ICH WILL GSK PSD2 Konferenz · GSK PSD2 Konferenz. ... EBA’s final draft of the RTS . on Strong...
-
Upload
hoangxuyen -
Category
Documents
-
view
217 -
download
2
Transcript of ICH WILL GSK PSD2 Konferenz · GSK PSD2 Konferenz. ... EBA’s final draft of the RTS . on Strong...
ICH WILLMEHR UMSATZUND ZWAR SOFORT.
GSK PSD2 Konferenz
Dr. Jens Lütcke
Geschäftsführer, SOFORT GmbH
2
SOFORT GMBHZahlen & Fakten
Zahlungsvolumen 2016
Umsatz 2016
Transaktionen 2016
Transaktionen 12/2016
Onlinehändler
Länder (europaweit)
Gegründet
Hauptsitz
Mitarbeiter
6,0 Mrd. €
45 Mio. €
61 Mio.
6,8 Mio.
> 35.000
13
2005
München
> 150
3
SOFORT ÜBERWEISUNG - EIN TYPISCHER PIS
Der Kunde wählt SOFORT
Überweisung beim Online-Kauf aus
und gelangt somit auf unser
verschlüsseltes Zahlformular
Mit der Auswahl des Landes und der
Bankleitzahl startet der Zahlprozess. Der
Kunde gibt seine gewohnten Online-
Banking Zugangsdaten ein und bestätigt
die Überweisung per TAN
Der Onlinehändler erhält eine
Echtzeitbestätigung über die
Einstellung der Überweisung in das
Online-Banking und kann die
Bestellung sofort bearbeiten und
versenden
4
Payment Services Directive 2 (PSD2)
5
Lizenz
Bevor ein PIS in der EU an den Markt darf, muss er bei der entsprechenden nationalen Aufsichtsbehörde eine Zulassung beantragen. Dabei wird geprüft, ob alle vorgeschriebenen Sicherheits- und Datenschutzanforderungen erfüllt sind (vgl. Art. 5 und 11 PSD2 - verpflichtend ab 13.01.2018)
1
ZAHLUNGSAUSLÖSEDIENSTE (PIS) IN DER PSD2
Identifizierung
Der PIS muss sich jedes Mal, wenn eine Zahlung ausgelöst wird, gegenüber dem kontoführenden Zahlungsdienstleister identifizieren(vgl. Art. 66 (3d) PSD2 - verpflichtend ab 18 Monate nach Inkrafttreten der EBA RTS on SCA & secure communication = April 2019)
2
6
Haftung
Haftet der PIS für einen nicht autorisierten Zahlungsvorgang, so entschädigt er die Bank auf deren Verlangen unverzüglich für die infolge der Erstattung an den Zahler erlittenen Verluste oder gezahlten Beträge. Der PIS muss nachweisen, dass der Zahlungsvorgang — innerhalb seines Zuständigkeitsbereichs — authentifiziert, ordnungsgemäß aufgezeichnet und nicht durch eine technische Panne oder einen anderen Mangel im Zusammenhang mit dem von ihm verantworteten Zahlungsdienst beeinträchtigt wurde (vgl. Art. 73, 89, 90 und 92 PSD2 - verpflichtend ab 13.01.2018)
3
ZAHLUNGSAUSLÖSEDIENSTE (PIS) IN DER PSD2
Versicherung
Um sicherzustellen, dass PIS ihre Haftungsverpflichtungen (s.o.) erfüllen können, müssen PIS über eine Berufshaftpflichtversicherung für die Gebiete, in denen sie ihre Dienste anbieten, oder eine andere gleichwertige, die Haftung abdeckende Garantie verfügen (vgl. Art. 5 (2) PSD2 - verpflichtend ab 13.01.2018)
4
7
Ermöglichung des Zugangs zum Zahlungskonto (vgl. Art. 66 PSD2, § 50 ZAG (Entwurf) - verpflichtend ab 13.01.2018)
1
WAS MÜSSEN BANKEN TUN?
Für eine Zugangsverweigerung definiert die PSD2 eine enge, abschließende Liste an zulässigen Gründen ( “objektive und gebührend nachgewiesene Gründe im Zusammenhang mit einem nicht autorisierten oder betrügerischen Zugang [...] zum Zahlungskonto”) (vgl. Art. 68 (5) PSD2, § 52 ZAG (Entwurf) - verpflichtend ab 13.01.2018, in der deutschen Umsetzung allerdings dazu im Widerspruch Art. 7 erst mit Inkrafttreten der EBA RTS)
2
Der Widerruf einer Überweisung ist nicht mehr möglich, wenn diese über einen PIS ausgelöst wurde (vgl. Art. 80 PSD2, § 675p Abs. 2 - verpflichtend ab 13.01.2018)4
Auf sichere Weise mit dem PIS kommunizieren(vgl. Art. 66 und 98 (1) PSD2, § 50 ZAG (Entwurf) - verpflichtend ab 18 Monate nach Inkrafttreten der EBA RTS on SCA & secure communication = April 2019)
3
8
Regulatory Technical Standards (RTS)
&
Guidelines der EBA
9
10
EBA’s final draft of the RTS
on Strong Customer Authentication (SCA) and common and secure communication
CO
MM
UN
ICA
TIO
N
INT
ER
FA
CE
PSD2:
Recital 32:
“[PIS] are based on direct or indirect access for the [PISP] to the payer’s account. An [ASPSP] which provides a mechanism for indirect access should also allow direct access for the [PISP]”
Recital 93:
“It is necessary to set up a clear legal framework [...] under which [PISP] can provide their services [...] without being required by the [ASPSP] to use a particular business model, whether based on direct or indirect access [...]”
