PSD2 (Payment Services Directive 2)

©nevarpp

Aus aktuellem Anlass:

Was Sie über die neue Richtlinie wissen sollten

Seit dem 13. Januar 2018 gilt die EU-Zahlungsdienste-Richtlinie PSD2 (Payment Services Directive 2). Deutschland hat die Richtlinie im Januar 2018 mit dem neuen Zahlungsdiensteaufsichtsgesetz (ZAG) in nationales Recht umgesetzt. Die Vorgaben des ZAG sind wiederum bis zum 14. September 2019 umzusetzen. Die PSD2 verpflichtet Banken, durch die Einrichtung von Schnittstellen, Nichtbanken Zugriff auf Kontodaten ihrer Kunden zu ermöglichen. Wenn der Kunde dies möchte und aktiv einwilligt, können durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zertifizierte Drittanbieter auf Grundlage der PSD2 Kontoinformationen abfragen oder Zahlungen auslösen. Ziel der PSD2 ist es, den Zahlungsverkehr innerhalb der EU für Verbraucher bequemer und sicherer zu machen. Gleichzeitig soll der Wettbewerb gefördert werden.

Ab 14. September 2019 gelten auf Grundlage der PSD2 neue Vorgaben zur "starken Kundenauthentifizierung". Beim Zugriff auf Informationen zum Konto mittels Online-Banking muss sich der Kunde ab diesem Zeitpunkt grundsätzlich mit zwei sogenannten "Faktoren" authentifizieren. Auch Kartenzahlungen, die im Internet durchgeführt werden, müssen künftig ebenfalls mit zwei Faktoren freigegeben werden. Diese Faktoren müssen zwingend aus den drei Kategorien Wissen, Besitz und Inhärenz stammen. Für Wissen steht bspw. ein Passwort, für Besitz das Smartphone oder ein TAN-Generator etc., die die Transaktionsnummer (TAN) zuliefern. Für Inhärenz stehen Elemente, die dem Nutzer persönlich oder körperlich zu eigen sind, wie bspw. sein Fingerabdruck.

Weiterhin wird mit der PSD2 die Transaktionsbindung bei Zahlungsauslösungen verpflichtend. Eine generierte "TAN" ist somit jeweils nur für die ausgelöste Transaktion nutzbar. Bisherige iTAN-Listen und andere statische Verfahren, bei der die TAN bereits im Vorfeld bekannt ist und nicht speziell für die Zahlung generiert wird, sind für die Freigabe von Zahlungen nicht länger zulässig.

Beim Zugriff auf das Online-Banking-Konto kommt die „starke Kundenauthentifizierung“ ebenfalls zum Einsatz. Um zum Beispiel online den Kontostand abzurufen, muss der Kunde künftig zusätzlich zu seinem Benutzernamen und seinem Passwort einen weiteren Beweis seiner Identität eingeben. Dies kann beispielsweise eine TAN sein. Inwiefern diese TAN jedes Mal oder nur alle 90 Tage abgefragt wird, legt jedes Kreditinstitut individuell fest.

Muss ich mich auch bei Verwendung einer HBCI-Chipkarte oder einer Sicherheitsdatei stark authentifizieren?

Die neue Zahlungsverkehrsrichtlinie PSD2 bringt eine Neuerung, die Kunden betrifft, die ihren Zahlungsverkehr über HBCI mit Sicherheitsdatei (USB-Stick mit Schlüsseldatei) regeln. Die neue EU-Richtlinie stellt erhöhte Anforderungen an die Freigabe von Zahlungsaufträgen im Internet. Diese Anforderung erfüllt das HBCI Software-Verfahren nicht mehr.

Weitere Informationen erhalten Sie bei Ihrem Ansprechpartner (z.B. in der Electronic Banking Abteilung) Ihrer Bank.

Kommt es zu Einschränkungen beim HBCI PIN/TAN-Verfahren?

Die PSD2 schreibt vor, dass dritte Zahlungsdienstleister und Banken für den Datenaustausch eine neue Schnittstelle, die sogenannte XS2A-Schnittstelle, nutzen müssen. Dies kann für Sie zu Einschränkungen bei der Nutzung von HBCI PIN/TAN führen. Die Einschränkungen sind zum Teil bankenabhängig. Was bedeutet, einige Banken bieten bestimmte Funktionen weiterhin an, andere nicht.

Bitte fragen Sie Ihre Ansprechpartner zum technischen Zahlungsverkehr in Ihrer Bank, ob und bis wann die betroffenen Funktionen von Ihrer Bank für Drittanbieter bzw. über eine Drittanbieter-Schnittstelle (XS2A-Schnittstelle) noch angeboten werden.

Auswirkungen auf Produkte der Star Finanz

StarMoney:

Für Ihr StarMoney bedeutet die PSD2 und die Starke Kundenauthentifizierung, dass Sie sich häufiger als bisher mit einer TAN authentifizieren müssen.

War es in der Vergangenheit so, dass eine TAN-Eingabe nur bei der Durchführung einer Transaktion (z.B. einer Überweisung) notwendig war, werden Sie nun in regelmäßigen Abständen schon beim Einrichten eines neuen Kontos sowie beim Abfragen Ihrer Kontenstände und Umsätze neben einer PIN (die schon immer erforderlich war) auch eine TAN eingeben müssen!

Dabei obliegt das Intervall, in dem Sie eine TAN eingeben müssen, Ihrer Bank. Bei manchen Banken werden Sie bei jeder Konten- oder Umsatzabfrage eine TAN eingeben müssen, bei manchen Banken nur einmal innerhalb von 90 Tagen.

Ab wann muss ich die Starke Kundenauthentifizierung in StarMoney durchführen?

Die Starke Kundenauthentifizierung wird ab dem 14. September 2019 zur Pflicht. Das bedeutet, dass Sie sich spätestens ab dann immer wieder mit PIN und TAN authentifizieren müssen. Einige Banken werden die Starke Kundenauthentifizierung jedoch schon früher einführen. Bitte wenden Sie daher an Ihren Ansprechpartner zum technischen Zahlungsverkehr in Ihrer Bank.

Aufgrund der PSD2-Richtlinie müssen auf Seiten von Banken und Sparkassen technische Umstellungen vorgenommen werden. StarMoney Versionen, die sich nicht mehr im Support befinden (StarMoney 9 und älter, StarMoney 10, StarMoney Plus und StarMoney Business 7 und älter), können die hierfür notwendigen neuen technischen Anforderungen leider nicht abbilden. Es empfiehlt sich daher zeitnah ein Umstieg auf eine aktuelle Version unter www.starmoney.de.

SFirm:

Version 3.2 (ab Patch 23, Featurepack 3) und SFirm 4.0 (ab Patch 20, Featurepack 1) unterstützen PSD2. Ältere Versionen (SFirm 3.1 und älter) können die PSD2-Anforderungen leider nicht abbilden. Wir empfehlen zeitnah ein Update auf eine aktuelle Version. Alle Informationen unter sfirm.de.

 

Bildnachweis: Titelbild ©nevarpp (istockphoto.com)