fino befürwortet Vorschlag zur Änderung von starker Kundenauthentifizierung

11.02.2021

Die Financial Conduct Authority (FCA) als unabhängige Finanzmarktaufsichtsbehörde im Vereinigten Königreich hat vorgeschlagen, dass Kunden nicht mehr alle 90 Tage re-autorisiert werden müssen, wenn sie ihr Bankkonto mit einem lizenzierten Drittdienstleister verbunden haben. Wir bei fino begrüßen eine solche Initiative ausdrücklich. Denn mit der Begründung hat die FCA den Kern der Thematik erfasst.

In ihrem „Changes to the SCA-RTS and to the guidance in ‘Payment Services and Electronic Money – Our Approach’ and the Perimeter Guidance Manual“ argumentiert die Behörde, dass der Zahlungsverkehr als Geschäftsmodell in den vergangenen Jahren zugenommen und sich weiterentwickelt habe. Open Banking sei kontinuierlich gewachsen, wobei die Corona-Pandemie als Katalysator gewirkt habe. Die aktuelle Anforderung, aus Sicherheitsgründen alle 90 Tage eine Strong Customer Authentication (SCA) vorzunehmen, sei jedoch als Hindernis für den zukünftigen Erfolg und die Einführung von Open Banking identifiziert worden. Denn sie habe sich als lästig erwiesen und führe zu Reibungsverlusten in der User Experience, insbesondere wenn Kunden mehrere Konten bei verschiedenen Kontoanbietern verwalteten. Drittanbieter hätten an jenem Punkt, der eine erneute Authentifizierung verlange, einen signifikanten Kundenverlust gemeldet – die Rede ist von 40 Prozent. Zudem könne die Unterbrechung des laufenden Zugangs nach einer fehlenden Neuauthentifizierung dazu führen, dass Kunden Entscheidungen auf Grundlage veralteter Daten träfen. Dies habe Unternehmen dazu veranlasst, von der Einführung neuer Produkte und Services Abstand zu nehmen, womit das Potenzial von Open Banking nicht vollständig ausgeschöpft werde. Deshalb werden jetzt Änderungen der regulatorischen technischen Standards vorgeschlagen.

Sicherheit auch ohne Re-Autorisierung
Nach Auffassung der FCA ist das Risiko gering, wenn ein Drittanbieter im Namen eines Kunden auf Kontoinformationen zugreift. Gefahren würden durch andere Anforderungen wie das Vorlegen eines gültigen eIDAS Zertifikates weitgehend minimiert. Aus diesem Grund schlägt die Behörde eine Ausnahme vor, die die kontoführenden Institute von der Pflicht entbindet, alle 90 Tage eine Re-Autorisierung vorzunehmen. Eine einmalige starke Kundenauthentifizierung genüge, so die FCA. Um Verbraucher zu schützen, sollen gleichzeitig neue Anforderungen eingeführt werden, und zwar wenn der Anbieter auf Kontoinformationen zugreift, ohne dass der Kunde diese aktiv anfordert. Für diesen Fall sei zu empfehlen, alle 90 Tage eine ausdrückliche Zustimmung des Kunden dafür einzuholen.

Aus unserer Sicht ist dieser Vorschlag sinnvoll. Als fino würden wir es sehr begrüßen, wenn auch die EU diesen Ansatz in Betracht zieht und dabei auf die Zusammenarbeit mit anderen Drittdienstleistern und nationalen Aufsichtsbehörden setzt. Denn auch hierzulande wirkt sich die alle 90 Tage erforderliche Re-Authentifizierung nachteilig auf die Customer Experience aus – verbunden mit jenen negativen Folgen wie in Großbritannien. Zudem lässt sich die Sicherheit hier genauso benutzerfreundlich realisieren wie im Vorschlag der FCA.

Bild von Manuel Gutmann

Ihr Manuel Gutmann
Technical Lead und Product Owner bei fino

Zurück