Was Sie über die PSD2-Verordnung und Compliance wissen müssen

Auf dem Markt des elektronischen Zahlungsverkehrs haben Finanzinstitute und Zahlungsdienstleister vieles gemeinsam. Vor allem ermöglichen beide eine neue Welle von Online-Transaktionen – und unterliegen im Gegenzug strengen Vorschriften. Dies gilt insbesondere für Europa, wo die Zahlungsdiensterichtlinie (Payment Service Directive) die Messlatte für starke Authentifizierung, Open Banking und Compliance höher legt.

Lesen Sie weiter, um die Grundlagen der PSD2-Compliance zu verstehen, warum sie wichtig ist und was Sie tun können, um Ihre Organisation heute zukunftssicher zu machen.

PSD2 steht für die zweite Version der Zahlungsdiensterichtlinie. Obwohl sie speziell für die Europäische Union (EU) gilt, wird sie weithin als wegweisende Verordnung für den Zahlungsverkehr angesehen, die die Arbeitsweise von Banken, Zahlungsverarbeitern und ähnlichen Unternehmen weltweit verändern könnte.

Im Jahr 2007 erließ die Europäische Kommission die ursprüngliche Payment Services Directive aus zwei Hauptgründen:

1. Schaffung eines stärker integrierten, wettbewerbsfähigen und effizienten europäischen Zahlungsmarkts
2. Mehr Sicherheit für den Zahlungsverkehr im digitalen Zeitalter

Mit anderen Worten: Die PSD1 zielte darauf ab, die Wettbewerbsbedingungen für alle Finanzakteure zu verbessern, indem sie nicht-traditionelle Institute zur Teilnahme ermutigte. Sie erleichterte neuen Firmen wie Fintech-Unternehmen und Drittanbietern von Zahlungen den Markteintritt. Außerdem wurde dadurch ein einheitlicher rechtlicher Rahmen für alle Finanzinstitute geschaffen.

Die PSD1 bot der Öffentlichkeit auch mehr Transparenz und Informationen über Gebühren, Verbindlichkeiten und Verbraucherrechte. Da der Markteintritt für neue Zahlungsdienstleister nun leichter war, sorgte die Verordnung auch für mehr Wahlfreiheit seitens der Verbraucher.

Im Laufe der Zeit erkannte die Europäische Union jedoch die Notwendigkeit, die PSD1 zu aktualisieren und zu überarbeiten. Daher beschloss die EU 2013 offiziell, eine solche Überarbeitung in die Wege zu leiten, und berief sich dabei auf die technologischen Veränderungen und wachsenden Sicherheitsbedenken. Drei Jahre später stimmten die EU-Mitgliedstaaten für die Verabschiedung der PSD2, die 2018 in Kraft treten sollte. Bestimmte Elemente der aktualisierten PSD2-Verordnung wurden jedoch schrittweise eingeführt, um den Finanzinstituten Zeit zur Anpassung zu geben.

Der Hauptzweck der PSD2 war einmal mehr die verstärkte Förderung von Innovation, Wettbewerb und Sicherheit in der europäischen Zahlungsverkehrsbranche.

Wer unterliegt der PSD2-Compliance?

Die PSD2 soll die Verbraucher in allen EU-Mitgliedstaaten schützen. Daher liegt ihr Hauptaugenmerk auf EU-Finanzinstituten, einschließlich Zahlungsverarbeitern, Banken, Brokern, Fintech-Unternehmen und anderen.

Organisationen mit Hauptsitz außerhalb Europas können ebenfalls den Compliance-Anforderungen der PSD2 unterliegen, wenn ihre Kunden oder Benutzer in dieser Region ansässig sind. In diesem Fall müssen Unternehmen die PSD2-Verordnung einhalten, wenn sie derzeit in der EU tätig sind oder dies planen.

Institute, die die Anforderungen der PSD2 nicht erfüllen, müssen mit Geldstrafen in Höhe von bis zu 4 % ihres Jahresumsatzes rechnen.

Bevor Sie die Anforderungen der PSD2 erfüllen können, müssen Sie zunächst verstehen, wie sie das Bankwesen in der gesamten Europäischen Union grundlegend verändert hat – vor allem durch die Einführung des „Open Banking“.

Was ist Open Banking?

Open Banking ist der Prozess, durch den ein Drittanbieter von Finanzdienstleistungen über Anwendungsprogrammierschnittstellen (APIs) Zugang zu Bankdaten, Transaktionen und anderen Daten von Banken und anderen Finanzinstituten erhält. Kurz gesagt geht es um den sicheren Austausch von Finanzdaten zwischen zwei Parteien. Dieses Konzept gibt es zwar schon seit Langem, aber die PSD2 war der Wegbereiter für seine europaweite Einführung.

