Bank-API

Mach mehr aus Deiner API!

Wer als Bank mehr von der PSD2 haben will als nur Kosten, der sollte über Mehrwertdienste in Form erweiterter API-Funktionen nachdenken. Das raten derzeit praktisch alle Berater den Banken, unter anderem auch wir bei SYNGENIO.

Das Gerangel der Regulatoren um die Technischen Spezifikationen zur PSD2 scheint sich ja dem Ende zuzuneigen: Wenn das Europaparlament im Februar 2018 der finalen Fassung zustimmt, wie sie die Europäische Kommission inzwischen veröffentlicht hat, dann laufen die 18 Monate, nach deren Ablauf alle Banken die Spezifikation umgesetzt haben müssen.

Wobei „Technische Spezifikation“ vielleicht keine gute Übersetzung für „RTS“ ist, denn wie eine konkrete Schnittstelle aussehen soll, wird ja gar nicht vorgegeben, sondern nur, was sie leisten muss. Inwieweit sich die Banken auf eine einheitliche API verständigen, bleibt ihnen also selbst überlassen. Relevante Vorschläge mit dem Ziel einer Vereinheitlichung sind die NextGenPSD2-Initiative der Berlin Group sowie OpenBanking aus UK. Wobei der Brexit die Position des vereinigten Königreichs in der europäischen Diskussion nicht gerade stärkt. Ein Vergleich der beiden Initiativen findet sich zum Beispiel hier.

Spannender als die Diskussion um die Standards ist aber die Frage, was sich denn praktisch darüber hinaus an Mehrwerten anbieten lässt. Die Deutsche Bank hat gerade ihre „db api“ öffentlich bekannt gegeben, die über vorgeschriebene Standards hinausgeht. Deshalb ist es auch zulässig, dass diese API kostenpflichtig sein soll.

Mit ihrer API stellt die Deutsche Bank unter anderem Funktionen bereit, die der Gesetzgeber eigentlich mal selbst über den neuen Personalausweis anbieten wollte: Eine Altersverifikation und Adress- bzw. Kontaktdaten. Da Banken ohnehin gezwungen sind, eine starke Identitätsprüfung ihrer Kunden vorzunehmen, können sie solche Daten in hoher Qualität anbieten.

Ich würde mir wünschen, der Gesetzgeber würde diese Initiative aufgreifen und Identitätsprüfungen durch Bank-APIs offiziell als starke Identifikation anerkennen! Denn wenn ich Neukunde bei einer Bank werden oder einen neuen Mobilfunkvertrag abschließen kann, ohne jedes Mal Video-Ident oder noch Umständlicheres machen zu müssen, würde das den Wettbewerb im Markt sicher befeuern – und das wäre doch positiv.

Auch für andere Anwendungsfälle sieht die Deutsche Bank passende API-Funktionen vor. Volldigitale Kreditanträge und Immobilienportale arbeiten heute schon mit Zugriffen aufs Onlinebanking (meist per FinTS), um die Zahlungsfähigkeit von Konsumenten und Mietern zu prüfen. Wenn eine spezielle API dies datensparsam tun kann, ist das allemal im Interesse des Verbrauchers. Schließlich muss der Vermieter nicht genau wissen, was ich verdiene, sondern nur, dass ich mindestens X€ verdiene und daher die Miete zahlen kann.

Bei der Kreditwürdigkeit wird die Sache schnell komplizierter – die DB sagt bei diesem Feature auch, es sei noch in der Erprobung. Verbraucher reagieren sehr empfindlich auf jedes Scoring, bisher ist es in Deutschland noch niemandem gelungen, das Thema ins Positive zu drehen.

Damit liegen konkrete Vorschläge für erweitere API-Funktionen vor, die sich an bereits etablierten Geschäftsmodellen orientieren. Erweiterungen kann man sich leicht vorstellen, etwa das zeitlich begrenzte Sperren eines Geldbetrages auf dem eigenen Konto zugunsten eines Dritten, um eine Zahlungsfähigkeit zu garantieren. (Nützlich bei Zug-um-Zug-Geschäften oder Wertpapier-Kaufaufträgen zu Lasten des Kontos.)

