Im Zeitalter des Open Banking basiert Vertrauen nicht nur auf kryptografischen Mechanismen. Dazu zählen die sichere Datenübertragung durch Verschlüsselung, die Gewährleistung der Integrität übertragener Informationen, die Authentifizierung mittels digitaler Signaturen sowie der Schutz der Vertraulichkeit. Wichtiger ist jedoch, dass aktuelle und zuverlässige Regulierungsdaten vorliegen. Kryptografische Verfahren wie Qualified Website Authentication Certificates (QWACs) oder Qualified Electronic Seal Certificates (QSealCs) schaffen zwar eine sichere technische Verbindung und bestätigen die Identität eines Drittanbieters – doch sie sagen nichts darüber aus, ob dieser Anbieter heute noch rechtlich autorisiert ist, bestimmte Dienste anzubieten.
Die oft übersehene Gefahr
Das stellt ein zentrales regulatorisches Risiko dar: Denn ein Zertifikat kann formal weiterhin gültig sein, selbst wenn der Drittanbieter längst nicht mehr zur Erbringung von Zahlungsdiensten berechtigt ist. So kann es etwa vorkommen, dass ein TPP seine Lizenz verloren hat – etwa durch Entzug durch die Aufsichtsbehörde oder durch freiwillige Aufgabe. Ebenso möglich ist, dass dem Anbieter bestimmte Rollen aberkannt wurden, beispielsweise die Rolle als Payment Initiation Service Provider (PISP), wodurch er keine Zahlungen mehr im Namen von Endkunden auslösen dürfte. Ein weiteres, oft übersehenes Szenario: Der TPP hat zwar eine gültige Lizenz in seinem Heimatland, diese jedoch nicht im Rahmen des Passporting-Verfahrens auf das Zielland übertragen – und ist somit rechtlich nicht befugt, in diesem Land tätig zu werden.
All diese Fälle haben eines gemeinsam: Aus technischer Sicht erscheint der Zugriff des TPP legitim – aus regulatorischer Sicht ist er es nicht. Wer hier nicht genau hinschaut, öffnet ungewollt die Tür für unautorisierte Zugriffe, riskiert Haftungsansprüche und verstößt möglicherweise gegen geltende PSD2-Vorgaben.
Regulatorisches Risiko: Was droht bei unvollständiger Prüfung?
Ein konkretes Beispiel: Kundendaten könnten unbeabsichtigt mit einem TPP geteilt werden, dessen Lizenz zwischenzeitlich entzogen wurde – etwa aufgrund regulatorischer Verstöße oder weil der Anbieter seine Geschäftstätigkeit eingestellt hat. Ebenso besteht die Gefahr, dass eine Zahlungstransaktion verarbeitet wird, die von einem Anbieter initiiert wurde, der aktuell keine PISP-Rolle mehr innehat und somit keine Zahlungsaufträge ausführen darf. Besonders heikel wird es, wenn einem TPP Zugriff auf eine Schnittstelle gewährt wird, der zwar in einem anderen EU-Land reguliert ist, jedoch keine gültige Passportierung für das betreffende Land besitzt – und somit rechtlich nicht im jeweiligen Markt tätig sein darf.
Solche Szenarien sind nicht nur Verstöße gegen das Prinzip der regulatorischen Konformität, sie können auch direkte finanzielle und rechtliche Konsequenzen nach sich ziehen. Unter Umständen haften Sie als ASPSP für unautorisierte Transaktionen – etwa durch Rückerstattungsverpflichtungen gemäß Artikel 73 der PSD2. Darüber hinaus steht bei solchen Vorfällen immer auch das Vertrauen Ihrer Kunden auf dem Spiel. Wenn diese den Eindruck gewinnen, dass Ihre Open-Banking-Infrastruktur nicht ausreichend gegen unberechtigte Zugriffe geschützt ist, kann das langfristig zu einem Reputationsverlust führen – ein Risiko, das sich mit einem proaktiven Compliance-Ansatz leicht vermeiden ließe.
Die Lösung: Kontinuierliche, mehrschichtige Validierung
Wir bei Qwist haben verstanden, dass echte PSD2-Konformität mehr erfordert als die rein technische Validierung eines Zertifikats. Deshalb geht unsere PSD2-API-Lösung bewusst über die klassische Zertifikatsprüfung hinaus – und ergänzt sie durch eine intelligente, mehrschichtige Validierung auf Basis aktueller regulatorischer Daten.
Konkret bedeutet das: Wir prüfen in Echtzeit, ob ein Drittanbieter nicht nur ein gültiges QWAC oder QSealC besitzt, sondern tatsächlich auch zur Ausübung seiner Rolle berechtigt ist – und das im jeweiligen Rechtsraum, in dem der Zugriff erfolgt. Unsere Lösung verbindet sich dafür automatisch mit dem Register der Europäischen Bankenaufsichtsbehörde (EBA) sowie mit relevanten nationalen Registern. Dort verifizieren wir:
- ob der TPP aktuell im Register geführt wird,
- ob er über die korrekte Zulassung für seine Rolle verfügt (z. B. als AISP, PISP oder beides).
Darüber hinaus arbeiten wir kontinuierlich daran, die Qualität dieser Prüfungen weiter zu verbessern. Ein zentrales Element dabei ist die technische Anbindung an nationale Authentifizierungsdienste (NACs) und weitere dezentrale Quellen. Dadurch können wir die Datenlage nicht nur erweitern, sondern auch deutlich präzisieren – was besonders in Fällen länderspezifischer Besonderheiten oder kurzfristiger Lizenzänderungen entscheidend ist.
Realtime Compliance statt statischer Prüfung
Was passiert nun also – ganz praktisch gesprochen – wenn sich der regulatorische Status eines TPPs ändert? Beispielsweise, weil eine Lizenz widerrufen oder eine Rolle entzogen wird?
Ganz einfach: Auch wenn das Zertifikat selbst noch gültig ist, erkennt unsere Lösung die Veränderung umgehend – und blockiert den Zugriff automatisch und in Echtzeit. Es ist nicht notwendig, dass Sie manuell eingreifen oder täglich Listen prüfen. Unsere Technologie stellt sicher, dass nur tatsächlich berechtigte Anbieter Zugriff erhalten, basierend auf dem tagesaktuellen regulatorischen Stand. So schaffen wir ein Höchstmaß an Sicherheit – nicht nur auf der Ebene der Verschlüsselung, sondern auch in der rechtlichen Dimension. Und genau das ist entscheidend für den langfristigen Erfolg und das Vertrauen in Ihre Open-Banking-Infrastruktur.
Was das für Ihr Unternehmen bedeutet
Mit dieser erweiterten Prüfung durch Registerdaten:
- erfüllen Sie regulatorische Erwartungen an Sorgfaltspflichten (auch wenn sie nicht explizit in den RTS vorgeschrieben sind),
- reduzieren Sie das Risiko unautorisierter Zugriffe und Betrugsversuche,
- und demonstrieren gegenüber Kunden und Prüfern, dass Ihre PSD2-API auf Echtzeit-Compliance statt auf statischer Logik basiert.
Fazit
Wer PSD2 nicht nur formal, sondern auch in der Praxis erfüllen will, braucht mehr als gültige Zertifikate – er braucht kontinuierliche, intelligente Validierung, die technologische Sicherheit und regulatorische Konformität nahtlos vereint. Nur wer Zertifikate und regulatorischen Status gleichermaßen prüft, schützt seine PSD2-Schnittstellen wirklich – und bleibt technisch wie rechtlich auf der sicheren Seite.
