Wimsheim, 25. Juli 2017Um die PSD2 – genauer das Verbot von Screen Scraping, selbst wenn die Bank keine API anbietet – entbrennt ein wilder Expertenstreit. Nun meldet sich Thomas Widmann (CEO WidasConcepts) zu Wort und findet: Die neue Richtlinie biete Chancen für Drittanbieter und Banken.
Screen Scraping ist seit einigen Jahren eine etablierte Technologie, mit der Fintechs und andere Drittanbieter – so genannte Third Parties – auf die Kontodaten ihrer Kunden zugreifen. Das Verfahren birgt jedoch Sicherheitsrisiken. Kunden legen sicherheitsrelevante Daten bei dem Anbieter ab, der Screen Scraping durchführt. Sie gehen damit ein großes Risiko ein.
Zwar sind die Befürchtungen und Beanstandungen der Third Parties auf den ersten Blick nachvollziehbar, insbesondere was Investitionsschutz angeht. Gleichermaßen ist anzuerkennen, dass die EBA mit PSD2 und weiteren Maßnahmen die Grundlagen schafft, durch die über gesicherte Schnittstellen mit expliziter Einwilligung der Kunden und sicheren Zugängen ein deutlich verbessertes Konzept umsetzbar wird.
Die nach der neuen Richtlinie gestalteten Schnittstellen sind wesentlich stabiler, als Screen Scraping je sein kann. Das Thema Investitionsschutz ist damit auch differenziert zu betrachten: Die Software-Wartungskosten sind bei einer dauerhaften Schnittstelle auch für Fintechs niedriger, als beim Screen Scraping. Hier müssen immer wieder Anpassungen gemacht werden, um die Kontodaten der Nutzer auszulesen – etwa dann, wenn Banken ihre Websites neu gestalten und diese dann ganz anders aufgebaut sind.
Sicherer ist besser: Fintechs sollten Standards mitgestalten
Die Erfahrung aus modernen Customer-Identity-Management-Lösungen zeigen, dass diese zum Schutz der Kundeninformationen eine fortschrittlichere, weil sichere Alternative darstellen. Hier können langzeitgespeicherte Kundennummern und PINs nicht mithalten. Der vermeintliche Investitionsschutz der Third Parties steht an dieser Stelle den Themen Security und PSD2 gegenüber. Hier wird schnell deutlich: Das Bessere ist des Guten Feind. Customer-Identity-Management-Lösungen wie cidaas bieten als technische Standardverfahren zur Autorisierung OAuth2 und OpenID: Einheitliche Standards, die von allen Banken genutzt werden sollten. Bank-APIs sollten zudem konvergent für alle Banken sein. Bisher hat die EBA diesbezüglich noch keinen Standard benannt, De-facto-Standards können an dieser Stelle etabliert werden. Eine wahrhaftige Chance für Drittanbieter und Fintechs: Sie haben das Know-how und die Möglichkeiten, diesen De-facto-Standard mitzuprägen. Denn Third Parties werden künftig ein starkes Gewicht haben, wenn es um Kundenzufriedenheit und Customer Experience geht. Mit einer Übergangszeit von 6 bis 9 Monaten im Fall des Verbots von Screen Scraping gelänge es sicher allen Beteiligten, sich auf die neuen Richtlinien und Standards einzustellen und Profit daraus zu ziehen.
Übergangszeit könnte Sinn machen
Mit einer Übergangszeit von 6 bis 9 Monaten im Fall des Verbots von Screen Scraping gelänge es sicher allen Beteiligten, sich auf die neuen Richtlinien und Standards einzustellen und Profit daraus zu ziehen.