Die Sieger fordern nach

Die „Sieger“ erhöhen den Druck auf die Banken. Das überraschende Vorgehen einiger TPPs nach der BaFin Überraschung zur PSD2 API.

Man muss schon lange suchen bis einem etwas einfällt, um die Vorgehensweise der TPPs zu umschreiben.

Schreiben einige noch vom „Wundenlecken“ der Banken und den „heimlichen Siegern“ der Bafin Veröffentlichung von Mitte August, so haben besagte Sieger bereits ein paar Tage später etwas Neues im Köcher. Angeboten wird, den Banken bei der Reaktivierung der alten Schnittstellen bzw. bei der Implementierung der Fallbackschnittstelle zu helfen. Zudem stellen sich die TPPs als testwillig bei sämtlichen Banken und Providern der Schnittstellen vor. Auf einmal …

Für die Banken war es im Rahmen der Markttestphase unendlich schwer, Unterstützung für die Tests der Schnittstelle zu bekommen, besonders wenn man nicht zu den relevanten oder Top-10-Banken gehörte. Für die kleineren Institute bedeutete es massive Probleme, die „wide usage“ als notwendiges Kriterium nachzuweisen.

Jetzt wo man als TPP teilweise, je nach Fallbacklösung, wieder auf seine „alte“ Technik (z.B. Screen Scraping, FinTS) zurückgreifen darf, wird der Kontakt zu den Banken gesucht.

Soviel Enthusiasmus hätte man sich in den vergangenen Monaten während der Testphase gewünscht, statt der intensiven Kritik zu nicht einheitlichen Schnittstellenzugängen trotz Berlin Group Standards.

Nun wurde am 27. August seitens des VoeB nach einer Diskussion mit der BaFin ein Schreiben veröffentlicht, das versucht, die recht allgemein gehaltenen Aussagen des BaFin Schreibens vom 14. August zu konkretisieren.

Das Schreiben sieht in den folgenden neun Punkten Nachbesserungsbedarf, die wir in Teilen kurz kommentiert bzw. interpretiert wiedergeben wollen:

• Manuelle IBAN Eingabe an der Schnittstelle: Seitens der BaFin wird hier eine Nachbesserung erwartet, um dies zu verhindern.
• Anzeige von Daueraufträgen: Hier wird ebenfalls eine Anpassung für ALLE Daueraufträge erwartet, wenn die aktuelle Schnittstelle dies nicht kann. Interessant vor allem vor dem Hintergrund, dass der Berlin Group Standard dieses als value added service eingeordnet hat und im Standard nicht umsetzte. Somit muss auf Seiten der Berlin Group im Rahmen eines CR Verfahrens hier nachgebessert werden und alle Provider, die sich am Berlin Group Standard orientieren, werden hierauf warten müssen, um Ihre Lösung anzupassen.
• Bereitstellung des Namens des Kontoinhabers: Aktuell geht man davon aus, dies nicht tun zu müssen; final ist es allerdings noch nicht.
• Umgang mit reiner „Redirect-Lösung“: die Bewertung, ob ein obstacle vorliegt, bleibt im Einzelfall zu entscheiden.
• App-to-App Redirection für mobiles Banking: Hier wird auf die EBA-Unterstützung hingewiesen, verbunden mit dem Hinweis, dass es eine Frage der zeitlichen Umsetzung ist. Das hinterlässt aus unserer Sicht einige Fragezeichen.
• Vom KID kann nach dem 4-maligen Zugriff innerhalb des 90-Tage- Authentifizierungs-Zeitraumes eine SCA verlangt werden, damit er zum 5. Mal zugreifen darf. Diese Praxis ist aber eindeutig eine „Kann“-Option und wird somit nicht von der BaFin abgelehnt. Im Normalfall würde die 5. Kontenabfrage innerhalb von 24 Stunden schlicht abgelehnt. Somit bleiben beide Optionen der Umsetzung möglich.
• ZAD und KID in einer „Session“: Die kritische Sicht der EBA wird wahrscheinlich von der BaFin geteilt.
• Notwendige Zertifikate (qWAC/qSEAL): Die Bank hat die Möglichkeit auszuwählen, welches Zertifikat verwendet werden soll.
• Informationen über den Erfolg einer Zahlungsauslösung an den Zahlungsauslösedienst: Hierzu gab es keine Stellungnahme

Der wichtigste Aspekt dieses Schreibens war aber, dass man keinen Zwang zur Fallbacklösung zum 14. September sieht. Allerdings nur, wenn die „alten Schnittstellen“ offengehalten werden, also z.B. Screen Scraping erlaubt bleibt.

Damit haben die „Sieger“ ihre Ziele erreicht.

Es ist aber weiterhin verwunderlich, dass den Banken auferlegt wird, schnellstmöglich nachzubessern, aber von einer Verpflichtung für die TPPs, die Banken beim Testen der gemeinsamen neuen Schnittstelle zu unterstützen, scheinbar abgesehen wird.

Das geforderte wide usage der Schnittstelle kann auch mit der angekündigten, erneuten dreimonatigen „Markttestphase“ nicht für alle Institute durchgeführt werden, wenn die TPPs nicht zum Testen verpflichtet werden und zwar mit allen Instituten, ob aus Sicht des TPP relevant oder nicht. Hier muss die Aussage „jeder macht es anders“ und „das können wir nicht abbilden“ ebenso von der BaFin auf den Prüfstand gestellt werden wie die scheinbar fehlerhaften Implementierungen der Banken.

Nur so kann am Ende eine „ausgereifte“ technische Implementierung der Schnittstellen gewährleistet werden, die Herr Röseler in seinem Schreiben vom 14. August ausgerufen hat.

Die Lösung muss endlich „GEMEINSAM und für beide Seiten verpflichtend“ umgesetzt werden.