Die Einführung von Open Banking hat dazu beigetragen, dass die PSD2 ihr Ziel erreicht hat, den Wettbewerb, die Transparenz und die Sicherheit auf dem Markt zu erhöhen. Im Gegenzug wurden zwei neue Arten von regulierten Zahlungsanbietern eingeführt:

1. Zahlungsauslösedienstleister (Payment Initiation Service Providers, PISPs) ermöglichen die Nutzung des digitalen Bankwesens zur Durchführung einer Online-Zahlung. Kurz gesagt, sie ermöglichen es Ihnen, Dinge direkt von Ihrem Bankkonto zu bezahlen, anstatt eine Kredit- oder Debitkarte über einen Dritten zu benutzen. Der Begriff „Zahlungsauslösung“ bezieht sich auf das Verfahren, mit dem PISPs zwei Konten über eine Schnittstelle verbinden, die die Transaktion erleichtert.
2. Kontoinformationsdienstleister (Account Information Service Providers, AISPs) erleichtern die Erfassung und Speicherung von Kontoinformationen der Bankkonten eines Kunden an einem einzigen Ort. Dies ermöglicht dem Verbraucher einen Gesamtüberblick über seine Finanzen und eine einfache Analyse der Ausgaben. So können z. B. Haushaltsplanungs-Apps und Preisvergleichs-Websites unter die Kategorie der Kontoinformationsdienstleister fallen, da sie diese Daten in einer einzigen Ansicht anzeigen.

Nach der PSD2-Verordnung müssen diese beiden Parteien die Zustimmung der Verbraucher einholen und werden von der Zentralbank reguliert.

Wie wirkt sich die PSD2 auf traditionelle Finanzinstitute aus?

Die Banken sind nun verpflichtet, Drittanbietern (Kontoinformationsdienstleistern und Zahlungsauslösedienstleistern) Zugang zu Kundenkonten zu ermöglichen, sofern der Kunde seine Zustimmung erteilt hat. Die wichtigste technologische Voraussetzung für die PSD2-Compliance ist wiederum die Schaffung offener APIs, die der Drittanbieter für den Zugriff auf Kontoinformationen benötigt.

Außerdem haben die Verbraucher mehr Auswahlmöglichkeiten bei den Zahlungsdiensten. Sie können nun die beste Option für ihre Bedürfnisse wählen, sodass die Banken nun härter um ihr Geschäft kämpfen müssen.

Was ist eine starke Verbraucherauthentifizierung?

Mit der überarbeiteten Payment Services Directive wird auch das Konzept der starken Kundenauthentifizierung eingeführt. Gemäß der Anforderung der starken Kundenauthentifizierung müssen die Verbraucher bei allen Zahlungen mindestens zwei Arten der Multi-Faktor-Authentifizierung verwenden. Diese Methoden sind in drei Kategorien unterteilt:

1. Wissen: Etwas, das der Kunde bereits weiß, z. B. ein Passwort.
2. Inhärenz: Etwas, das Teil des Benutzers ist, z. B. ein Fingerabdruck oder die Gesichtserkennung.
3. Besitz: Etwas, das Benutzer haben oder senden können, z. B. einen einmaligen Code.

Die Anforderung der starken Kundenauthentifizierung soll den Schutz der Verbraucher verbessern. Durch zusätzliche Sicherheitsvorkehrungen, die zwischen einem Benutzer und sensiblen Finanzdaten stehen, wird es für böswillige Akteure schwieriger, mit Betrug davonzukommen.

Mit dem Ziel, die Payment Services Directive erneut zu aktualisieren und kontinuierlich zu verbessern, hat die Europäische Kommission beschlossen, die Verordnung im Jahr 2022 neu zu bewerten. Die Bewertung ergab, dass die PSD2 ihre Ziele nur in begrenztem Umfang erreicht hat. Obwohl die Einführung der starken Verbraucherauthentifizierung einen erheblichen Einfluss auf die Betrugsbekämpfung hatte, sind neue Herausforderungen entstanden.

Zur Verdeutlichung hier ein übersetzter Auszug aus einer Pressemitteilung der Europäischen Kommission:

„Es sind neue Arten von Betrug entstanden, für die die PSD2 nicht gerüstet ist. So wird die PSD3 über die PSD2 hinausgehen und neue Arten von Betrug wie „Spoofing“ (Vortäuschung einer anderen Identität) bekämpfen. Bei dieser Art von Betrug wird die Unterscheidung zwischen nicht autorisierten und autorisierten Transaktionen verwischt, da die vom Kunden erteilte Zustimmung zur Autorisierung einer Transaktion mit manipulativen Methoden erlangt wird, z. B. indem ein Betrüger die Telefonnummer oder E-Mail-Adresse einer Bank verwendet. Präventionsmechanismen wie die starke Kundenauthentifizierung haben nicht ausgereicht, um solche Betrügereien bislang zu verhindern.“