Der Gesetzgeber könnte der Digitalisierung erheblich auf die Sprünge helfen, wenn er den API-Auskünften von Banken jenen Stellenwert einräumen würde, den sie verdienen. Im Gegenzug könnte die Öffentlichkeit den Mantel des Schweigens über all die Steuergelder hüllen, mit denen die erfolglose Einführung entsprechender Features beim neuen Personalausweis finanziert wurde. Deal?

Payment_PSD2_SCA

PSD2 bringt uns fließendes Vertrauen bei Authentisierungen

Mit der PSD2 wird Authentisierung nicht mehr gleich Authentisierung sein. In Zukunft kommt es auf die Abfolge der Authentisierungen an, die ich bereits hinter mir habe. Je nachdem reicht dann eine einfache Identifikation, oder es ist eine starke Authentisierung gefordert, also eine Erkennung anhand von zwei separaten Faktoren.

Klingt kompliziert? Das zu vermeiden, wird die Kunst bei der Nutzung der neuen Rollen sein, die mit PSD2 eingeführt werden.

Alles in Allem hat die EBA hier einen guten Job gemacht. Angesichts der Vorgabe aus Brüssel hatte ich ja bereits befürchtet, dass zukünftig jeder Kontozugriff und jede Zahlung eine starke Authentisierung braucht. Selbst Kleinstzahlungen. Immerhin definierte die Richtlinie, dass auch reine Informationszugriffe stark authentisiert sein müssen. Wie sollte man da die üblichen Bagatellgrenzen für kleinere Zahlungen rechtfertigen?

Aber die EBA hat es geschafft. Sie beruft sich darauf, dass es Ziel der Richtlinie sei, die Entwicklung innovativer benutzerfreundlicher Bezahlverfahren zu fördern. Das rechtfertige die Einführung von Ausnahmen. Ich finde das ja wirklich ausgesprochen gut und richtig, frage mich allerdings, ob die EBA genauso entspannt sein wird, wenn die beaufsichtigten Banken die gleiche Interpretationsfreiheit auf Regeln der EBA anwenden.

Selbst für die reinen Informationszugriffe gibt es jetzt eine Bagatellregelung. Beim ersten Mal und nach einer Pause von mehr als einem Monat muss man sich stark authentisieren, ansonsten reicht die einfache Identifikation. Das hilft allen, die regelmäßig ihre Kontodaten über denselben Weg abrufen.

Bei Zahlungen kann man auf die starke Authentisierung verzichten, wenn sie unter den üblichen Grenzen liegen (10€ bei Online-Zahlungen, 50€ an der Kasse). Aber neben diesen Limits für die einzelne Zahlung gibt es noch Limits für den kumulierten Betrag aller Zahlungen: Ab 100€ online oder 150€ an der Kasse greift dann doch wieder die starke Authentisierung.

Es kommt nicht immer starke Authentisierung zum Einsatz, dass schafft etwas Spielraum. Trotzdem entstehen für die Nutzer neue und erst einmal ungewohnte Situationen. Man weiß jetzt nämlich vorher nicht mehr, wie man sich authentisieren muss. Man muss sich daran gewöhnen, ab und zu nach einem zusätzlichen Identifikationsmerkmal neben dem Üblichen gefragt zu werden. Je nachdem, ob man gerade einen Schwellwert bei den kumulierten Zahlungen überschreitet.

Gerade bei den reinen Informationszugriffen „fließt“ das Vertrauen in die Korrektheit einer Anmeldung sozusagen von einem Login zum anderen. Solange die Kette der Zugriffe nicht abreißt, ist alles in Ordnung. Erst bei einer längeren Pause reißt der Fluss ab, das Vertrauen in den Zugriff muss erst wieder durch die starke Authentisierung hergestellt werden.

Weiterlesen

PSD2 Artikel97

PIN/TAN mit PSD2: Klarheit oder neue Unsicherheit?

Was geht mit PIN und TAN? Schafft die PSD2 hier mehr Klarheit oder eben nicht? Derzeit sieht es für mich so aus, als würden Zahlungsauslösedienste (wie SOFORT) profitieren, während Kontoinformationsdienste (wie figo.io  oder finapi.de) erst mal verunsichert werden.

