Download - Informationsveranstaltung der DK - Deutsche Kreditwirtschaft · Deutsche Bank Deutsche Bank Oliver Bieser Informationsveranstaltung der DK Die Deutsche Bank ist in 13 Ländern von

Deutsche Bank

Informationsveranstaltung der DK

13. Juni 2017

Deutsche BankDeutsche Bank Oliver Bieser


PSD2 – Im Überblick

1

Wesentliche Ziele der PSD2

Die PSD2 renoviert und ergänzt die innerhalb der PSD1 definierten Regeln. Wesentliche Ziele der PSD2 sind: Förderung und Unterstützung von Innovation im Zahlungsverkehr und Anpassung des notwendigen rechtlichen Rahmenwerkes und Anforderungen Verbesserung der Sicherheit von Zahlungen und Zahlungsdienstleistungen Steigerung der Nutzersicherheit Detailierung von Inhalten und Ausnahmen

Wesentliche Unterschiede zwischen der PSD1 und der PSD2

PSD2 weitet im Vergleich zum Vorgänger den Geltungsbereich auf alle Währungen im Europäischen Wirtschaftsraum aus. Des weiteren sind ebenfalls Zahlungen betroffen, bei denen lediglich eine Handelspartei sich im Europäischen Wirtschaftsraum befindet.

Die PSD2 definiert strikte Sicherheitsanforderungen für die Initiierung und Verarbeitung von Zahlungen als auch zum Schutz der kundenbezogenen Finanzdaten.

Sie definiert die Rolle des Drittdienstleisters, dem es erlaubt ist definierte Dienstleistungen um das Produkt Zahlung anzubieten

Wesentliche Risiken

Die PSD2 Direktive wird durch weitere Standards und Richtlinien ergänzt die von der EBA* entworfen und finalisiert werden. Innerhalb der Transposition in nationales Recht kann es zu länderspezifischen Ausnahmen kommen.

Sicherheitsanforderungen auf Makro-Niveau erfordern nachhaltige Spezifizierung und Austausch zwischen den Markteilnehmer mit dem Interesse einer einheitlichen Umsetzung.

Der Einfluß auf die Schnittstelle für den Drittdienstleister und deren Sicherheit als auch die Haftung des Drittdienstleisters bleiben bislang noch ein unklarer Risiko- und Kostenfaktor

Implementierung-planung

23 Dez 2015: PSD2 Direktive wird im Offiziellen EU Journal veröffentlicht

12 Jan 2016:PSD2 Direktive tritt in Kraft

13 Jan 2018:PSD2 tritt in den Ländern in Kraft

2015 2016 2017 2018 2019

Jan 2017:EBA veröffentlicht die RTS. Es war geplant, daß diese im Februar durch die EuropäischeKommission abgezeichnet werden. (Verzögerung)

Q2 2019: “Wahrscheinliches” Datum zu dem die RTS in Kraft treten können

April 2019:Frühester Zeitpunkt zu dem die RTS in Kraft treten können (18 Monate nach Veröffentlichung)

12 Aug – 12 Okt. 2016:Konsultation zu den Regulatorisch technischen Standards für sichere Kommunikation und Authentifizierung erfolgen

Standards/Leitlinien/ Zeitlinien und verantwortliche Organisationen sind in der Direktive aufgeführt:http://eur-lex.europa.eu/legal-content/D/TXT/?uri=CELEX%3A32015L2366*Europäische Bankenaufsichtsbehörde

24 Mai 2017:Die Europäische Kommission gibt die RTS mit Änderungen an EBA zurück. EBA hat 6 Wochen Zeit zur Einarbeitung.

1



PSD2 – Regulatorische Änderungen

2

[Source: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32015L2366]

Regulatorische ÄnderungUmsetzungs-

termin

Neu: Banken müssen

Schnittstelle zur Verfügung stellen

Banken müssen Drittanbietern eine Schnittstelle kostenfrei zur Verfügung stellen - Auch Banken obliegt die Möglichkeit sich als Drittdienstleister zu positionieren.

Q4 2018/Q1 2019*

Ges

chäf

tsm

öglic

h ke

iten

NEU: Authentifizierung

mit 2 Faktoren (2FA)

Banken müssen 2FA sowohl zum Login als auch Transaktionsautorisierung etablieren

Zahlungsautorisierung muß dynamisch mit Attributen der Zahlung verlinkt werden, (z.B. Betrag, Währung, Tag, Uhrzeit) um Betrug zu verhindern

Banken müssen Systeme permanent im Einsatz haben die den Transaktionsverkehr auf Betrugsversuchen überwachen

Q4 2018/Q1 2019*

NEU: Umfang-erweiterung Länder und Währungen

Unter die PSD2 fallen alle Zahlungen bei denen mindestens eine der beteiligten Banken sich in der EU befindet – „One Leg In [OLI] principle“

Zahlungseingänge in Kontowährung sind am Tag des Erhalts dem Kunden gutzuschreiben.

