Für jeden Fintech- oder Finanzdienstleister ist die Welt der Fernidentifizierung für AML-KYC wie ein Dschungel voller neuer, verwirrender Wege. Das Thema ist tiefgreifend und betrifft jeden, von der Unternehmensleitung bis hin zu Produktmanagern und Entwicklern. Außerdem sind die Vorschriften in den einzelnen Mitgliedstaaten unterschiedlich, was zu Doppelstandards im internationalen Wettbewerb führt.
Der Aufbau benutzerfreundlicher Remote-Dienste ist schwierig, aber Lösungen entstehen in diesem Moment. Um dies zu verdeutlichen, stellen wir hier fünf wichtige Trends vor, die die Zukunft der Fernidentifizierung bestimmen.
1. Das Ende der Do-it-yourself-Identifizierung
Nach Ansicht der EU weisen Fernidentifizierung, -signatur und -authentifizierung einen klaren Weg in Richtung der künftigen digitalen EU. Sie würden den freien Verkehr von Waren und Dienstleistungen zwischen den Mitgliedstaaten ermöglichen. Dennoch gibt es in diesem Bereich derzeit noch viele Herausforderungen. Zum einen fehlen uns klare, einheitliche Leitlinien für die Entwicklung dieser Instrumente. Ein weiteres Problem ist der Aufbau von digitalem Vertrauen in unserer Gesellschaft. Ohne klare Vorschriften für das Vertrauen an den Grenzen, die Validierung von Unterschriften, den Schutz personenbezogener Daten, die Informationssicherheit und die Aufsicht wird dies nicht gelingen.
Die EU hat mit der eIDAS-Verordnung Maßnahmen ergriffen, die sich auf zugelassene Vertrauensdiensteanbieter auswirken. Sie legt die Haftung in ihre Hände und stellt sicher, dass sie Hand in Hand mit der Regulierung, der Gesetzgebung und den europäischen Standards gehen. Und das ist eine gute Nachricht für Sie. Dieses System garantiert weniger Risiko, weniger Haftung und eine wettbewerbsfähige Anzahl von Angeboten.
2. Keine Ad-hoc-E-Signaturen mehr
Wenn es um die Qualität von E-Signaturen geht, kommen viele Variablen ins Spiel. Eine davon ist die Qualität der Fernidentifizierung. Sie hängt auch von der Verbindung zwischen der Identifizierung und der Methode zur Erstellung einer Signatur ab. Der letzte Punkt auf dieser Liste ist der Umfang der Kontrolle, die der Benutzer über seine Signatur hat.
Zum jetzigen Zeitpunkt sind die meisten elektronischen Signaturen entweder grundlegend (überhaupt keine Anforderungen) oder fortgeschritten (spezifische Anforderungen im Rahmen von eIDAS). Aber auch bei fortgeschrittenen Signaturen gibt es Grauzonen. Dazu gehören lockere gemeinsame Standards, schwache Mechanismen zur Validierung für vertrauende Parteien und eine unzureichende Aufsicht. Infolgedessen reichen die Angebote für elektronische Signaturen von BankID-ähnlichen Produkten bis hin zur Identifizierung per E-Mail und Unterschrift per Knopfdruck. Und für einen Käufer, der nur eine zuverlässige fortgeschrittene Signatur sucht, ist das eine schwierige Entscheidung.
Heute sind die Grenzkosten für eine qualifizierte Signatur (die höchste, sicherste und EU-konforme Signatur) gering. Und das dank der neuesten Entwicklungen in der Computer- und Mobiltechnologie. Außerdem wird die Messlatte für die Benutzerfreundlichkeit niedriger gelegt, was einen guten Kompromiss darstellt.
3. eIDAS Qualified Level = Konforme Kunden-Due-Diligence
Die undeutlichen Grenzen, die die Fernidentifizierung umgeben, sind nicht nur verwirrend, sondern auch ablenkend. Aber es gibt eine Sache, die viele Anwender (besonders in der EU) nicht wissen. Die eIDAS-Vertrauensdienste ersetzen die Notwendigkeit einer speziellen CDD-Gesetzgebung.
Gegenwärtig haben alle Mitgliedstaaten noch ihre eigenen Gesetze zur Bekämpfung von Geldwäsche. Dennoch sind harmonisierte Geldwäscherichtlinien auf dem Weg, sie zu ersetzen. In der Tat war es eIDAS, dem alle Mitgliedstaaten bei der Einführung der qualifizierten Signatur zur Fernidentifizierung vertrauten. Eine harmonische Zukunft des KYC ist bereits in Sicht! Sie umfasst qualifizierte eIDAS-Signaturen und verschiedene Stufen nationaler eIDs.