Aktuell ziehen die Deutsche Kreditwirtschaft (DK) und das Kartellamt ihren Streit um die Sofortüberweisung gnadenlos durch: Das Kartellamt hält die AGBs der Banken für wettbewerbswidrig, wogegen die DK wiederum gerichtlich vorgehen wird. Dabei würden auch etliche deutsche Banken selber gern Multibanking anbieten, wofür sie die Zugangsdaten zu anderen Banken speichern müssten. Da machen ihnen jetzt die eigenen Verbände mit den starren AGB einen Strich durch die Rechnung.

Und zumindest das Kartellamt weist in seiner Pressemitteilung wenigstens darauf hin, dass die PSD2 das Thema Sofortüberweisung ja einer neuen Regulierung zuführt, durch die sich der ganze Streit erledigen wird. Zahlungsauslösedienste sind in der PSD2 ausdrücklich vorgesehen. Wenn sich SOFORT an die Spielregeln hält, können die Banken sie nicht mehr stoppen. Das ganz Hin und Her zwischen DK und Kartellamt ist also ohnehin nur noch ein Spiel auf Zeit. Haben wir wirklich nichts Wichtigeres zu tun?

Was mich aber noch viel mehr irritiert, sind die Vorgaben der PSD2 zum Thema starke Authentisierung. Artikel 97 Absatz (1) sagt eindeutig, dass eine starke Authentisierung nötig ist, wenn ein Kunde online auf sein Zahlungskonto zugreift. Starke Authentisierung heißt: Zwei verschiedene Authentisierungsverfahren, etwa Wissen (z.B. PIN), Besitz (z.B. Karte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck).

Das wird lästig für die Kunden, wenn sie zukünftig schon beim reinen Zugriff aufs Konto zwei Merkmale liefern müssen. Nur PIN alleine geht dann dann wohl nicht mehr. Gut, die technische Richtlinie ist noch nicht fertig. Man könnte hoffen, dass hier wieder mal Bagatellgrenzen eingezogen werden, so dass man erst bei Zahlungen ab 50 € wirklich stark authentisieren muss.

Allerdings sagt Artikel 97 Absatz (4) noch mal ausdrücklich, dass die starke Authentisierung auch gilt, wenn der Zugriff über einen Kontoinformationsdienstleister erfolgt. Ein solcher Dienstleister führt gar keine Zahlungen aus! Man muss das also wohl so lesen, dass wirklich jeder Kontozugriff mit zwei Authentisierungsmerkmalen erfolgen muss, auch wenn gar keine Zahlung erfolgt.

Das könnte böse Folgen für figo und Co. haben. Eigentlich will die PSD2 ihnen ja helfen, indem sie einen ordentlich regulierten Status als Kontoinformationsdienstleister für diese APIs einführt. Aber in der Praxis könnte sie ihnen das Leben schwer machen: Bisher reichte eine PIN zum Zugriff aufs Konto, die konnte figo speichern. Zukünftig werden Besitz oder Biometrie hinzukommen, was sich beides nicht speichern lässt. Noch schlimmer: Naheliegend ist, dass die Banken jeweils die etablierten TAN-Verfahren als zweiten Faktor nutzen. Dann muss der Kunde womöglich pro Bank einen separaten TAN-Generator herausholen, nur um sich den Kontostand all seiner Konten über figo anzeigen zu lassen. Und figo müsste all diese Verfahren implementieren, um die Authentifizierungsdaten an die Banken weiter zu leiten.

Ist das so wirklich im Sinne des Erfinders? Kann die technische Richtlinie da noch aus der Patsche helfen? Ich weiß es nicht. Immerhin hat die EBA schon selbst eingestanden, dass die Schwierigkeit bei der Umsetzung der PSD2 darin bestünde, die verschiedenen Ziele der Richtlinie in Balance zu halten. In diesem Fall will der Gesetzgeber mehr Sicherheit für den Kunden einerseits (dafür die starke Authentisierung) und er will den Banken ihr Monopol auf die Kontodaten entziehen (dafür die Einführung der Kontoinformationsdienstleister). Es könnte sein, dass sich die beiden Ziele hier gegenseitig so sehr im Wege stehen, dass weder die Kunden noch die Dienstleister das Ergebnis mögen.

Top