Exklusiv

Push für Multibanking: Starke Authentifizierung nur noch alle 180 Tage

19. Dezember 2021

Von Christian Kirchner

Dass viele Multibanking-Angebote hierzulande einen schleichenden Niedergang erfahren haben (siehe unsere Analyse hier) – das ist in Teilen auch dem Chaos geschuldet, welches die Regulierer mit der PSD2-Regulierung geschaffen haben. Demnach muss seit zwei Jahren im Prinzip für jede Zahlung und jeden Abruf von Kontoinformationen eine „starke“ Authentifizierung mit einem zweiten Faktor (kurz: 2FA) erfolgen. Es sind aber auch Ausnahmen zugelassen. Zum Beispiel für den simplen Abruf der jüngsten Umsätze oder des aktuellen Saldo. Dafür genügt eine starke Authentifizierung alle 90 Tage.

Das Problem: Ob Banken und andere Zahlungsdienstleister von dieser 90-Tage-Ausnahmeregel Gebrauch machen, ist ihnen selbst überlassen. Sie ist freiwillig. Dadurch ist für Verbraucherinnen und Verbraucher ein nicht zu durchschauendes Geflecht entstanden: Manche Banken und Fintechs belassen es tatsächlich bei einer starken Authentifizierung alle 90 Tage. Andere verlangen – auch je nach Sicherheitsindikation – einen regelmäßigen Identitätsnachweis. Und wieder andere lassen sich jede Anfrage „stark“ bestätigen.

Was natürlich auch eine ganz praktische Methode ist, dem eigenen Kunden den Kontenzugriff durch Drittanbieter madig zu machen, will dieser nicht bei jeder Anfrage oder App-Öffnung eigens den Zugang nochmals bestätigen. Sollte diese klammheimliche Sabotage (die Aufseher ganz offensiv vielen Finanzdienstleistern vorwerfen) absichtlich erfolgt sein, dann war sie erfolgreich – wie an den Problemen vieler Multibanking-Modelle zu erkennen ist.

Schon im ersten Quartal „180-Tage-2FA“ Gesetz werden

Dass dieses Tohuwabohu nicht im Sinne der Verbraucher ist und kaum den Wettbewerb stärkt, hat offenbar auch die EBA erkannt, also die europäische Bankenbehörde. In einem bereits Ende Oktober veröffentlichten, aber weitgehend unbemerkt gebliebenen Konsultationspapier stellt die EBA fest, es komme durch die bisherige Regelung zu „unerwünschten Friktionen“ für Kunden und einem negativen Einfluss auf Drittanbieter. Als Lösung sieht sie eine Harmonisierung: Man mache beim simplen Kontenabruf die starke Authentifizierung alle 180 Tage zur Pflicht – und zwar nur noch alle 180 Tage. Noch häufiger oder gar bei jedem Abruf die starke Authentifizierung zu verlangen, soll bei solchen Abfragen künftig nicht mehr erlaubt sein.

Offiziell ist die Änderung noch nicht, gleichwohl gilt ihre Umsetzung in EU-Kreisen als sehr wahrscheinlich. Die Konsultationsperiode zu diesem Vorschlag endete Ende November, im ersten Quartal 2022 soll der Vorschlag an die EU-Kommission zur Verabschiedung weitergereicht werden.

Ob’s dem Multibanking-Modell noch hilft? Das ist fraglich. Schließlich birgt eine starke Authentifizierung „nur“ zweimal im Jahr auch die Gefahr, dass Kunden ihre Authentifizierungs-Details schlicht vergessen oder von ihrer Nutzung entwöhnt werden. Den großen Wurf à la Großbritannien, wo die Finanzaufsicht die Pflicht zur „2FA“ schlicht wieder abgeschafft hat, den traut sich die EBA nicht zu. Derart weitreichende Maßnahmen seien dann Sache der Kommission, heißt es im Umfeld der Aufseher.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing

Tags