PSD2

Erweiterte Sicherheitsstandards für elektronische Zahlungen

Mit PSD2 (Payment Services Directive2) treten im europäischen Wirtschaftsraum einheitliche Standards für die Sicherheit elektronischer Zahlungen in Kraft. Mit dieser Stufe soll die Sicherheit des elektronischen Zahlungsverkehrs verbessert, die Wahlmöglichkeit für den Verbraucher erhöht und der Zahlungsverkehr innovativer gestaltet werden.

Verständlich erklärt: Starke Kundenauthentifizierung mit PSD2

Quelle: Bundesverband der Deutschen Volksbanken Raiffeisenbanken (Stand: August 2019)

Starke Kundenauthentifizierung notwendig

Erläuterung der 2-Faktor-Authentifizierung

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Zukünftig erfolgt die Legitimation im Online-Banking mit zwei verschiedenen Faktoren. Zum Beispiel per PIN und TAN. Die starke Kundenauthentifizierung wird angewendet bei zum Beispiel

  • Login im Online-Banking
  • Login in der VR-BankingApp
  • Online-Zahlungen mit der Kreditkarte
  • Abruf von Umsatzinformationen, die älter als 90 Tage sind

Was ändert sich im Online-Banking?

Änderung bei Anmeldung, Umsatzabfrage und beim Finanzmanager

Zukünftig werden Sie alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit zwei verschiedenen Faktoren auszuweisen. Nach dem gewohnten Login, ist dann die Eingabe einer TAN erforderlich. Auch beim Abruf von Umsatzinformationen sowie bei der Nutzung des Finanzmanagers, wird eine TAN abgefragt.

Ausnahmen:

  • Überweisungen eigene Konten der gleichen Bank
  • Senden von Kleinstbeträgen bis 30 Euro mit der Funktion Kwitt in der VR-BankingApp
  • Überweisungen an SB-Terminals

Was ändert sich in der VR-BankingApp?

Gerätebindung wird empfohlen

Auch in der VR-BankingApp werden Sie zukünftig alle 90 Tage beim Login und beim Umsatzabruf aufgefordert, sich mit zwei verschiedenen Faktoren auszuweisen. Nach dem gewohnten Login, ist dann die Eingabe einer TAN erforderlich. Alternativ können Sie die starke Kundenauthentifizierung durch eine Gerätebindung sicherstellen. Die Gerätebindung wird in den Einstellungen eingerichtet. Ein Hinweis beim Start der App führt Sie außerdem durch die Einrichtung.

Nutzer der Funktion Kwitt, haben bereits bei Registrierung eine Gerätebindung durchgeführt. Hier ist keine Einrichtung mehr erforderlich.

Finanzmanager

Die Nutzung des Finanzmanagers ist in der VR-BankinApp nicht mehr möglich.

Was ändert sich bei Online-Zahlungen?

Starke Kundenauthentifizierung bei Online-Zahlungen mit der Kreditkarte

Mit dem Bezahl- und Authentifizierungsverfahren Verified by Visa oder Mastercard® Identity Check™ wird die starke Kundenauthentifizierung bei Online-Zahlungen mit der Kreditkarte sichergestellt. Sie erhalten eine Nachricht mit den Transaktionsdaten und einer TAN per VR-SecureCARD App oder per SMS. Wenn die Daten richtig sind, bestätigen Sie die Zahlung durch die Eingabe der TAN während des Bezahlvorgangs im Online-Shop. Eine Registrierung für das Verfahren ist vorab unter www.sicher-online-einkaufen.de erforderlich.

Neue Zugriffsmöglichkeiten auf Kontoinformationen

Berechtigungen an Drittanbieter

Drittanbieter können mit Ihrer Beauftragung Kontoinformationen abrufen oder Zahlungen vom Girokonto auslösen. Die Berechtigung wird von Ihnen per TAN bestätigt und kann jederzeit wieder zurückgenommen werden. Mit der Zugriffsverwaltung im eBanking können Sie kontrollieren, wen Sie in den letzten 180 Tagen berechtigt haben und welche Transaktionen durch Drittanbieter in Ihrem Auftrag durchgeführt wurden.

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank eG Westrhauderfehn. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können Ihre Volksbank eG Westrhauderfehn damit beauftragen, die von ihr für alle Kunden eingerichteten Ausnahmen von der starken Kundenauthentifizierung individuell für Sie zurückzunehmen. D.h. die Sicherheitsanforderungen werden damit verschärft. Beispiel: Bietet Ihre Volksbank eG Westrhauderfehn die TAN-lose Ausführung einer Kleinbetragszahlung im Online-Banking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben. Bitte nehmen Sie zur Änderung Kontakt mit Ihrer Bank auf.

Warum muss ich beim Login im Online-Banking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD 2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre Volksbank eG Westrhauderfehn nutzt diese Ausnahmeregelung. Sie werden das erst Mal Mitte Dezember 2019 beim Login im Online-Banking dazu aufgefordert, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Warum sehe ich in der Zugriffsverwaltung im Online-Banking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im Online-Banking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

Welche Anpassungen erfolgen noch im Online-Banking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.