Zahlungseingänge mit erforderlicher Währungskonvertierung werden T+2 gutgeschrieben

13. Jan., 2018 C

ompl

ianc

e Se

gmen

t

Kein Abzug vom Zahlbetrag

Bei Zahlungen zwischen zwei in der EU befindlichen Banken in EU/EEA Währung sind Banken verpflichtet den vollen Betrag zu transferieren

Abzügen vom Zahlbetrag sind weiterhin bei nicht EU/EEA Währungen erlaubt als auch bei One-Leg Transaktionen

13. Jan., 2018

Konsumenten-haftung reduziert

Konsumentenhaftung wird reduziert von 150 € auf 50 € pro Transaktion

Undefiniert bleibt die Haftung des Drittdienstleisters gegenüber der Bank im Verhältnis zum maximalen Transaktionsbetrag13. Jan.,

2018

Ausnahmen sind definiert

Ausnahmen von der PSD2 sind klar definiert, geschlossenen Netzwerke als auch ein eingeschränktes Warenspektrum qualifizieren hierfür (Douglas Card, Tankkarten, PayPal etc.)

13. Jan., 2018 An

pass

ungs

Segm

ent

* Der genaue Termin steht erst fest sobald die Regulatory Technical Standards (RTS) vom EU Parlament angenommen wurden . 2



Die Deutsche Bank ist in 13 Ländern von der PSD2 betroffen

3

16/06/2017 2010 DB Blue template

France

Germany

Ireland

Austria

Poland

ItalyPortugal

Netherlands

Belgium

Great

Britain

Spain

Czech Republic

Hungary

Wir haben ein zentrales PSD2 Programm aufgesetzt das über alle Geschäftsbereiche und Länder hinweg die Umsetzung der PSD2 Anforderungen steuert.

Für die Deutsche Bank haben wir entschieden eine einheitliche Schnittstelle für alle Geschäftsbereiche und Länder zu implementieren. Deshalb unterstützen wir die Standardisierung im Rahmen der Berlin Group Initiative.

Eine standardisierte Schnittstelle erlaubt es uns viele Komponenten zentral bereitzustellen. Das betrifft neben der Kommunikation zum TPP über die PSD2 API auch die Umsetzung der neuen Anforderungen als zentrale Module, z.B. TPP Verzeichnisse, TPP Berechtigungen, Ausnahmen von der „Strong Customer Authentication“.

Länderspezifische Teile verbleiben lokal, werden aber über einheitliche Service der zentralen PSD2 Engine bereitgestellt. Beispiel hierfür sind die „Strong Customer Authentication“ Methoden oder Bestandsdaten der lokalen Kontoführungssysteme.

Wie geht die Deutsche Bank das PSD2 Projekt an

Welche Architektur wurde für die PSD2 Lösung gewählt

Die Deutsche Bank muss in allen Ländern, in denen sie online erreichbare Konten hat, eine PSD2 Schnittstelle für TPP‘s anbieten.

Was bedeutet das für die Deutsche Bank

Luxembourg



Neue MarktteilnehmerDrittdienstleister (Third Party Providers – TPP) für Zahlungsinitiierung und Kontoinformation

4


Die EBA wird regulatorisch, technische Standards entwerfen (RTS) die Einfluß auf die Schnittstellenspezifikation zwischen ASPSPs und TPPs hat. Diese Diskussion sind zu einigen Details noch nicht abgeschlossen. Prinzipiell gilt:

Alle Anfragen von TPPs müssen gleichartig und nicht-diskriminierend bearbeitet werden

Eine über einen TPP initiierte Zahlung kann durch den Zahler nicht gestoppt werden

Jede Bank (ASPSP) die Konten für Zahlungsverkehr online1 offeriert muß diese über die Schnittstelle zugänglich machen – Die Bereitstellung einer Schnittstelle ist verpflichtend

Ein vertragliche Beziehung zwischen dem Drittdienstleister (TPP) und der Bank (ASPSP) ist nicht erforderlich

Drittdienstleister (TPPs) müssen die Autorisierung (Prozeß, und Autorisierungsattribute) die die Bank (ASPSP) dem Kunden ausgegeben hat wiederverwenden²

Drittdienstleister (TPPs) müssen sich bei jeder Transaktion/Kommunikation (Zahlungsauftrag, Kontoinformation, Nachfragen) gegenüber der Bank (ASPSP) identifizieren.

TPPs werden dem Kunden ihre Dienstleistung im Zusammenhang mit Zahlungsinitiierung und der Bereitstellung von Kontoinformationen anbietenTPPs können Kontoinformationen über mehrere Banken hinweg liefern, z.B. Konsolidierung von Kontoständen bei verschiedenen Banken

Wir setzen uns in den unterschiedlichen nationalen und europäischen Gremien und Arbeitsgruppen für die Entwicklung einer einheitlichen Europäischen Schnittstelle ein und heißen hier auch Unterstützung aus der Industrie willkommen.

Regulatorische / technische Änderungen Was ändert sich für den Kunden

Position der Deutschen Bank

1. Ein Konto wird als online definiert, wenn, wenn eine Online Nutzungsvereinbarung zwischen Bank und Kunde getroffen wurde. Maschine-zu-Maschinen (host2host) Kommunikation wird nicht als Online angesehen.

