Groß­bri­tan­ni­en, 8. Sep­tem­ber: Kon­sen­tus, ein welt­weit füh­ren­des SaaS-Unter­neh­men, das einen siche­ren Daten­aus­tausch ermög­licht, hat eine drin­gen­de War­nung vor den erns­ten Risi­ken aus­ge­spro­chen, denen euro­päi­sche Finanz­in­sti­tu­te aus­ge­setzt sind, die im Open-Ban­king-Öko­sys­tem tätig sind und die sich aus der Zunah­me von Open-Ban­king-Betrug ergeben.

Am 23. Juni 2022 ver­öf­fent­lich­te die Euro­päi­sche Ban­ken­auf­sichts­be­hör­de eine Stel­lung­nah­me und einen Bericht als Reak­ti­on auf den Auf­ruf der Euro­päi­schen Kom­mis­si­on zur Abga­be von Stel­lung­nah­men (CfA) zur Über­prü­fung der Richt­li­nie über Zah­lungs­diens­te (PSD2).

In dem Bericht wer­den erheb­li­che Pro­ble­me und Gefah­ren im Zusam­men­hang mit dem Nach­weis der Iden­ti­tät und der aktu­el­len auf­sichts­recht­li­chen Geneh­mi­gun­gen von Dritt­an­bie­tern (TPPs), die offe­ne Bank­dienst­leis­tun­gen erbrin­gen, aufgezeigt.

Unter den 200 Vor­schlä­gen der EBA befin­den sich neun Vor­schlä­ge für Geset­zes­än­de­run­gen, die das Risi­ko ver­rin­gern und den Ver­brau­cher­schutz ver­bes­sern sol­len, indem die Iden­ti­tät und die aktu­el­len regu­la­to­ri­schen Geneh­mi­gun­gen von TPPs in Echt­zeit fest­ge­stellt werden.

Es kann meh­re­re Jah­re dau­ern, bis die Emp­feh­lun­gen in Kraft tre­ten, was bedeu­tet, dass die Ban­ken den von der EBA iden­ti­fi­zier­ten Risi­ken noch eini­ge Zeit aus­ge­setzt sein werden.

Die PSD2 ermög­licht Open Ban­king, indem sie Finanz­in­sti­tu­te dazu ver­pflich­tet, die Kon­ten ihrer Kun­den mit zuge­las­se­nen Drit­ten und Fintechs zu tei­len. Open Ban­king ist mitt­ler­wei­le ein gro­ßes Phä­no­men, mit Mil­li­ar­den von Trans­ak­tio­nen in Euro­pa jeden Monat und vor­aus­sicht­lich 63,8 Mil­lio­nen Nut­zern bis 2024.

Bei der Wei­ter­ga­be von Daten müs­sen die Ban­ken sicher­stel­len, dass sie Infor­ma­tio­nen an die rich­ti­gen Stel­len wei­ter­ge­ben und haf­ten für Daten, die an unbe­fug­te Drit­te wei­ter­ge­ge­ben werden.

Die auf­sichts­recht­li­chen Geneh­mi­gun­gen, die es TPPs erlau­ben, offe­ne Bank­dienst­leis­tun­gen im gesam­ten EWR anzu­bie­ten, kön­nen sich jedoch jeder­zeit ändern. Wenn Ban­ken wei­ter­hin Daten an TPPs wei­ter­ge­ben, die nicht den kor­rek­ten regu­la­to­ri­schen Sta­tus haben, könn­ten sie mit Geld­stra­fen rech­nen und gegen die DSGVO verstoßen.

Brendan Jones, CCO, Kon­sen­tus, sag­te: “Ban­ken sehen sich wirk­lich erschre­cken­den Mög­lich­kei­ten gegen­über, wenn sie die Iden­ti­tät und den regu­la­to­ri­schen Sta­tus von TPPs nicht ange­mes­sen über­prü­fen. Sie haf­ten sowohl für den unbe­fug­ten Zugriff auf Daten als auch für betrü­ge­ri­sche Trans­ak­tio­nen, was zu Repu­ta­ti­ons­schä­den und erheb­li­chen finan­zi­el­len Ver­lus­ten füh­ren kann.

