PSD2 Artikel97

PIN/TAN mit PSD2: Klarheit oder neue Unsicherheit?

Was geht mit PIN und TAN? Schafft die PSD2 hier mehr Klarheit oder eben nicht? Derzeit sieht es für mich so aus, als würden Zahlungsauslösedienste (wie SOFORT) profitieren, während Kontoinformationsdienste (wie figo.io  oder finapi.de) erst mal verunsichert werden.

Aktuell ziehen die Deutsche Kreditwirtschaft (DK) und das Kartellamt ihren Streit um die Sofortüberweisung gnadenlos durch: Das Kartellamt hält die AGBs der Banken für wettbewerbswidrig, wogegen die DK wiederum gerichtlich vorgehen wird. Dabei würden auch etliche deutsche Banken selber gern Multibanking anbieten, wofür sie die Zugangsdaten zu anderen Banken speichern müssten. Da machen ihnen jetzt die eigenen Verbände mit den starren AGB einen Strich durch die Rechnung.

Und zumindest das Kartellamt weist in seiner Pressemitteilung wenigstens darauf hin, dass die PSD2 das Thema Sofortüberweisung ja einer neuen Regulierung zuführt, durch die sich der ganze Streit erledigen wird. Zahlungsauslösedienste sind in der PSD2 ausdrücklich vorgesehen. Wenn sich SOFORT an die Spielregeln hält, können die Banken sie nicht mehr stoppen. Das ganz Hin und Her zwischen DK und Kartellamt ist also ohnehin nur noch ein Spiel auf Zeit. Haben wir wirklich nichts Wichtigeres zu tun?

Was mich aber noch viel mehr irritiert, sind die Vorgaben der PSD2 zum Thema starke Authentisierung. Artikel 97 Absatz (1) sagt eindeutig, dass eine starke Authentisierung nötig ist, wenn ein Kunde online auf sein Zahlungskonto zugreift. Starke Authentisierung heißt: Zwei verschiedene Authentisierungsverfahren, etwa Wissen (z.B. PIN), Besitz (z.B. Karte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck).

Das wird lästig für die Kunden, wenn sie zukünftig schon beim reinen Zugriff aufs Konto zwei Merkmale liefern müssen. Nur PIN alleine geht dann dann wohl nicht mehr. Gut, die technische Richtlinie ist noch nicht fertig. Man könnte hoffen, dass hier wieder mal Bagatellgrenzen eingezogen werden, so dass man erst bei Zahlungen ab 50 € wirklich stark authentisieren muss.

Allerdings sagt Artikel 97 Absatz (4) noch mal ausdrücklich, dass die starke Authentisierung auch gilt, wenn der Zugriff über einen Kontoinformationsdienstleister erfolgt. Ein solcher Dienstleister führt gar keine Zahlungen aus! Man muss das also wohl so lesen, dass wirklich jeder Kontozugriff mit zwei Authentisierungsmerkmalen erfolgen muss, auch wenn gar keine Zahlung erfolgt.

Das könnte böse Folgen für figo und Co. haben. Eigentlich will die PSD2 ihnen ja helfen, indem sie einen ordentlich regulierten Status als Kontoinformationsdienstleister für diese APIs einführt. Aber in der Praxis könnte sie ihnen das Leben schwer machen: Bisher reichte eine PIN zum Zugriff aufs Konto, die konnte figo speichern. Zukünftig werden Besitz oder Biometrie hinzukommen, was sich beides nicht speichern lässt. Noch schlimmer: Naheliegend ist, dass die Banken jeweils die etablierten TAN-Verfahren als zweiten Faktor nutzen. Dann muss der Kunde womöglich pro Bank einen separaten TAN-Generator herausholen, nur um sich den Kontostand all seiner Konten über figo anzeigen zu lassen. Und figo müsste all diese Verfahren implementieren, um die Authentifizierungsdaten an die Banken weiter zu leiten.

Ist das so wirklich im Sinne des Erfinders? Kann die technische Richtlinie da noch aus der Patsche helfen? Ich weiß es nicht. Immerhin hat die EBA schon selbst eingestanden, dass die Schwierigkeit bei der Umsetzung der PSD2 darin bestünde, die verschiedenen Ziele der Richtlinie in Balance zu halten. In diesem Fall will der Gesetzgeber mehr Sicherheit für den Kunden einerseits (dafür die starke Authentisierung) und er will den Banken ihr Monopol auf die Kontodaten entziehen (dafür die Einführung der Kontoinformationsdienstleister). Es könnte sein, dass sich die beiden Ziele hier gegenseitig so sehr im Wege stehen, dass weder die Kunden noch die Dienstleister das Ergebnis mögen.

Elmar Borgmeier

Gestaltet Online Finance seit 1997. Glaubt an die Symbiose von Finance und IT. Ist Mitgründer und Chief Innovation Officer der syngenio AG. Moderator des JAX Finance Day. Berater für Next Generation Finance. Philosophiert gern über IT und realisiert noch lieber konkrete Lösungen.

Kommentare (2) Schreibe einen Kommentar

  1. Ergänzend zum Artikel noch:
    Bei den Zahlungsauslösediensten habe ich SOFORT als Beispiel gewählt, weil es aktuell die Entscheidung des Kartellamtes zur Sofortüberweisung gab.
    Darüber darf man nicht vergessen, dass auch figo Zahlungsauslösedienste anbietet. Da hat man dann schon die nächste Frage, nämlich, wie einfach oder umständlich es werden wird, sich für mehrere der neuen Rollen aus der PSD2 parallel zu registrieren.
    Ich kann mir da einfache Verfahren vorstellen, aber auf die muss sich Europas Finanzwirtschaft eben auch erst mal einigen…

    Antworten

  2. Pingback: PSD2 bringt uns fließendes Vertrauen bei Authentisierungen | Next Generation Finance

Schreib einen Kommentar

Pflichtfelder sind mit * markiert.


Top