Großbritannien, 8. September: Konsentus, ein weltweit führendes SaaS-Unternehmen, das einen sicheren Datenaustausch ermöglicht, hat eine dringende Warnung vor den ernsten Risiken ausgesprochen, denen europäische Finanzinstitute ausgesetzt sind, die im Open-Banking-Ökosystem tätig sind und die sich aus der Zunahme von Open-Banking-Betrug ergeben.

Am 23. Juni 2022 veröffentlichte die Europäische Bankenaufsichtsbehörde eine Stellungnahme und einen Bericht als Reaktion auf den Aufruf der Europäischen Kommission zur Abgabe von Stellungnahmen (CfA) zur Überprüfung der Richtlinie über Zahlungsdienste (PSD2).

In dem Bericht werden erhebliche Probleme und Gefahren im Zusammenhang mit dem Nachweis der Identität und der aktuellen aufsichtsrechtlichen Genehmigungen von Drittanbietern (TPPs), die offene Bankdienstleistungen erbringen, aufgezeigt.

Unter den 200 Vorschlägen der EBA befinden sich neun Vorschläge für Gesetzesänderungen, die das Risiko verringern und den Verbraucherschutz verbessern sollen, indem die Identität und die aktuellen regulatorischen Genehmigungen von TPPs in Echtzeit festgestellt werden.

Es kann mehrere Jahre dauern, bis die Empfehlungen in Kraft treten, was bedeutet, dass die Banken den von der EBA identifizierten Risiken noch einige Zeit ausgesetzt sein werden.

Die PSD2 ermöglicht Open Banking, indem sie Finanzinstitute dazu verpflichtet, die Konten ihrer Kunden mit zugelassenen Dritten und Fintechs zu teilen. Open Banking ist mittlerweile ein großes Phänomen, mit Milliarden von Transaktionen in Europa jeden Monat und voraussichtlich 63,8 Millionen Nutzern bis 2024.

Bei der Weitergabe von Daten müssen die Banken sicherstellen, dass sie Informationen an die richtigen Stellen weitergeben und haften für Daten, die an unbefugte Dritte weitergegeben werden.

Die aufsichtsrechtlichen Genehmigungen, die es TPPs erlauben, offene Bankdienstleistungen im gesamten EWR anzubieten, können sich jedoch jederzeit ändern. Wenn Banken weiterhin Daten an TPPs weitergeben, die nicht den korrekten regulatorischen Status haben, könnten sie mit Geldstrafen rechnen und gegen die DSGVO verstoßen.

Brendan Jones, CCO, Konsentus, sagte: “Banken sehen sich wirklich erschreckenden Möglichkeiten gegenüber, wenn sie die Identität und den regulatorischen Status von TPPs nicht angemessen überprüfen. Sie haften sowohl für den unbefugten Zugriff auf Daten als auch für betrügerische Transaktionen, was zu Reputationsschäden und erheblichen finanziellen Verlusten führen kann.

“Der Schaden, der durch öffentlichkeitswirksame Regulierungsmaßnahmen entsteht, könnte das Vertrauen in das breitere Open-Banking-Ökosystem beeinträchtigen, was allen Akteuren schaden und das Tempo der Einführung in ganz Europa verlangsamen könnte.

“Wir begrüßen die Empfehlungen der EBA, warnen die Banken aber auch, dass sie sofort Maßnahmen ergreifen müssen, um die Risiken zu mindern. Es wird einige Zeit dauern, bis die Gesetzgebung in Kraft tritt, sodass die Finanzinstitute die Risiken im Zusammenhang mit der Identität und der Regulierung selbst lösen müssen.”

Nachfolgend eine Zusammenfassung der neun wichtigsten Vorschläge der EBA:

  • Eine zentrale, maschinenlesbare Datenbank für alle Zahlungsdienstleister, die derzeit zur Erbringung von Zahlungsauslösediensten (Payment Initiation Services, PIS) und Kontoinformationsdiensten (Account Information Services, AIS) zugelassen sind.
  • Laufende Überprüfung, ob ein Zahlungsdienstleister zum Zeitpunkt einer Anfrage berechtigt ist, die angeforderten Dienstleistungen zu erbringen.
  • Über eIDAS-Zertifikate hinausgehen, um “Unsicherheiten” zu beseitigen und die Identität eines TPP und seinen Zulassungsstatus, die Dienste, die er erbringen kann, und seine Passporting-Erlaubnisse zu verstehen.
  • Harmonisierte Daten zur Vermeidung von “Diskrepanzen zwischen den Informationen in den einzelnen nationalen Registern und dem EBA-Zentralregister”, um Fehler und Missbrauch von personenbezogenen Daten zu vermeiden.
  • Konsistente Datenaktualisierungen und eine gemeinsame Frist für die Aktualisierung der EBA und der nationalen Register, damit die Daten sofort zur Verfügung stehen und falsche Entscheidungen über den Kontozugang vermieden werden.
  • Verlässliche Passporting-Informationen und eine Verpflichtung für Banken, die “Heimat”-Zentralbehörde eines TPP zu überprüfen.
  • Eine Sorgfaltspflicht, die sicherstellt, dass die Banken die Verantwortung für den Schutz der Daten und Gelder ihrer Kunden tragen, um finanzielle und rufschädigende Schäden zu minimieren.
  • Ein vollständiges Bild durch eine einzige Datenbank, die einen vollständigen Überblick über alle regulierten Fintech-TPPs und Kreditinstitute, die als TPPs zugelassen sind, bietet.
  • Klarheit über die Verweigerung des Zugangs, um “Unsicherheiten über die Verwendung von EiDAS-Zertifikaten zum Zweck der Identifizierung” zu beseitigen, damit die Identität einer TPP, ihr Pass-Status und die Dienstleistungen, die sie anbieten kann, verstanden werden.

Quelle: Pressemitteilung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.