“Der Scha­den, der durch öffent­lich­keits­wirk­sa­me Regu­lie­rungs­maß­nah­men ent­steht, könn­te das Ver­trau­en in das brei­te­re Open-Ban­king-Öko­sys­tem beein­träch­ti­gen, was allen Akteu­ren scha­den und das Tem­po der Ein­füh­rung in ganz Euro­pa ver­lang­sa­men könnte.

“Wir begrü­ßen die Emp­feh­lun­gen der EBA, war­nen die Ban­ken aber auch, dass sie sofort Maß­nah­men ergrei­fen müs­sen, um die Risi­ken zu min­dern. Es wird eini­ge Zeit dau­ern, bis die Gesetz­ge­bung in Kraft tritt, sodass die Finanz­in­sti­tu­te die Risi­ken im Zusam­men­hang mit der Iden­ti­tät und der Regu­lie­rung selbst lösen müssen.”

Nach­fol­gend eine Zusam­men­fas­sung der neun wich­tigs­ten Vor­schlä­ge der EBA:

  • Eine zen­tra­le, maschi­nen­les­ba­re Daten­bank für alle Zah­lungs­dienst­leis­ter, die der­zeit zur Erbrin­gung von Zah­lungs­aus­lö­se­diens­ten (Pay­ment Initia­ti­on Ser­vices, PIS) und Kon­to­in­for­ma­ti­ons­diens­ten (Account Infor­ma­ti­on Ser­vices, AIS) zuge­las­sen sind.
  • Lau­fen­de Über­prü­fung, ob ein Zah­lungs­dienst­leis­ter zum Zeit­punkt einer Anfra­ge berech­tigt ist, die ange­for­der­ten Dienst­leis­tun­gen zu erbringen.
  • Über eIDAS-Zer­ti­fi­ka­te hin­aus­ge­hen, um “Unsi­cher­hei­ten” zu besei­ti­gen und die Iden­ti­tät eines TPP und sei­nen Zulas­sungs­sta­tus, die Diens­te, die er erbrin­gen kann, und sei­ne Pass­port­ing-Erlaub­nis­se zu verstehen.
  • Har­mo­ni­sier­te Daten zur Ver­mei­dung von “Dis­kre­pan­zen zwi­schen den Infor­ma­tio­nen in den ein­zel­nen natio­na­len Regis­tern und dem EBA-Zen­tral­re­gis­ter”, um Feh­ler und Miss­brauch von per­so­nen­be­zo­ge­nen Daten zu vermeiden.
  • Kon­sis­ten­te Daten­ak­tua­li­sie­run­gen und eine gemein­sa­me Frist für die Aktua­li­sie­rung der EBA und der natio­na­len Regis­ter, damit die Daten sofort zur Ver­fü­gung ste­hen und fal­sche Ent­schei­dun­gen über den Kon­to­zu­gang ver­mie­den werden.
  • Ver­läss­li­che Pass­port­ing-Infor­ma­tio­nen und eine Ver­pflich­tung für Ban­ken, die “Heimat”-Zentralbehörde eines TPP zu überprüfen.
  • Eine Sorg­falts­pflicht, die sicher­stellt, dass die Ban­ken die Ver­ant­wor­tung für den Schutz der Daten und Gel­der ihrer Kun­den tra­gen, um finan­zi­el­le und ruf­schä­di­gen­de Schä­den zu minimieren.
  • Ein voll­stän­di­ges Bild durch eine ein­zi­ge Daten­bank, die einen voll­stän­di­gen Über­blick über alle regu­lier­ten Fin­tech-TPPs und Kre­dit­in­sti­tu­te, die als TPPs zuge­las­sen sind, bietet.
  • Klar­heit über die Ver­wei­ge­rung des Zugangs, um “Unsi­cher­hei­ten über die Ver­wen­dung von EiDAS-Zer­ti­fi­ka­ten zum Zweck der Iden­ti­fi­zie­rung” zu besei­ti­gen, damit die Iden­ti­tät einer TPP, ihr Pass-Sta­tus und die Dienst­leis­tun­gen, die sie anbie­ten kann, ver­stan­den werden.

Quel­le: Pressemitteilung