Die PSD2-Richtlinie hat bei Nutzern von Home- und Multibanking-Anwendungen nach Inkrafttreten im Herbst 2019 für Ärger gesorgt. Sie beschwerten sich über die Tücken der starken Kundenauthentifizierung (SCA) und ihre unterschiedliche Handhabung seitens der Finanzinstitute. Zwar konnten Anbieter mit den Banken und Sparkassen in den vergangenen Monaten ein Großteil der aufgetretenen Probleme lösen, einige Herausforderungen bleiben aber bestehen. Mit Blick auf die Nutzerfreundlichkeit ist es jetzt entscheidend, dass die Schnittstellen weiterhin in der für Home- und Multibanking-Anwendungen erforderlichen Qualität zur Verfügung stehen. Im Fokus sind dabei sowohl die neuen XS2A- („PSD2“-)Schnittstellen als auch die in Deutschland etablierten FinTS-APIs.
Das Ziel von PSD2 ist so klar wie einfach. Die Richtlinie soll den Zahlungsverkehr innerhalb der EU für Verbraucher bequemer und sicherer machen und gleichzeitig den Wettbewerb fördern. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) machte vor Inkrafttreten der PSD2 klar, dass den Kunden durch die Umstellung keine Nachteile entstehen dürfen und dass ihre Konten geschützt sein müssen. Um diesen Schutz zu gewährleisten, gelten seit September 2019 neue Vorgaben zur „starken Kundenauthentifizierung“. Beim Zugriff auf Informationen zum Konto mittels Online-Banking muss sich der Kunde seitdem grundsätzlich mit zwei sogenannten „Faktoren“ authentifizieren.
Wie genau die Finanzinstitute diese Änderungen in der Praxis implementieren, ist jedoch größtenteils ihnen selbst überlassen. Entsprechend unterschiedlich handhaben Banken und Sparkassen die Vorgaben, die die Europäische Bankenaufsicht in den „technischen Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation“, kurz RTS, festgelegt hat. Diese bilden eine Art Durchführungsbestimmung für die Sicherheitsanforderungen der PSD2.
Probleme bei Multibanking-Anwendungen
Diese Ausgangslage ist einer der Hauptgründe, warum Nutzer von Home- und Multibanking-Anwendungen nach der Umstellung auf die Starke Kundenauthentifizierung im September 2019 mit Problemen konfrontiert waren. Auch Kunden von Deutschlands meistgenutzter Banking Software StarMoney waren nach Inkrafttreten der PSD2-Richtlinie von Beeinträchtigungen bei der Abfrage ihrer Kontenumsätze betroffen. Die Ursache lag einerseits bei den Schnittstellen, da einzelne Institute nach der Umstellung den Zugang zu FinTS-APIs für Multibanking-Anwendungen einschränkten, zeitweise ganz abstellten oder das Verhalten in unerwarteter Form angepasst haben.
Andererseits war auch die Vielzahl der Sicherungsverfahren der Finanzinstitute ausschlaggebend, insbesondere die große Zahl der diversen TAN-Verfahren und die unterschiedlichen Intervalle bei der Abfrage. Das Intervall, in dem Kunden eine TAN eingeben müssen, obliegt den jeweiligen Finanzinstituten. Bei manchen Banken ist das bei jeder Konten- oder Umsatzabfrage erforderlich, bei anderen wiederum nur einmal innerhalb von 90 Tagen. Für die Anwender ist es so bis heute schwer nachzuvollziehen, wann und wie sie nach TANs gefragt werden.
Besonders Anbieter einer Multibanking-Software wie Starmoney stehen unter diesen Voraussetzungen vor einer Herausforderung, ist diese doch per Definition darauf ausgerichtet, Daten und Umsätze einer Vielzahl von Bankkonten zu bündeln und den Nutzern in einem Programm zugänglich zu machen. Ein Beispiel: Wenn ein Kunde in seiner Multibanking-App fünf Konten von fünf unterschiedlichen Finanzinstituten integriert hat und einige davon bei jedem Einloggen und jeder Transaktion die „starke Kundenauthentifizierung“ verlangen, dann ist klar, dass die „User Experience“ leidet.
Ausblick
Nach einem schwierigen Start ist es uns als Anbietern in guter Zusammenarbeit mit den Banken und Sparkassen gelungen, einen Großteil dieser Probleme zu beheben. Fest steht jedoch, dass PSD2 und SCA die Komplexität von Multibanking-Anwendungen auch langfristig auf eine neue Stufe heben. Die Aufgabe der Anbieter von Multibanking-Anwendungen ist es nun einerseits auf Produktebene, die unterschiedlichen Sicherungsverfahren der Finanzinstitute bei der Umsetzung der PSD2-Richtlinie zu antizipieren und auf dieser Grundlage Multibanking-Angebote laufend anzupassen. Das Kunden-Feedback hilft den Anbietern, um im Dialog mit den Finanzinstituten und Regulatoren die wichtigsten Anliegen und Verbesserungsvorschläge ins Visier zu nehmen.
Mit Blick auf die Zukunft ist es jedoch genauso wichtig, dass die Finanzinstitute die für Multibanking-Anwendungen notwendigen Schnittstellen weiterhin in gewohnter, guter Qualität und ohne Einschränkung zur Verfügung stellen. Dazu gehören sowohl die neuen XS2A- („PSD2“-)Schnittstellen als auch die in Deutschland etablierten FinTS-APIs. Den Regulatoren kommt wiederum die Aufgabe zu, die Anforderungen an Sicherungsverfahren und Schnittstellen so zu vereinheitlichen, dass Sie auch von Offline-Anwendungen vollumfänglich genutzt werden können. Hier ziehen die Anbieter, Finanzinstitute und Regulatoren am selben Strang, alle Seiten sollen und wollen im Sinne der Kunden handeln.
