kann mittlerweile digital ausgeführt werden. Finanzinstitutionen müssen sich anpassen ‒ und die PSD2 schafft eine Umgebung, in der die für die digitale Revolution erforderliche Innovation gefördert wird.

Neue Herausforderungen: Drittanbieter

Die größte Veränderung, die die PSD2 im Bankwesen und Zahlungs-Ökosystem bewirken wird, besteht darin, dass sie die Tür für eine neue Art von Wettbewerbern öffnen wird, indem sogenannte Dritte Zahlungsdienstleister (Third-Party Payment Service Providers (TP PSPs) oder Drittanbieter (Third-Party Providers (TPPs)) anerkannt werden. Diese neuen Akteure in der Finanzwelt, die zurzeit unterschiedliche Gesetze in verschiedenen Ländern berücksichtigen müssen, werden in der Lage sein ‒ innerhalb der EU und mit Einverständnis des Verbrauchers ‒ auf Konten bei anderen Finanzinstitutionen zuzugreifen und die Informationen zu nutzen, um persönlich zugeschnittene Dienstleistungen anzubieten.

Die PSD2 unterscheidet zwei Arten von TPPs:

  • Kontoinformationsdienstleister (Account Information Service Providers (AISPs)), zum Beispiel, um Ihre allgemeinen Ausgaben bei Konten anderer Banken zu analysieren und Tipps dazu zu liefern, wo Ihr Geld am besten aufgehoben ist oder wie es effizienter angelegt werden kann.
  • Zahlungsauslösedienstleister (Payment Initiation Service Providers (PISPs)), zum Beispiel, um Ihre Rechnungen zu bezahlen oder P2P-Überweisungen durchzuführen. Sie lösen die Zahlung durch eine „Software-Brücke“ zwischen der Händler-Website und der Online-Plattform Ihrer Bank aus. Der PISP erscheint in der Regel als Zahlungsoption auf der Händler-Website.

TPPs können potenziell große Erfolge erzielen, da Banken im Rahmen der PSD2 dazu verpflichtet sind, ihnen Zugriff zu Kontoinformationen zu gewähren. Dies erfüllt die ersten beiden Ziele der PSD2: Onlinezahlungen praktischer zu gestalten (verstärkter Wettbewerb sollte die Innovation fördern und somit die Ansprüche der Verbraucher an größere Benutzerfreundlichkeit erfüllen) und neue Wege zu finden, um dies zu erreichen.

Das dritte Ziel besteht darin, Verbraucher zu schützen, die Onlinezahlungen vornehmen. Auch hier haben Banken und TPPs Verpflichtungen. Zunächst werden sie dazu aufgefordert, für die sogenannte „starke Kundenauthentifizierung” beim Kontozugriff zu sorgen. Die Authentifizierung sollte aus einer Kombination von mindestens zwei unabhängigen Faktoren bestehen. Nutzer benötigen etwas, das sie besitzen (zum Beispiel eine Zahlungskarte oder Smartphone), etwas, das sie wissen (etwa eine PIN) und/oder etwas, das sie sind (beispielsweise ein biometrisches Merkmal). Anschließend müssen sie Sicherheitsmaßnahmen integrieren, die „auf das Risiko der Zahlung abgestimmt” sind. Die PSD2 verlangt von Zahlungsdienstleistern eine Transaktions- und Risikoüberwachung, damit sie die mit Zahlungen und Kontozugriff assoziierten Risiken erkennen, beurteilen und bewältigen können. Zudem können sie das Ausmaß des Risikos einschätzen und ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herstellen.