Open Banking erobert die Finanzwelt im Sturm. Hauptsächlich aufgrund von Vorschriften, die Finanzinstitute dazu verpflichten, ihre wertvollen Daten für regulierte Dritte zu öffnen. Der Hauptgedanke hinter diesen Änderungen ist, dass Open Banking mehr Wettbewerb und Innovation in die Finanzdienstleistungen bringen wird, was zu einer Reihe neuer Produkte und Dienstleistungen und einer besseren Kundenerfahrung führen wird.
Einige Finanzinstitute sind bereits auf dem Weg zur Umsetzung ihrer Open-Banking-Compliance, während bei anderen noch Fragen offen sind. In diesem Beitrag gehen wir auf die am häufigsten gestellten Fragen zum Open Banking aus Sicht der Bankenbranche ein.
In diesem Beitrag behandeln wir die am häufigsten gestellten Fragen (FAQ) zu Open Banking aus Sicht der Bankenbranche:
Open Banking ist ein geschützter Weg, Finanzdaten von Kunden mit Drittanbietern zu teilen. Mit dem Einverständnis des Kunden können die Banken Konto- und Transaktionsdaten über Anwendungsprogrammierschnittstellen (API) an Dritte weitergeben.
Offene APIs ermöglichen den Austausch von Informationen zwischen der Bank und Drittanbietern von Software. Dies hilft den Banken, maßgeschneiderte Produkte und Dienstleistungen anzubieten, um Kunden zu gewinnen und zu binden.
Damit Drittanbieter vollständig zur Nutzung von Open Banking APIS berechtigt sind, müssen sie unter einem der folgenden Punkte oder beiden registriert sein:
Ein autorisierter AISP ist ein Drittanbieter, der von der Bank die Erlaubnis erhält, sich mit dem Bankkonto eines Kunden zu verbinden und die Informationen des Kontos zu nutzen, um eine Dienstleistung anzubieten.
Ein autorisierter PISP beantragt bei der Bank die Erlaubnis, sich mit AISPs zu verbinden, um im Namen des Kunden Zahlungen von dessen Bankkonto aus zu veranlassen.
Die Zahlungsdiensterichtlinie ist eine Verordnung, die es Bankkunden, sowohl Verbrauchern als auch Unternehmen, ermöglicht, Drittanbieter für die Verwaltung ihrer Finanzdaten zu nutzen. Die PSD (seit 2007), die 2015 durch die PSD2 (überarbeitete Zahlungsdiensterichtlinie) ersetzt wurde, ist eine Richtlinie der Europäischen Union für einen neuen Rechtsrahmen für Zahlungsdienste in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR). PSD2 hilft dabei:
Die Wettbewerbs- und Marktaufsichtsbehörde (Competition and Markets Authority - CMA) ist eine unabhängige Abteilung der britischen Regierung. Ziel der CMA ist es, den Wettbewerb auf dem Markt zu fördern und ein faires Geschäft ohne schädliche Monopole zu gewährleisten.
Im August 2016 kündigte die CMA die Open-Banking-Initiative an und bestimmte neun große britische Banken, die bis zum 13. Januar 2018 Open-Banking-APIs einführen sollen. Diese teilnehmenden Banken werden als die CMA9 bezeichnet. Die neun Banken und Bausparkassen sind:
Die wichtigsten funktionalen Komponenten der PSD2 betreffen Konten und Transaktionsinformationen, die Auslösung von Zahlungen und die Bestätigung von Geldbeträgen für Karten, die von Open Banking UK, der Berlin Group und Stet abgedeckt werden. Darüber hinaus definiert Open Banking UK APIs für Daueraufträge, Lastschriften, Termin- und Dateizahlungen sowie Auszüge.
Bis zum 14. September 2019 benötigen die Banken ein PSD2-konformes API-Framework, wie in den RTS der Europäischen Bankenaufsichtsbehörde festgelegt. Sechs Monate vorher, am 14. März 2019, waren die Banken verpflichtet, die technischen Spezifikationen offenzulegen und Unterstützung und Testmöglichkeiten anzubieten.
Offene APIs machen eine Reihe von Daten für Drittanbieter von Finanzdienstleistungen zugänglich. Sie ermöglichen es Drittentwicklern, Anwendungen und Dienste rund um das Finanzinstitut zu entwickeln.
Diese APIs sind so konzipiert, dass sie die Open-Banking-Vorschriften unterstützen. Durch die Einführung und Nutzung von APIs können Banken ihre eigenen Dienste und Angebote erweitern und verbessern. Die Banken können ihre Agenda für die digitale Transformation in der Open-Banking-Welt rasch vorantreiben, indem sie Anwendungen und Service-Ökosysteme von Drittanbietern nutzen, die durch APIs ermöglicht werden.