2. Der Inhalt der Antwortnachricht nach Zahlungsinitiierung ist nicht definiert

Bank des Zahlers(Account Servicing Payment Service Provider – ASPSP)

Zahler(Payment Service User - PSU)

TPPs(PISPs & AISPs)

8



Verbesserte Sicherheitsstandards Starke Kundenauthentifizierung (2FA) wird mit den RTS implementiert

5


Starke Kundenauthentifizierung bedeutet, daß die Authentifizierung durch die Nutzung von 2 Faktoren erfolgt, die jeweils einer der nachfolgenden Kategorien angehört: Wissen (etwas was nur der Kunde weiß), Besitz (etwas was nur der Kunde besitzt) oder Inhärenz (etwas das dem Kunden innewohnt). Die Faktoren müssen voneinander unabhängig sein, d.h. die Diskriminierung eines Faktors, darf nicht die Integrität der anderen Faktoren zerstören.

Zahlungsinitiierung über remote Kanäle wird die Zahlungsautorisierung dynamisch mit Attributen des Zahlungsauftrages verbunden (Betrag, Währung, Uhrzeit etc.).

Banken (ASPSP) müssen 2FA als zwingende Anforderung in ihren Systemen und Prozessen integrieren. 2FA wird gefordert werden wenn der Zahler:

a) Auf sein online Konto zugreifen möchte (Login); b) Zahlungen autorisieren möchte; c) Kontotransaktionen und Kontoeinstellungen über einen Remote

Kanal durchführen möchte und damit das Betrugs-Mißbrauchsrisiko steigt

2FA wird notwendig werden für den Login und die Zahlungsautorisierung

Neue Authentisierungsfaktoren – in Übereinstimmung mit den Anforderungen von 2FA – werden im Laufe des Jahres 2018 von den Banken an die Kunden ausgegeben

Regulatorische / technische Änderungen Was ändert sich für den Kunden



Option 1: Properitäre TPP Schnittstelle über das Online BankingBei dieser Lösung ist keine Fall-Back Schnittstelle erforderlich

6


TPP Schnittstelle



Option 2: Europaweit standardisierte TPP Schnittstelle für PSD2In der aktuellen Version der Regulatory Standards muss zusätzlich eine Fall-Back Schnittstelle bereitgestellt werden

7


TPP Schnittstelle



Definition der Drittanbieterschnittstelle basierend auf ISO 20022RESTful WebService im JASON Format (RTS: based on ISO 20022 elements)

8


Name <Cdtr><Nm>

IBAN <CdtrAcct><Id><IBAN>

Amount <Amt><InstdAmt>

Remittance Information <RmtInf><Ustrd>

End to End ID <PmtId><EndToEndId>

Requested Execution Date (Optional) <ReqdExctnDt>

Name (Ordering Party) <Dbtr><Nm>

IBAN (Ordering Party – Pull Down menu) <DbtrAcct><Id><IBAN>

Zugrundeliegende ISO 20022 Datenelemente

POST /transactions {

“debitorName":<Ordering Party Name>,

“debitorAccount":<IBAN>,

“creditorName":<Beneficiary Party Name>,

“creditorAccount":<IBAN>,

“instructedAmount":<instructed amount>,

“remittanceInformation":<remittance information max.140 character>,

“endToEndIdentifier":<ID max. 35 character>,

“requestedExecutionDate ":<ISO Date>,

}

Vereinfachte Darstellung eins RESTful Webservices (JSON)

Erfassung eines SEPA Auftrages im Online Banking

Oliver BieserInformationsveranstaltung der DK

Deutsche Bank

Dieses Dokument dient lediglich zu Informationszwecken und bietet einen allgemeinen Überblick über das Leistungsangebot der Deutsche Bank AG, ihrer Niederlassungen und Tochtergesellschaften. Die allgemeinen Angaben in diesem Dokument beziehen sich auf die Services der Deutsche Bank AG, ihrer Niederlassungen und Tochtergesellschaften, wie sie den Kunden zum Zeitpunkt der Drucklegung dieses Dokument im Mai 2017 angeboten werden. Zukünftige Änderungen sind vorbehalten. Dieses Dokument und die allgemeinen Angaben zum Leistungsangebot dienen lediglich der Veranschaulichung, es können keinerlei vertragliche oder nicht vertragliche Verpflichtungen oder Haftung der Deutsche Bank AG, ihrer Niederlassungen oder Tochtergesellschaften daraus abgeleitet werden.

Deutsche Bank AG hat eine Banklizenz nach dem deutschen Kreditwesengesetz (zuständige Behörden: Europäische Zentralbank und Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)) und ist in Großbritannien durch die PrudentialRegulation Authority autorisiert. Sie unterliegt der Aufsicht der Europäischen Zentralbank und der BaFin, sowie in begrenztem Umfang der Prudential Regulation Authority und Financial Conduct Authority in Großbritannien. Einzelheiten zum Umfang der Zulassung und Beaufsichtigung durch diese Behörden sind auf Anfrage erhältlich.

Copyright© Juni 2017 Deutsche Bank AG.Alle Rechte vorbehalten.

Disclaimer

9

2010 DB Blue template