RTS - Technische Regulierungsstandards zur starken Kundenauthentifizierung und gemeinsamen sowie sicheren Kommunikation

Art. 98 der Payment Services Directive II (PSD II) sieht vor, dass es „technische Regulierungsstandards“ (RTS – Regulatory technical Standards) zur starken Kundenauthentifizierung  und sicheren Kommunikation geben soll.
Am 23. Februar 2017 hat die EBA (European Banking Authority) nun ihren finalen RTS-Entwurf zur starken Kundenauthentifizierung und gemeinsamen sowie sicheren Kommunikation gemäß PSD II veröffentlicht. Diese RTS wurden in enger Zusammenarbeit mit der EZB, (Europäischen Zentralbank) entwickelt und sollen dafür sorgen, dass ein offener und sicherer Markt für Retail Payments in der EU entsteht.

Ziele der technischen Regulierungsstandards

Die RTS wurden auf Grundlage verschiedener Ziele der PSD II, wie etwa die Verbesserung der Sicherheit, Förderung der Kundenfreundlichkeit, Sicherstellung der Technologie- und Geschäftsmodellneutralität, Beitrag zur Integration der europäischen Zahlungsmärkte, Schutz der Verbraucher oder Erleichterung von Innovationen und Verbesserung des Wettbewerbs durch neue Einzahlungs- und Kontoinformationsdienste, entwickelt.

Die wichtigsten Änderungen und Ausnahmen im Überblick

Die Schwelle für Fernzahlungstransaktionen wurde von € 10,00 auf € 30,00 erhöht.
Bisherige Referenzen auf ISO 27001 und andere spezifische Merkmale einer starken Kundenauthentifizierung wurden entfernt, um die Gewährleistung der technischen Neutralität der RTS zu sichern und künftige Innovationen zu erleichtern.

Eine weitere Neuerung ist, dass sich Multibanking-App-Nutzer nicht alle 30 Tage, sondern alle 90 Tage mit zwei Sicherheitsfaktoren erneut für alle ihre Konten authentifizieren müssen.

Es ist nun außerdem vorgesehen, dass die Kontodaten zwischen Bank und Drittanbieter in 24 Stunden vier Mal automatisch synchronisiert werden dürfen – zuvor waren täglich nur zwei solcher Aktualisierungen vorgesehen.

Rund 300 verschiedene Anfragen gingen bei der EBA zur Klärung im Konsultationsverfahren ein.
Die häufigsten Anfragen betrafen vor allem Änderungen zu risikoadäquaten Befreiungen von der Anwendung einer starken Kundenauthentifizierung, dem ausgenommenen Volumen sowie das Aufeinanderfolgen von Transaktionen und der für die Ausführung der Transaktion verwendeten Zahlungskanäle.

Im Zuge dessen hat die EBA folgende zwei Ausnahmen eingeführt:

• Bei sogenannten Remote Payments wurde eine Ausnahme auf Grundlage einer Transaktionsrisikoanalyse, die auf dem in den RTS definierten Betrungsniveaus basiert, eingeführt.
  ​Die Befreiung aufgrund der Transaktionsrisikoanalyse ist mit vordefinierten Betrugsraten verknüpft und kann bis zu einem Transaktionsvolumen von €500,00 in Anspruch genommen werden.
  Die in den RTS definierten Betrugsraten unterliegen einer gesonderten Überprüfungsklausel 18 Monate nach RTS-Anwendbarkeit.
• Des Weiteren sind Zahlungen an sogenannte "unbeaufsichtigte Terminals" für Transport- oder Parkgebühren von der Anwendung der starken Kundenauthentifizierung befreit.
   

Bezüglich der Kommunikation zwischen Account Servicing Payment Service Provider (ASPSP), dem Account Information Service Provider (AISP) und dem Payment Initiation Provider (PISP) hat die EBA nunmehr festgelegt, die Verpflichtung der ASPSPs aufrechtzuerhalten und mindestens eine Schnittstelle für AISPs und PISPs anzubieten, um den Zugriff auf Kontoinformationen zu ermöglichen. Die Grundlage dieser Regelung findet sich in der PSD II, die es mit Geltung nicht mehr zulässt, dass Drittanbieter ohne Identifizierung auf Kontoinformationen zugreifen können.

Da dies Bedenken aufwirft, verlangen die RTS nun auch, dass ASPSPs, die eine Schnittstelle verwenden:

• die gleiche Verfügbarkeit und denselben Leistungsumfang gewährleisten, wie bei angebotenen Kunden-Schnittstellen
• im Rahmen einer ungeplanten Nichtverfügbarkeit das gleiche Maß an Notfallmaßnahme vorsehen und
• den PISPs eine sofortige Rückmeldung darüber geben, ob der Kunde über Mittel verfügt, um eine Zahlung zu leisten.

Ausblick

Die RTS sind nunmehr von der Europäischen Kommission zu erlassen, womit für das Europäische Parlament und den Rat eine (bis zu) dreimonatige Frist für Einwände beginnt. Danach werden die RTS im Amtsblatt veröffentlicht. Gemäß Art. 115 Abs. 4 PSD II sind die RTS 18 Monate nach dem Zeitpunkt des Inkrafttretens anzuwenden (voraussichtlich somit frühestens im November 2018).
Die neuen technischen Standards werden dann für alle EU-Länder verpflichtend gelten, sodass kartenfreies Zahlen in Europa in Zukunft noch sicherer wird.

Für Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung