Am 3. November 2020 veröffentlichte die britische Finanzaufsichtsbehörde Financial Conduct Authority neue Bestimmungen darüber, wie sich britische TPPs nach dem 31. Dezember 2020 (dem Ende der Brexit-Übergangszeit) gegenüber Banken identifizieren müssen. Wir haben diesen Artikel aktualisiert, um die Regeländerungen zu erklären.
Was ist ein eIDAS-Zertifikat?
Die technischen Standards der PSD2 (SCA-RTS) legen fest, dass Banken über eine Schnittstelle verfügen müssen, die es einem Drittanbieter (TPP) ermöglicht, sich zu identifizieren und sicher zu kommunizieren, um Informationen anzufordern und zu empfangen oder einen Zahlungsauftrag zu initiieren. Für die Identifizierung müssen sich TPPs und Banken auf Zertifikate verlassen, die von regulierten Stellen, die als Qualified Trust Service Provider (QTSPs) bezeichnet werden, ausgestellt werden:
- Qualifizierte Zertifikate für elektronische Siegel (QSealCs) – werden zum Schutz der Daten oder Nachrichten während oder nach der Kommunikation verwendet, bieten aber keine Vertraulichkeit der Daten (d. h. es gibt keine Verschlüsselung der Anwendungsdaten); oder
- Qualifiziertes Zertifikat für die Website-Authentifizierung (QWACs) – damit ein sicherer Kommunikationskanal für die Übertragung von Daten zwischen dem TPP und der Bank eingerichtet werden kann.
Warum werden eIDAS-Zertifikate benötigt?
eIDAS-Zertifikate ermöglichen es einer Bank zu erkennen, ob ein TPP ein legitimer Akteur ist, der das Recht hat, auf das Konto eines Kunden zuzugreifen, oder nicht. Zu diesem Zweck muss das Zertifikat die Unternehmensregistrierungsnummer des TPPs (die er durch die Regulierung erhält), den Namen der Regulierungsbehörde und die Funktion des TPPs (Kontoinformationen, Zahlungsauslösung) enthalten.
Wann werden sie benötigt?
Die Verwendung von eIDAS-Zertifikaten zur Identifizierung ist seit dem 14. September 2019 zusammen mit den technischen PSD2-Standards ( SCA-RTS) rechtlich bindend.
Wie ist die Situation in Großbritannien nach dem Brexit für TPPs aus dem Vereinigten Königreich?
In Großbritannien autorisierte TPPs können ab dem 31. Dezember 2020 keine eIDAS-Zertifikate mehr verwenden.
Am 29. Juli hat die Europäische Bankaufsichtsbehörde QTSPs angeordnet, dass Drittanbieter aus Großbritannien ihre eIDAS-Zertifikate bis zum Ende der Brexit-Übergangszeit (31. Dezember 2020) widerrufen lassen müssen.
Der Entzug der eIDAS-Zertifikate bedeutete, dass TPPs mit Sitz in Großbritannien nach dem 31. Dezember nicht mehr in der Lage sein würden, sich mit Banken in der EU oder Großbritannien zu verbinden.
Um dieses Problem anzugehen, veröffentlichte die britische Financial Conduct Authority (FCA) im September 2020 eine Konsultation zu neuen Identifizierungsvorschriften für das Vereinigte Königreich, die eine alternative Art von Zertifikat zur Identifizierung im Vereinigten Königreich vorsehen. Die Bestimmungen, die eine Überarbeitung von Artikel 34 der UK-RTS darstellen, wurden am 3. November finalisiert. Diese Regelungen sollen Störungen am 31. Dezember verhindern, wenngleich in den Monaten nach diesem Datum noch Änderungen durch TPPs erforderlich sein werden.
Was sieht der überarbeitete Artikel 34 vor?
- Banken im Vereinigten Königreich müssen mindestens eine andere elektronische Form der Identifizierung akzeptieren, die von einem unabhängigen Dritten (z. B. der Open Banking Implementation Entity) ausgestellt wurde. Dies gilt zusätzlich zu der weiterhin bestehenden Annahme von eIDAS-Zertifikaten.
- Es muss sich um ein digitales Zertifikat handeln, das von einem unabhängigen Dritten nach Identifizierung und Überprüfung der Identität des Zahlungsdienstleisters ausgestellt wird.
- Das Zertifikat muss widerrufen werden, sobald der TPP nicht mehr berechtigt ist, TPP-Tätigkeiten durchzuführen.
- Britische Banken sind verpflichtet, den Zulassungsstatus des TPP so zu überprüfen, dass keine Behinderungen für den Zugang zum TPP entstehen, und sich von der Befähigung des unabhängigen Dritten, der das Zertifikat ausstellt, zu überzeugen.
- Britische Banken müssen öffentlich angeben, welche Identifizierungsmethoden sie akzeptieren, um zu gewährleisten, dass TPPs darüber informiert sind.
- Das Zertifikat muss den Namen des TPP sowie Informationen über die zuständige Behörde, bei der der TPP zugelassen oder registriert ist, und die entsprechende Registrierungsnummer (Firm Reference Number (FRN)) enthalten.
Inwiefern ändert dies den Status quo von britischen TPPs?
In Großbritannien gibt es bereits einige Unterschiede in der Art und Weise, wie die Identifizierung gegenüber Banken funktioniert, im Vergleich zu dem, was in Europa üblich ist. Da die Standards für Open Banking von der CMA vor einigen finalen technischen PSD2-Standards entwickelt wurden, verwendeten viele britische TPPs und Banken bereits „Open-Banking-Zertifikate“ anstelle von eIDAS-Zertifikaten. Um dies mit den PSD2-Anforderungen in Einklang zu bringen, hat die FCA bisher die Verwendung dieser Zertifikate erlaubt, solange der TPP auch ein eIDAS-Zertifikat hatte und dieses in das Open Banking Directory hochgeladen hat.
Die FCA hat nun erklärt, dass diese Vereinbarung weiterhin gelten kann, allerdings mit zwei entscheidenden Vorbehalten:
- Der TPP muss einen neuen Zertifikatstyp erhalten, der die „überarbeiteten Artikel-34-Anforderungen“ der FCA erfüllt, und diesen vor dem 31. Dezember 2020 in das Open Banking Directory (oder das Verzeichnis eines anderen API-Programms) hochladen, um die bestehenden „Legacy“-Zertifikate weiter nutzen zu können.
- Der TPP kann diese Vereinbarung nur noch bis zum 30. Juni 2021 fortführen. Nach diesem Zeitpunkt dürfen sich TPPs gegenüber Banken nur noch mit Zertifikaten identifizieren, die die überarbeiteten Anforderungen des Artikels 34 erfüllen.
Eine Zusammenfassung darüber finden Sie hier auf der Webseite der FCA.
Was sollten in UK ansässige TPPs tun?
- Kurzfristig:
Regulierte TPPs, die derzeit mit Banken mit Open-Banking-Zertifikaten verbunden sind, sollten sicherstellen, dass sie vor dem 31. Dezember 2020 ein neues Zertifikat haben, das die überarbeiteten Anforderungen des Artikels 34 erfüllt. Die Open Banking Implementation Entity kann diese Zertifikate bereitstellen (OBWACS und OBSealCs erfüllen bereits die überarbeiteten Anforderungen des Artikels 34). Das neue Zertifikat muss in das Open Banking Directory hochgeladen werden. Regulierte TrueLayer-Kunden sollten sich mit ihrem CSM in Verbindung setzen, um zu erfahren, wie wir dabei helfen können.
Wenn Sie ein unregulierter Kunde von TrueLayer sind, verwalten wir diese Änderung im Hintergrund. Sie brauchen nichts zu tun.
- Längerfristig:
Regulierte TPPs müssen die Verwendung von Open-Banking-Legacy-Zertifikaten zur Identifizierung gegenüber britischen Banken einstellen und sie durch Zertifikate ersetzen, die die überarbeiteten Anforderungen des Artikels 34 erfüllen, z. B. OBWACS und OBSEALCs. Dies muss vor dem 30. Juni 2021 geschehen.
TrueLayer setzt sich im neuen Jahr mit regulierten Kunden in Verbindung, um sie bei dieser Migration zu unterstützen.
Die FCA hat den Banken die Möglichkeit eröffnet anzugeben, dass sie Artikel 34-konforme Zertifikate akzeptieren, die von anderen Anbietern als OBIE ausgestellt wurden. TrueLayer wird seinen regulierten Kunden dabei helfen, diese Fragmentierung zu bewältigen, wenn sie auftritt.
Wenn Sie ein unregulierter Kunde von TrueLayer sind, verwalten wir diese Änderung im Hintergrund. Sie brauchen nichts zu tun.
TPPs mit Sitz in der EU
Sie benötigen ein eIDAS-Zertifikat (es wird sowohl QWAC als auch QSealC empfohlen), um sich mit EU-Banken zu verbinden. Open Banking Europe stellt eine Liste von Zertifikatsausstellernzur Verfügung.
Warum benötige ich sowohl QSealC als auch QWCA?
Die Europäische Bankenaufsichtsbehörde (EBA) veröffentlichte im Dezember 2018 eineStellungnahme zur Verwendung von eIDAS-Zertifikaten. Darin wurden drei mögliche Kombinationsmöglichkeiten aufgezeigt, die zur Erfüllung der PSD2-Anforderungen eingesetzt werden können:
- Parallele Verwendung von QWACs und QSealCs (die EBA empfiehlt dies als bevorzugten Ansatz)
- Ausschließliche Verwendung von QWACs
- Verwendung von QSealCs mit einem weiteren Element, das eine sichere Kommunikation gewährleistet
Die EBA erklärte, dass die Entscheidung, welche Art von Zertifikat zur Identifizierung verwendet werden soll, bei der Bank liegen sollte. In der Stellungnahme wurde außerdem erläutert, dass die Verwendung von eIDAS-Zertifikaten zwar für die Zwecke der Identifizierung erforderlich ist, eIDAS-Zertifikate aber nicht unbedingt für die Sicherung der Kommunikationsverbindung benötigt werden. Dennoch wird der Einsatz für diesen Zweck empfohlen.
Da die Entscheidung bei der Bank liegt, sollte ein TPP sowohl ein QWAC als auch ein QSealC von einem Anbieter anfordern.
Wie verwendet TrueLayer meine Zertifikate?
Wenn Sie TrueLayer nutzen, um auf Konten zuzugreifen (d. h. als technischer Dienstleister), müssen Sie Ihr Zertifikat sicher an TrueLayer übermitteln, damit wir das Zertifikat vorlegen können, wenn wir in Ihrem Namen auf Konten zugreifen. Dies entspricht den Richtlinien der Europäischen Bankenaufsichtsbehörde.
Wie unterstützt TrueLayer Kunden mit Zertifikaten?
Wir bauen Selbstbedienungsfunktionen in unsere Entwicklerkonsole ein, damit Sie Ihre Zertifikate automatisch registrieren können. In der Zwischenzeit kann einer unserer Mitarbeiter Sie durch den Zertifizierungsprozess begleiten.