IT-Sicherheit bei Internetzahlungen

Der digitale Geldtransfer wird neu geregelt, nicht zuletzt, weil immer mehr Akteure die Bühne des Zahlungsverkehrs betreten. Regulatorik ohne Mehrwert oder Chance für Kreditinstitute?

KWG, MAK, MAH, Basel I/II/III, MIFID I/II, MIFIR, FATCA, CRS, SSM und KYC – was wie eine Songzeile der Fantastischen Vier aus MfG klingt, ist für Finanzdienstleister die regulatorische Realität. Neue Vorgaben binden Jahr für Jahr den Löwenanteil des Budgets, die Kosten explodieren, Alternativen gibt es keine. Eine der nächsten Herausforderungen: die EU-Zahlungsdienstleistungsrichtlinie PSD2.

Überarbeitete Zahlungsdiensterichtlinie

Das Bezahlen im Internet muss in Zukunft zusätzlichen Sicherheitsstandards genügen. Die European Banking Authority (EBA) hat dazu „Leitlinien zur Sicherheit von Internetzahlungen“ vorgelegt. Hier legt sie u.a. fest, wie die nationalen Aufsichten die unterschiedlichen Institute prüfen sollen. Außerdem wurde ein Schriftstück zur Beurteilung von Liquiditätsrisiken zur Diskussion gestellt. Ein weiterer zentraler Bestandteil ist die Richtlinie über Zahlungsdienste PSD2, die das Thema IT-Sicherheit für Internetzahlungen regelt. Sie baut auf der Zahlungsdiensterichtlinie PSD von 2007 auf, welche die rechtliche Grundlage für die Schaffung eines EU-weiten Binnenmarkts für den Zahlungsverkehr bildet. Die Überarbeitung zielt darauf ab, die Verbraucher besser vor Betrug, Missbrauch und sonstigen Problemen bei der Zahlungsausführung, z.B. strittigen Transaktionen, zu schützen. Zusätzlich soll PSD2 dafür sorgen, dass alle in der EU tätigen Zahlungsdienstleister beaufsichtigt werden und angemessenen Vorschriften unterliegen.

Auf die lange Bank schieben ist keine Option

Aufgabe der EBA ist es nun, technische Standards im Zusammenhang mit der Anwendung der neu regulierten Zahlungsdienste (Zahlungsauslösedienst, Kontoinformationsdienst, Drittkarten) und den sogenannten Drittdiensteanbietern (TPP) zu definieren. Die Fristen liegen hier zwischen zwölf und 24 Monaten. Mit einer Veröffentlichung der PSD2 im EU-Amtsblatt ist nach Ende der parlamentarischen Sommerpause im September 2015 zu rechnen. Die Richtlinie sieht ab Inkrafttreten eine Frist für die Umsetzung in nationales Recht von 24 Monaten vor.

Also noch jede Menge Zeit? Nein. Die BaFin hat mit den „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSi) bereits heute eine rechtliche Grundlage für die Sicherheit des Online-Zahlungsverkehrs geschaffen. Sie greift bis zur Umsetzung von PSD2 und ist ab dem 5. November 2015 zu befolgen. Kredit-, Zahlungs- und E-Geld-Instituten, die die über 50 Einzelbestimmungen zur internen Organisation und zum Risikomanagement nicht rechtzeitig umsetzen, drohen aufsichtsrechtliche Sanktionen.

Zwei Seiten der Medaille

Ohne Frage, die Umsetzung von PSD2/MaSi bindet Ressourcen. Die Regulatorik als reinen Hemmschuh zu betrachten, greift meiner Meinung nach allerdings zu kurz, ein Stück weit ist sie immer auch Innovationsmotor. Verschiedene Finanzinstitute machen es vor und nutzen den regulatorischen Tsunami, um ihr Geschäftsmodell auf eine effiziente und hochperformante Stufe zu stellen. Die Vorteile automatisierter Prozesse hat mein Kollege Holger Englert bereits an anderer Stelle beschrieben. Für Institute, die entsprechend gut aufgestellt sind, ist MaSi relativ einfach realisierbar.

Aus Sicht der Kreditinstitute bietet PSD2/MaSi die Chance auf ausgeglichenere Regulierungsstandards zwischen ihnen und Zahlungsdienstleistern – voraussichtlich wird sich der Wettbewerbsvorteil für Nichtbanken damit reduzieren. Darüber hinaus dürften die Regelungen die richtigen Anreize für den Eintritt neuer Marktteilnehmer und die Entwicklung innovativer Mobil- und Internetzahlungen in Europa setzen. Der Verbraucher profitiert damit nicht nur von einem besseren Schutz, sondern auch von attraktiveren Angeboten.

 

Bildquelle: Shutterstock

 

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.