Nein, FinTech-Unternehmen müssen sich in jedem Land, in dem sie als Drittanbieter (TPP) tätig werden wollen, bei der zuständigen nationalen Behörde (NCA) registrieren und von dieser zugelassen werden. Wenn ein Kunde seine bei einer Bank geführten Kontodaten mit einem registrierten TPP teilen möchte, muss die Bank bei der lokalen NCA prüfen, ob der TPP registriert ist und welche Art von Dienstleistung er anbietet (nur Kontozugang, nur Zahlungsauslösung oder beides?). Die Bank muss sich unbedingt vergewissern, dass der TPP von der lokalen Aufsichtsbehörde die Erlaubnis erhalten hat, solche Dienstleistungen in diesem Land anzubieten, bevor sie den Zugang zu den Daten ihrer Kunden gewährt.
Alle Finanzinstitute und Banken, die in der Europäischen Union tätig sind und Zahlungskonten, Kreditkarten, E-Geld-Konten und ein digitales Bankangebot anbieten, fallen in den Anwendungsbereich der PSD2. Darüber hinaus fallen auch Zahlungskonten, die Kunden nur über digitale Bankkanäle zur Verfügung stehen, in den Anwendungsbereich.
PSD2: Die zweite Zahlungsdiensterichtlinie
NCA: Nationale zuständige Behörde (die FCA im Vereinigten Königreich)
ASPSP: Account Servicing Payment Services Provider (z. B. Bank)
TPP: Drittanbieter
AISP: Anbieter von Kontoinformationsdiensten
PISP: Anbieter von Zahlungseinleitungsdiensten
RTS: Technische Regulierungsstandards
Open Banking UK empfiehlt die Verwendung eines von der OpenID Foundation zertifizierten OpenID Connect (OIDC)-Anbieters, um sicherzustellen, dass die API-Sicherheit den PSD2-Standards entspricht, die als FAPI-Sicherheit (Financial-grade API) bekannt sind. Die Banken können sich auch für die Implementierung der Client Initiated Backchannel Authentication (CIBA) entscheiden. Die Banken müssen auch eine starke Kundenauthentifizierung (SCA) für das Online- und Mobile-Banking implementieren, wie sie von der PSD2 für den API-basierten Zugang vorgeschrieben ist. Während dieses Prozesses müssen Penetrationstests durchgeführt werden, um etwaige Sicherheitsschwachstellen zu überprüfen und zu beheben.
Finanzinstitute müssen SCA (unter Einhaltung von mindestens zwei Faktoren) für den Kundenzugang zu ihrem digitalen Bankangebot über ihre Web- und Mobilkanäle implementieren.
Er muss mindestens zwei der folgenden drei Elemente enthalten:
Ab dem 14. September 2019 sind die Banken verpflichtet, SCA zu implementieren, und Zahlungen, die diese Kriterien nicht erfüllen, werden abgelehnt.
Im Oktober 2018 entschied der Gerichtshof der Europäischen Union, dass ein Sparkonto nicht als "Zahlungskonto" zu betrachten ist, wenn es dem Kontoinhaber nicht ermöglicht, Zahlungen an Dritte zu leisten oder Zahlungen von Dritten zu erhalten. Es gibt jedoch noch andere Arten von Konten, die definiert werden müssen.
PSD2 verlangt von den Banken, dass sie Drittanbietern (TPP) Screen Scraping auf ihren Online-Banking-Seiten als Notlösung zur Verfügung stellen, wenn sie nicht in der Lage sind, zuverlässige und leistungsstarke APIs bereitzustellen. Wenn eine Bank in ihrem digitalen Banking-Angebot eine Multi-Faktor-Authentifizierung aktiviert hat, ist kein zusätzlicher Aufwand erforderlich. Dies gilt für den Zeitraum vom 13. Januar 2018 bis zum 14. September 2019. Ab 14. Septemberth sollten TPPs APIs verwenden.
Die PSD2 verlangt von Banken und Finanzinstituten, dass sie elektronische Betrugsüberwachungs- und Risikomanagement-Funktionen einrichten, insbesondere für Zahlungen. Zahlungen, die von TPPs initiiert werden, werden Risikodaten enthalten, die von der Risikoüberwachungsmaschine des Instituts verwendet werden können, um das Risiko zu bewerten und Transaktionen gegebenenfalls mit weiteren Prüfungen zu verarbeiten.
Open Banking UK bietet Instrumente zur Sicherstellung der Zertifizierung. Diese bestehen aus zwei Teilen:
Die Konformität des Sicherheitsprofils OIDC kann durch die Durchführung der Open Banking Conformance Suite erreicht werden. Die Ergebnisse der Tests müssen der UK Open Banking zur Zertifizierung vorgelegt werden.
Weitere Einzelheiten finden Sie unter .
UK Open Banking bietet auch Tools für die Validierung der APIs, einschließlich der Ressourcen-APIs; weitere Einzelheiten finden Sie unter .
Die PSD2 schreibt vor, dass bei der Verwendung von TPPs für den Zugriff auf Kundenkonten und die Auslösung von Zahlungen die Kundenreise ebenso nahtlos sein muss wie der Übergang zwischen Internet- und Mobile-Banking. Das bedeutet, dass die TPP-basierte Authentifizierung die aktuellen digitalen Banking-Authentifizierungsmechanismen für das Zugangs- und Zustimmungsmanagement nutzen muss.
Im Vereinigten Königreich hat das OBIE auf der Grundlage von Verbraucherstudien eine Reihe von Customer Journeys für verschiedene Szenarien definiert. Die Einzelheiten finden Sie unter hier.
Die regulatorische Richtlinie zum Open Banking soll ein technisch sicheres Umfeld für Banken schaffen, damit sie die Daten ihrer Kunden (mit deren Zustimmung) an regulierte Dritte weitergeben können. Dies wird neuen Akteuren die Tür öffnen, um branchenübergreifend innovative Produkte zu entwickeln, die den Bedürfnissen der Kunden entsprechen.
Gleichzeitig sehen sich die etablierten Banken einem zunehmenden Druck durch digital schlanke Herausfordererbanken ausgesetzt, die oft viel niedrigere Betriebskosten und viel kürzere Innovationszyklen haben. Dies ist eine ideale Gelegenheit für Banken, auf den Innovationszug aufzuspringen und ihre Führungsrolle bei Finanzdienstleistungen zu stärken, indem sie ihre digitalen Strategien auf ein besseres Kundenerlebnis, Ertragswachstum und betriebliche Effizienz ausrichten.
Die Allgemeine Datenschutzverordnung (DSGVO) ist eine EU-Richtlinie und ein Regelungsumfeld, das Institutionen dazu verpflichtet, die Verwendung von Verbraucherdaten für kommerzielle Zwecke mit vorheriger Zustimmung des Verbrauchers offenzulegen und den Schutz der Verbraucherdaten zu gewährleisten.
Open Banking ist die EU-Richtlinie, die von den Banken verlangt, Daten an Dritte weiterzugeben, wenn der Kunde zuvor seine Zustimmung gegeben hat. Nach dieser Richtlinie können Kunden ihre Bankdaten Dritten zur Verfügung stellen, um Zahlungen zu beschleunigen.
Im Kern geht es bei beiden Verordnungen darum, dass die Kunden mehr Kontrolle über ihre Daten haben und dass die Daten zur Förderung der Kundeninteressen genutzt werden. GDPR und Open Banking haben die Standards dafür gesetzt, wie die Finanzdaten der Kunden behandelt werden sollen.
Ja, die Aufsichtsbehörden in mehreren Ländern auf der ganzen Welt erwägen die Einführung neuer Rechtsvorschriften für das Open Banking. Derzeit ist Australien Vorreiter mit der Vorschrift, dass die vier großen Banken bis zum 1.st Februar 2020 konform sein müssen und andere ein Jahr später folgen sollen. Andere Länder wie Kanada, Mexiko, Brasilien, Japan und die Vereinigten Staaten haben ebenfalls begonnen, ihre diesbezüglichen Möglichkeiten zu prüfen.
Banken und Finanzinstitute stehen vor der Herausforderung, innovativ zu sein und sich digital zu verändern. Open Banking ist zu einer wichtigen Quelle für Innovationen im Bankensektor geworden. Es legt fest, wie Finanzdaten erstellt, gemeinsam genutzt und abgerufen werden sollten, und gibt dem Kunden als Eigentümer der Daten die volle Macht. Die Banken sind aufgefordert, diese enorme Chance zu nutzen, um ihre Kundenbeziehungen zu stärken. Von ihnen wird erwartet, dass sie jedes Bankerlebnis intuitiv, nahtlos und digital ansprechend gestalten, um den Bedürfnissen der Kunden besser gerecht zu werden.
Abonnieren Sie den Newsletter, um über die neuesten Entwicklungen in der Branche auf dem Laufenden zu bleiben, einschließlich Einblicke in die Branche und innovative Lösungsmöglichkeiten.