PSD2 - Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Wesentliche Neuerungen
Die wichtigsten Neuerungen im Überblick
• Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen.
• Sie können Drittanbieter berechtigen, vor Ihrer Kartenzahlung die Verfügbarkeit des Kaufbetrages bei Ihrer Bank anzufragen.
• Zukünftig müssen Sie sich beim Login im Online-Banking, in der VR-BankingApp oder beim Online-Shopping mit Kreditkarte sowie bei Zahlungen und beim Abruf von Umsatzinformationen in der Regel mit zwei voneinander unabhängigen Faktoren im Sinne einer sogenannten starken Kundenauthentifizierung legitimieren.
• Mastercard® Identity Check™ und Verified by Visa (zukünftig Visa Secure) werden im Europäischen Wirtschaftsraum beim Online-Shopping mit der Kreditkarte verpflichtend.
Änderungen durch die PSD2
Online-Banking
Änderung bei Anmeldung, Umsatzabfrage und beim Finanzmanager
Zukünftig werden Online-Banking Nutzer mindestens alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit ihrem VR-NetKey bzw. ihrem Alias und Ihrem Kennwort beziehungsweise ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen (älter 90-Tage) trifft dies ebenso zu. Gegebenenfalls können bankindividuelle Voreinstellungen beziehungsweise Ausnahmen vorliegen, die individuell in den Einstellungen geändert werden können.
Bei der Anmeldung in der VR-BankingApp entfällt die Eingabe einer TAN, da durch die sogenannte Gerätebindung eine starke Kundenauthentifizierung erreicht wird. Zur Herstellung der Gerätebindung muss einmalig eine TAN eingeben werden. Mit der neuen Version der VR-BankingApp, die voraussichtlich Anfang September 2019 veröffentlicht wird, wird ein entsprechender Hinweis zur Einrichtung der Gerätebindung angezeigt. Alternativ kann dieses auch in den Einstellungen der VR-BankingApp eingerichtet werden. Wer bereits die Funktion Kwitt nutzt, bei dem ist die Gerätebindung bereits erfolgt. Sollte man die Gerätebindung nicht eingerichtet haben, muss beim Login zusätzlich eine TAN eingeben werden. Man kann dann auch nur noch die Umsatzdaten der letzten 90 Tage einsehen. Zudem steht der Finanzmanager in der App generell nicht mehr zur Verfügung.
Mastercard® Identity Check™ und Verified by Visa
Änderung beim Online-Shopping mit Kreditkarte
Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) beim Online-Shopping mit Kreditkarte verpflichtend.
Zugriff auf Ihr Girokonto oder Geschäftskonto über Drittanbieter
Bankkunden können auf ihr Girokonto oder Geschäftskonto auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von ihnen ausgewählten sonstigen Drittanbietern zugreifen. Ihre Einwilligung vorausgesetzt, dürfen diese für den Kontoinhaber über eine sogenannte „Kontenschnittstelle für Dritte Zahlungsdienstleister“ Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel vom Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen die Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem vom Kontoinhaber ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwendet werden. Mit der Zugriffsverwaltung im Online-Banking kann man sehen, welche Drittanbieter berechtigt wurden. Dort können Zugriffsberechtigungen auch wieder entzogen werden. Sofern sonstige Drittanbieter genutzt werden, empfiehlt die Volksbank, diese sorgfältig auszuwählen. Nutzer des Online-Banking werden mindestens alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit ihrem VR-NetKey beziehungsweise ihrem Alias und ihrem Kennwort beziehungsweise ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen (älter 90-Tage) trifft dies ebenso zu. Gegebenenfalls können bankindividuelle Voreinstellungen beziehungsweise Ausnahmen vorliegen. Diese von ihrer Bank getroffenen Einstellungen können individuell geändert werden.
Erläuterungen zu Zugriffen von dritten Zahlungsdienstleistern
Drittanbieter als Zahlungsdienstleister
Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der - ihre Einwilligung vorausgesetzt - einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung (PIN & TAN) abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.
Drittanbieter als Kontoinformationsdienstleister
Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister beziehungsweise einer anderen Bank oder bei mehreren Zahlungsdienstleistern beziehungsweise mehreren Banken haben. Dieser gibt ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.
Drittanbieter als kartenausgebende Zahlungsdienstleister
Mit ihrer girocard (Debitkarte) und Kreditkarte verfügen die Kunden bereits über Zahlungsmittel mit Zugriff auf ihr Konto. Zukünftig werden sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei ihrer Bank anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im Online-Banking die Erlaubnis erteilen, und zwar unter „Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen“.
Zugriffsverwaltung im Online-Banking: Drittanbieter steuern
Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit ihrer vorherigen Zustimmung auf ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn sie die vom Drittanbieter bei ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung (Eingabe von PIN & TAN) bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer Bank legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.
Mit der Zugriffsverwaltung im Online-Banking im Bereich „Service > Konten und Verträge > Zugriffsverwaltung“ können Sie jederzeit kontrollieren, welchen Drittanbieter sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:
Verfügbarkeitsabfragen, Kontoinformationsabfragen und Zahlungsauslösungen.
Strukturierung der Zugriffsverwaltung
In diesem Bereich im Online-Banking sehen sie, welche Berechtigungen sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.
Kontoauswahl
Hier wählen die Kunden aus, für welches Zahlungskonto Informationen angezeigt werden sollen. Wenn zu dem Konto keine Berechtigungen erteilt worden sind, wird nur die Möglichkeit „Neue Berechtigung erteilen“ angeboten.
Bereich unterhalb der Kontoauswahl
Hier sehen die Kunden, für welche kartenausgebenden Zahlungsdienstleister Berechtigungen erteilt wurden. Mit Klick auf „+“ können sie sich weitere Informationen anzeigen lassen oder Berechtigungen sperren.
Neue Berechtigungen erteilen
Unterhalb der Kontoauswahl steht ihnen die Möglichkeit zur Verfügung, einem dritten Zahlungsdienstleister die Abfrage zu erlauben, ob ein bestimmter Betrag auf ihrem Konto verfügbar ist. Die Anzahl der Abfragen ist unbeschränkt.
2-Faktor-Authentifizierung
Erläuterung der starken Kundenauthentifizierung
Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren „ausweisen“ müssen:
• „Wissenselemente“: etwas, das nur sie wissen, wie zum Beispiel eine PIN
• „Besitzelemente“: etwas, das nur sie besitzen, wie zum Beispiel ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
• ein „Seinselement“ („Inhärenz“), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.
Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei:
• Login zum Online-Banking,
• einer Zahlung,
• einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung,
• Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard®/Visa beim Online-Einkauf und im Geschäft,
Gemäß PSD2 besteht die Möglichkeit, in bestimmten Fällen den Einsatz nur eines Authentifizierungselements anzufordern. Die zweifache Absicherung durch eine starke Kundenauthentifizierung ist nicht nötig, wenn:
• Zahlungen an sich selbst im selben Bankinstitut
• Zahlungen mit Kwitt bis 30 Euro,
• Zahlungen an unbeaufsichtigten Terminals vorgenommen werden,
• es um kontaktlose Kleinbetragszahlungen geht.