Aktuelle Aktivitäten der EBA zur Umsetzung der RTS zur starken Kundenauthentifizierung und sicheren Kommunikation
Im Zusammenhang mit der Umsetzung der PSD2 und der ihr nachgeordneten regulatorischen technischen Standards zur starken Kundenauthentifizierung und sicheren Kommunikation (RTS on SCA & CSC) haben sich im Laufe der Zeit noch eine Reihe von Fragen zur Interpretation und Konkretisierung dieser Regelungen ergeben. Diese werden aktuell von der European Banking Authority (EBA) im Rahmen verschiedener Arbeitsstränge beantwortet und veröffentlicht. Dabei steht für die EBA die Sicherstellung eines harmonisierten europäischen Ansatzes im Vordergrund. An den diesbezüglichen Aktivitäten der EBA ist neben der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin auch die Bundesbank maßgeblich beteiligt.
Bereits im vergangenen Jahr hat die EBA ihr bereits etabliertes Frage- und Antwort-Verfahren für die PSD2 und die ihr nachgeordneten Rechtsakte geöffnet. Seither können alle interessierten Parteien ihre diesbezüglichen Fragen auf der Internetseite der EBA einstellen. Handelt es sich dabei um Auslegungsfragen zur PSD2 selbst, werden diese von der Europäischen Kommission beantwortet, Fragen zu von der EBA entwickelten technischen Regulierungsstandards und Richtlinien, beantwortet die EBA in Zusammenarbeit mit den nationalen Aufsichtsbehörden. Die abgestimmten Antworten werden jeden Freitag zwischen 12:00 und 13:00 Uhr auf der Internetseite der EBA veröffentlicht. Derzeit finden sich etwa 60 Antworten auf Fragen zu den unterschiedlichsten Themenkomplexen.
Darüber hinaus hat die EBA zur Beantwortung weiterer Fragen im Zusammenhang mit der Einordnung von Authentifizierungselemente in die Kategorien Wissen, Besitz und Inhärenz am 13. Juni 2019 eine Stellungnahme auf ihrer Internetseite veröffentlicht. Darin gibt sie dedizierte Hinweise darauf, ob ausgewählte Elemente nach heutigem Stand als mit der starken Kundenauthentifikation vereinbar angesehen werden oder nicht. Weiterhin werden ausgewählte Kombinationen von Faktoren bewertet und Hinweise zur dynamischen Verknüpfung mit Betrag und Empfänger der Transaktion gegeben. So stellt die EBA beispielsweise fest, dass das so genannte „Wischen“ über den Startbildschirm zum Entsperren eines Mobiltelefons der Kategorie Wissen zuzuordnen ist, sofern dabei lediglich die Einhaltung eines bestimmten Musters geprüft wird, das sich aus der Abfolge des Entsperrcodes ergibt. Werden beim Wischen aber auch Faktoren wie Geschwindigkeit der Bewegung oder Anpressdruck gemessen, kann es bei Einhaltung der in den RTS genannten Bedingungen auch als Verhaltensbiometrie der Kategorie Inhärenz zugeordnet werden.
Ein weiterer wichtiger Themenbereich betrifft den in PSD2 und RTS geregelten Zugriff auf Kundenkonten durch Drittanbieter. Zur Diskussion diesbezüglicher Fragen hat die EBA zu Beginn dieses Jahres eine neue Arbeitsgruppe – die Working Group on APIs – u.a. bestehend aus Vertretern der Kreditwirtschaft, von Drittanbietern, Standardisierungsinitiativen sowie der nationalen Aufsichtsbehörden in Leben gerufen. Die Arbeitsgruppe soll Herausforderungen im Zusammenhang mit den erforderlichen Tests von dedizierten Schnittstellen und deren erster Nutzung im produktiven Umfeld identifizieren und Lösungsansätze erarbeiten. Die Ergebnisse der jeweiligen Diskussionen sollen zu einem harmonisierten Vorgehen der nationalen Aufsichtsbehörden beitragen und werden ebenfalls auf der Internetseite der EBA veröffentlicht.