Finaler Entwurf der EBA RTS:
Art. 27:
1. Option: Dediziertes Interface (indirect)2. Option: Online-Banking-Webseite (direct)
SO WEIT, SO GUT - ABER ...
“To ensure technology and business-model neutrality, the [ASPSP] should be free to decidewhether the interface they offer should be dedicated to the communication with [AISP], [PISP], and [PII], or to allow use of the interface for the identification and communication with the [ASPSPs]’ payment service users.”
EBA draft RTS, S. 16
BANKS SHOULD BE “FREE TO DECIDE”
TECHNOLOGY AND BUSINESS-MODEL
NEUTRALITY?
“where the dedicated interface does not operate at the same level of availability and performance as the interface made available to the [ASPSP]’s payment service user for when accessing its payment account online, the [ASPSP] shall report it to the competent authorities, shall restore the level of service for the dedicated interface referred to in point (b) without undue delay and shall take any action that may be necessary to avoid its reoccurrence” (Art. 28 finaler Entwurf der EBA RTS)
UND IN DER PRAXIS?
“Of course, banks must comply, added Kirsch, but they also have the ability to choose to make API access easy for third parties or difficult (presenting codes and data, Kirsch said, in ways that might be hard to use effectively)”
Interview mit Token CEO Steve Kirsch auf PYMNTS
“Banks are scared. They’ve seen the rise of the new world of open APIs, apps and analytics and know that their organisations are not yet ready or fit to change to that world. What to do? Well, the easiest thing to do is block access to the bank’s data. If third party fintech firms cannot get access to the customer’s financial data, you can severely limit what they can do. Brilliant … and it’s just what banks are doing.”
Chris Skinner auf http://banknxt.com
14
“FALL BACK” LÖSUNG
Welche Voraussetzungen müssten erfüllt sein, um auf den “direct access” umstellen zu dürfen?
1
Wer müsste beweisen, dass die Voraussetzungen erfüllt sind? 2
Würde die “fall back” Lösung auch für innovative, neue Funktionen gelten? 3
Erfordernis, zwei Systeme parallel zu warten 4
6. Mai 2015, nach Veröffentlichung des finalen PSD2 Textes
24. Februar 2017, nach Veröffentlichung des finalen Entwurfs der EBA RTS
16
EBA’s draft Guidelines
on the criteria on how to stipulate the minimum monetary amount of the professional indemnity insurance
or other comparable guarantee
17
BERUFSHAFTPFLICHTVERSICHERUNG
Risikoprofil: Höhe Schadensersatzansprüche + geographische Reichweite + Anzahl bestehende Verträge + Anzahl initiierte Transaktionen
Art der Aktivität: reiner PIS/AIS oder Kombination von Diensten
Größe der Aktivität: Zahlungsvolumen
Auf Grundlage des derzeitigen Entwurfs der EBA käme SOFORT für das Jahr 2016 auf eine Versicherungssumme von 150 Millionen €
18
BERUFSHAFTPFLICHTVERSICHERUNG
Entscheidende Eintrittsbarriere für junge, innovative Fintechs? 1
Wie verhält es sich im Falle grober Fahrlässigkeit und Vorsatz? 2
Wie wird die Versicherungswirtschaft reagieren?3
“Es kann derzeit nicht abgeschätzt werden, ob auf dem deutschen Markt zukünftig ausreichende und bezahlbare
Versicherungskapazität für die geforderte neue Pflichtversicherung zur Verfügung stehen wird. Soll eine Absicherung durch
eine Versicherung vor o.g. Hintergrund überhaupt grundsätzlich möglich sein, muss der Versicherer im Versicherungsvertrag
adäquate Deckungsbegrenzungen vereinbaren können.”
Aus der Stellungnahme des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) zum Entwurf der EBA Guidelines zur Berufshaftpflichtversicherung
Inkrafttreten: 13. Januar 2018 - aber bislang noch keine finalen Guidelines veröffentlicht4
WIE GEHT ES WEITER?
Finalisierung der RTS on SCA & secure communication
Umsetzung der PSD2 Vorgaben in allen EU-Mitgliedstaaten
Finalisierung aller weiteren EBA RTS und Guidelines
Parallel Vorbereitung der Lizenz- bzw. Registrierungsanträge durch PIS & AIS