Neben den Sicherheitsbedenken stellte die Kommission auch fest, dass zwischen den Zahlungsdienstleistern immer noch ungleiche Wettbewerbsbedingungen herrschen. Auf Anraten der Europäischen Bankenaufsichtsbehörde beschloss die Kommission daher, Änderungen vorzuschlagen, die Folgendes ermöglichen:

• Stärkung der Strategien zur Betrugsbekämpfung
• Ermöglichung des Zugangs von Nicht-Bank-Zahlungsdienstleistern zu allen EU-Zahlungssystemen
• Verbesserung der Funktionalität von Open Banking
• Weitere Verbesserung der Verbraucherinformationen und -rechte
• Erhöhung der Verfügbarkeit von Bargeld
• Zusammenführung der rechtlichen Rahmenbedingungen für elektronisches Geld und Zahlungsdienste

Es gibt noch keinen klaren Zeitplan dafür, wann die Compliance-Anforderungen der PSD3 endgültig feststehen. Unter der Annahme, dass die überarbeitete Verordnung bis Ende 2024 fertiggestellt sein wird, haben die EU-Mitgliedstaaten eine 18-monatige Übergangsfrist. Dies deutet darauf hin, dass die PSD3 bis Ende 2026 in Kraft treten könnte.

Unabhängig von den Änderungen ist die PSD-Compliance für Finanzinstitute und Zahlungsdienstleister nach wie vor ein Muss. Daher ist es wichtig, die notwendigen Schritte zu unternehmen, damit Ihre Organisation für die Zukunft gerüstet und auf die PSD3 vorbereitet ist – insbesondere, wenn es um die Sicherheit geht.

Nun die gute Nachricht: Es gibt zahlreiche Lösungen, die Ihnen helfen, über die starke Kundenauthentifizierung hinauszugehen und den Verbrauchern das höchstmögliche Maß an Sicherheit zu bieten. Ein Partner wie Entrust kann Ihnen beispielsweise Folgendes bieten:

1. Phishing-sichere Multi-Faktor-Authentifizierung: Setzen Sie eine robuste Palette von Authentifizierungsstrategien ein, einschließlich risikobasierter, zertifikatsbasierter und adaptiver Step-up-Authentifizierung. In Kombination mit Single Sign-On (SSO) erhalten Benutzer einen nahtlosen, aber sicheren Zugang zu Zahlungsdiensten, ohne einen Schritt zu überspringen. Außerdem verhindert SSO die Ermüdung und Wiederverwendung von Passwörtern, damit Sie (und Ihre Kunden) geschützt bleiben.
2. Digitale Zertifikate:: Qualifizierte Website-Authentifizierungszertifikate (Qualified Website Authentication Certificates, QWACs) verschlüsseln sensible Daten und identifizieren Zahlungsdienstleister und Finanzinstitute, in Übereinstimmung mit der PSD2. Die QWACs von Entrust bieten eine unbegrenzte Anzahl von Neuausstellungen und Serverlizenzen, sodass Sie Zertifikate ohne zusätzliche Kosten neu ausstellen und installieren können.
3. Transaktionsrisikoanalyse: Transaktionsüberwachung und Risikoanalyse berücksichtigen Gerätereputation, adaptive Authentifizierung und 3DS-Compliance für Card-not-present-Transaktionen.
4. Identitätsüberprüfung: Überprüfen Sie Identitäten im Handumdrehen, um die Kundenerfahrung zu verbessern und Abbruchquoten zu senken. Die Identitätsüberprüfungslösung von Entrust unterstützt tausende von staatlich ausgestellten Dokumenten und mehrere Ebenen von Step-up-Sicherheit.
5. Hardware-Sicherheitsmodule (HSMs): Entrust nShield® HSMs generieren und speichern Signier- und Verschlüsselungsschlüssel und erleichtern Ihnen kryptographische Vorgänge mithilfe eines zertifizierten, sicheren Geräts, sodass Sie Zertifikate ausstellen und Daten verschlüsseln können, in dem Wissen, durch eine starke Root of Trust (Vertrauensanker) geschützt zu sein.

Die PSD2-Verordnung ist ebenso wichtig wie schwierig in der Umsetzung. Die PSD2- und Open-Banking-Lösungen von Entrust können Ihnen jedoch die Compliance erleichtern und Ihre Anforderungen in großem Umfang erfüllen.

Von der Multi-Faktor-Authentifizierung und der Identitätsüberprüfung bis hin zu digitalen Zertifikaten und HSMs helfen wir Ihnen, Ihren Kunden die ultimative Sicherheit zu bieten.