Wenn man sieht, was bereits überall in der EU geschieht, ist eines klar: QeS ist die Zukunft. Es ist eine 2-in-1-Lösung:
- Eine konforme, grenzübergreifende Identifizierungsmethode, die CDD und hochsichere elektronische Signaturen unterstützt.
- Sicheres und zuverlässiges Mittel für Transaktionen und starke Authentifizierung.
4. Video wird in 2-3 Jahren verschwinden
In den meisten EU-Mitgliedstaaten gibt es keine technologiespezifischen Rechtsvorschriften. Stattdessen verlassen sie sich auf die nächstliegende Alternative zu physischen Treffen - Videokonferenzen. Und ohne gemeinsame Regeln für das Verfahren führt die Debatte ins Leere.
Ein solches Beispiel ist Deutschland. Die Finanzaufsichtsbehörde Bafin hat ihre eigene Vorstellung davon, was für die Fernidentifizierung akzeptabel ist. Auf der anderen Seite steht die Bundesnetzagentur, ein Netz-/Telekommunikationsgesetzgeber, der eine andere Agenda verfolgt. Beide Gesetzgeber haben das gleiche Ziel, aber sie verwenden unterschiedliche Mittel, um es zu erreichen. Das ergibt doch keinen Sinn, oder?
Wie die jüngsten Trends zeigen, wird sich das bald ändern.
Eines ist sicher: Video ist ein Konversionsstopper. Es ist aufdringlich, zeitaufwändig und einfach veraltet. Anbieter, die synchrone Videokonferenzen anbieten, stehen vor endlosen Terminproblemen und Verzögerungen. Auf der Nutzerseite kommen noch Verbindungsprobleme und verwirrende Anweisungen hinzu, die von Anbieter zu Anbieter variieren.
Es ist an der Zeit, dass die Mitgliedstaaten moderne Fernidentifikationssysteme aufbauen, auf die sich die Gesetzgeber verlassen können. Das französische PVID ist ein gutes Beispiel dafür. Es ist das erste (fast) gemeinsame Zertifizierungssystem, das von einem Mitgliedsstaat initiiert wurde. Es setzt einen klaren Standard, auf den sich Diensteanbieter verlassen können, schafft gleiche Wettbewerbsbedingungen und setzt die Messlatte für Sicherheit und Konsistenz hoch.
5. Manuelle Überprüfung ist die Zukunft
Die Abkehr von der Video-Identifizierung bedeutet nicht die vollständige Automatisierung. Schauen wir uns an, warum das nicht funktionieren wird.
Die Bundesnetzagentur hat letztes Jahr die Auto-Ident-Verordnung veröffentlicht (im Rahmen der VDG-Vorschrift "Innovative Methoden"). Sie erlaubte die Feststellung der physischen Anwesenheit und der Identität nur mit Maschinen. Der Haken an der Sache: Um die statistischen Anforderungen zu erfüllen, brauchen die Diensteanbieter eine große Menge an Daten. Dies ist eine harte Anforderung, was bedeutet, dass nur sehr wenige Innovatoren ein vollautomatisches Verfahren liefern können. Ein weiteres Problem ist, dass keine kryptografischen ID-Dokumente (RFID/NFC-fähig) verarbeitet werden können. Nicht zuletzt werden die Identifizierungsanbieter gezwungen, die Identifizierungsdaten (15-Sekunden-Livestream) "für alle Zukunft" zu speichern. Das entspricht kaum den Grundsätzen der GDPR, wie wir sie kennen.
Die endgültige Entscheidung darüber, wer ein qualifiziertes Zertifikat erhält (und wer nicht), ist schwierig. Es ist auch riskant, der Maschine die 100%ige Kontrolle über diese Entscheidungen zu geben. Daher schaffen die Anbieter von Vertrauensdiensten ein Gleichgewicht zwischen Sicherheit und Innovation, indem sie beides in einem benutzerfreundlichen Prozess kombinieren. Für uns bedeutet dies eine manuelle Überprüfung - ein zusätzlicher Schritt am Ende des Registrierungsprozesses. Unser Team bestätigt die Identität der Nutzer, indem es das Bild der Handykamera mit dem Ausweis und anderen Informationen vergleicht, die während des Registrierungsprozesses gesammelt wurden.
Die manuelle Komponente ist auch bei PVID ein Muss.
Aus diesem Grund ist der Einsatz eines starken Vertrauensdienstanbieters eine gute Wahl für jeden aufstrebenden Finanzdienstleister.
Mehr Infos:
.svg "ZealiD Logo New (1)"){kind=small}
