Dr. Jens Lütcke Geschäftsführer, SOFORT

AKTUELLE REGULIERUNGSENTWICKLUNGEN
BEI PAYMENT INITIATION SERVICES (PIS)
Dr. Jens Lütcke
Geschäftsführer, SOFORT
CIBI
Innovationstag 2016 | München | 10 März 2016
1
SOFORT ÜBERWEISUNG
Das Europäische Zahlverfahren mit mehr als 35.000 E-Commerce Händlern in 13 Ländern
Zahlungsvolumen 2015
4,5 Mrd. €
Umsatz 2015
30 Mio. €
Transaktionen 2015
47 Mio.
Transaktionen 12/2015
> 5 Mio.
Onlinehändler
> 35.000
Nutzer täglich
Rund 135.000
Gegründet
2005
Hauptsitz
Gauting nahe München
Länder (europaweit)
13
Mitarbeiter
> 150
2
BEHINDERUNGEN DURCH BANKEN
10 / 2009
Klage der giropay GmbH (mittelbare
Gesellschafter: Sparkassen, Volks- und
Raiffeisenbanken und Postbank) gegen
SOFORT mit der Begründung, SOFORT
verstoße gegen die AGB der Banken
(Verbot der Weitergabe von PIN und TAN)
3
07 / 2013 – 12 / 2015
2011 / 2012
Die EU-Kommission leitet ein
Kartellverfahren gegen den European
Payments Council (EPC) ein, da
befürchtet wird, dass der Marktzugang
für bankenunabhängige Anbieter wie
SOFORT behindert wird.
Die geltende EU-Zahlungsdiensterichtlinie (PSD) wird überarbeitet.
Ziel der Novellierung ist es, einen
sicheren und fairen europäischen
Rechtsrahmen für alle
Zahlungsanbieter im Internet zu
bieten und Rechtssicherheit für alle
beteiligten Parteien zu schaffen.
10 / 2010
02 / 2012
Das Deutsche Bundeskartellamt leitet ein Kartellverfahren
gegen alle fünf deutschen Bankenverbände ein. In einer
schriftlichen Stellungnahme stellt es schließlich klar, dass es
Banken-AGB (oder eine Auslegung derselben), die die
Nutzung von SOFORT Überweisung verbieten, für
kartellrechtswidrig hält. Daraufhin verpflichten sich die
deutschen Banken, öffentliche Behauptungen, die Nutzung
von SOFORT Überweisung verletze die AGB der Banken,
zu unterlassen.
Der frühere Wettbewerbskommissar Joaquín Almunia, hatte in mehreren
öffentlichen Reden zwischenzeitlich auf dieses Verfahren Bezug
genommen und hervorgehoben, dass der Markt für bankenunabhängige
Anbieter wie SOFORT Überweisung offen bleiben muss.
“Europe–wide electronic payment services are underdeveloped. The reasons
for this are unclear but they involve in no small part the reluctance of financial
institutions to abandon old and profitable ways of operating. […] In particular,
we have concerns that the standardisation process is not open and
transparent enough and that the resulting standards might eventually
exclude some innovative payment service providers from the market. We
will make sure that this standardisation work keeps markets fully open to new
entrants, and notably to alternative payment service providers.”
PSD2 – STATUS QUO
12. Januar 2016
Inkrafttreten der PSD2
23. Dezember 2015
Veröffentlichung im
Amtsblatt der EU
13. Januar 2017
EBA: Übersendung des
finalen RTS-Entwurfs
(Art. 98) an die
Europäische Kommission
12-Monats-Frist für RTSEntwicklung (Art. 98) der EBA
(April) 2017
Europäische Kommission:
Annahme / Änderung /
Ablehnung RTS-Entwurf
Prüfung Europäische
Kommission: 3 Monate
18-Monats-Anwendungsfrist für
Sicherheitsmaßnahmen in Art. 65, 66, 67, 97
2-jährige Umsetzungsfrist Mitgliedstaaten
13. Januar 2018
PSD2 in allen Mitgliedstaaten
unmittelbar anwendbar
4
(Oktober) 2018
Frist zur Umsetzung der
RTS durch Adressaten
der PSD2
EBA-MANDATE
Guidelines
1.
2.
3.
4.
5.
Art. 5 Abs. 4:
Art. 5 Abs. 5:
Art. 95 Abs. 3:
Art. 96 Abs. 3:
Art. 100 Abs. 6:
„Minimum monetary amount of the professional indemnity insurance“
Informationen zur Anmeldung und Freigabe eines PSP
„Security measures“, „managing operational and security risks“
Klassifizierung von Sicherheitsvorfällen (major incidents)
Beschwerdeverfahren bzgl. der zuständigen Aufsichtsbehörden
Regulatory Technical Standards (RTS)
5
1.
2.
3.
4.
5.
Art. 15 Abs. 4:
Art. 15 Abs. 5:
Art. 28 Abs. 5:
Art. 29 Abs. 5:
Art. 95 Abs. 4:
6.
Art. 98 Abs. 1:
EBA Register
Informationen für die Anmeldung zum EBA Register
Kooperation der Aufsichtsbehörden beim Passporting
„Central contact point“ eines PSP
„Security measures“, „managing operational and security risks“ (nur auf Anforderung der
Kommission, zunächst wird es dort nur die Guidelines der EBA geben)
Strong customer authentication und dessen Ausnahmen; Vertraulichkeit und
Integrität der persönlichen Sicherheitsmerkmale; Anforderungen an
„common and secure open standards of communication“
EBA-MANDAT GEMÄß ART. 98
“Article 98 states that EBA shall develop draft regulatory technical standards
specifying “the requirements for common and secure open standards of
communication”.
However, PSD2 does not mandate EBA to develop or maintain these open
and common standards of communication themselves or to appoint a central
entity in charge of developing or maintaining these standards”
EBA Discussion Paper on future Draft Regulatory Technical Standards on strong customer authentication
and secure communication under the revised Payment Services Directive (PSD2), S. 23
6
ANFORDERUNGEN AN “COMMON AND
SECURE OPEN STANDARDS OF
COMMUNICATION” (CSOSC)
Standard, der schon heute die Anforderungen an einen CSOSC erfüllt:
Hypertext Transfer Protocol Secure (HTTPS)
7
•
HTTPS ist ein gängiger, offener Kommunikationsstandard
•
Sowohl der indirekte als auch direkte Zugang von PIS zum Konto des Zahlers ist via HTTPS
möglich (business model neutrality)
•
HTTPS hält Sicherheitsmaßnahmen bereit, die die Vertraulichkeit und Integrität der Daten,
die über ihn übermittelt werden, gewährleisten
•
HTTPS ist bereits heute der Standard im Onlinebanking, der von allen Banken akzeptiert
wird
•
Über HTTPS kann eine sichere Identifizierung des PIS/AIS gegenüber der Bank erfolgen
STRONG CUSTOMER AUTHENTICATION
Gemäß PSD2 ist eine “starke Kundenauthentifizierung” eine
Authentifizierung unter Heranziehung von mindestens zwei Elementen der
Kategorien
•
•
•
Wissen (etwas, das nur der Nutzer weiß)
Besitz (etwas, das nur der Nutzer besitzt)
Inhärenz (etwas, das der Nutzer ist)
die insofern voneinander unabhängig sind, als die Nichterfüllung eines
Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so
konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt
ist
8
•
Zusätzlich schreibt die PSD2 vor, dass bei Einkäufen im Internet jede
Transaktion dynamisch mit einem bestimmten Betrag und einem
bestimmten Zahlungsempfänger verknüpft sein muss
•
Jede Transaktion verlangt demnach einen nicht wiederverwendbaren
Code
STRONG CUSTOMER AUTHENTICATION
“Regardless of the business model used by the PIS providers, the ASPSP should
make it possible for PIS providers to rely on the authentication procedures
provided by the ASPSPs to initiate a specific payment on behalf of the payer”
Erwägungsgrund 30, PSD2
“the personalized security credentials […] are transmitted by the payment
initiation service provider through safe and efficient channels ”
Artikel 66 (3b), PSD2
9

Download Report