- Sichere Zahlungen und mehr Wettbewerb
- Innovative Zahlungsdienstleistungen
- Stärkerer Verbraucherschutz
PSD2
Einheitliche Standards für die Sicherheit elektronischer Zahlungen
Am 14. September 2019 wird die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit wird das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.
Wesentliche Neuerungen
Die wichtigsten Neuerungen im Überblick
- Sie können berechtigte Drittanbieter beauftragen, für Sie Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen.
- Sie können Drittanbieter berechtigen, vor Ihrer Kartenzahlung die Verfügbarkeit des Kaufbetrages bei Ihrer VR Bank Mittlere Oberpfalz eG anzufragen.
- Zukünftig müssen Sie sich beim Login im Online-Banking, in der VR-BankingApp oder beim Online-Shopping mit Kreditkarte sowie bei Zahlungen und beim Abruf von Umsatzinformationen in der Regel mit zwei voneinander unabhängigen Faktoren im Sinne einer sogenannten starken Kundenauthentifizierung legitimieren.1
- Mastercard® Identity Check™ und Verified by Visa (zukünftig Visa Secure) werden im Europäischen Wirtschaftsraum beim Online-Shopping mit der Kreditkarte verpflichtend.
Verständlich erklärt: Drittanbieter
Im Abschnitt "Drittanbieter" erklären wir, was Drittanbieter – sogenannte Third Party Provider (TPPs) – sind, wie diese über Schnittstellen Zugang zu Ihrem Konto erhalten und wie Sie selbst diesen Zugriff durch Drittanbieter steuern können.
Verständlich erklärt: Starke Kundenauthentifizierung im Online-Banking und in der VR-BankingApp
Durch die PSD2 müssen Sie sich beim Zugriff auf Ihr Konto oder beispielsweise bei einer Überweisung mit zwei voneinander unabhängigen Faktoren legitimieren, also Ihre Identität beweisen. Diese Form der Legitimation nennt man "starke Kundenauthentifizierung". Worum es hierbei geht und wie es funktioniert, zeigen wir Ihnen im Abschnitt "Starke Kundenauthentifizierung“.
Verständlich erklärt: Starke Kundenauthentifizierung durch Mastercard® Identity Check™ und Verified by Visa
Der nachfolgende Erklärfilm zeigt beispielhaft am Mastercard® Identity Check™, wie die Registrierung und die Online-Zahlungen mit Ihrer Debit- und Kreditkarte von Mastercard® oder Visa funktionieren.
Quelle: DZ BANK (Stand: Mai 2019)
Interview zu den wichtigsten Neuerungen: Matthias Hönisch, Experte für Zahlungsverkehr der Volksbanken Raiffeisenbanken
Zugriffe von dritten Zahlungsdienstleistern
Neu: Nutzung des Online-Bankings und der VR-BankingApp über Drittanbieter
Sie können das Online-Banking und die VR-BankingApp auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern nutzen. Ihre Einwilligung vorausgesetzt dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwenden. Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen diese sorgfältig auszuwählen.
Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.
Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsatze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.
Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von Transportunternehmen wie der Deutschen Bahn oder Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei Ihrer VR Bank Mittlere Oberpfalz eG anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im Online-Banking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".
Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer VR Bank Mittlere Oberpfalz eG legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.
Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:
- Verfügbarkeitsabfragen,
- Kontoinformationsabfragen und
- Zahlungsauslösungen.
In diesem Bereich im Online-Banking sehen Sie, welche Berechtigungen Sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.
Kontoauswahl | Hier wählen Sie aus, für welches Zahlungskonto Informationen angezeigt werden sollen. Wenn zu dem Konto keine Berechtigungen erteilt worden sind, wird nur die Möglichkeit "Neue Berechtigung erteilen" angeboten. |
Bereich unterhalb der Kontoauswahl | Hier sehen Sie, für welche kartenausgebenden Zahlungsdienstleister Berechtigungen erteilt wurden. Mit Klick auf "+" können Sie sich weitere Informationen anzeigen lassen oder Berechtigungen sperren. |
Neue Berechtigungen erteilen | Unterhalb der Kontoauswahl steht Ihnen die Möglichkeit zur Verfügung, einem dritten Zahlungsdienstleister die Abfrage zu erlauben, ob ein bestimmter Betrag auf Ihrem Konto verfügbar ist. Die Anzahl der Abfragen ist unbeschränkt. |
2-Faktor-Authentifizierung
Erläuterung der starken Kundenauthentifizierung
Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:
- "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
- "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
- ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.
Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei1:
- Login zum Online-Banking,
- einer Zahlung (gilt nicht für Lastschriften),
- einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung,
- Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard®/Visa beim Online-Einkauf und im Geschäft,
- weiteren Produkten der Genossenschaftlichen FinanzGruppe, zum Beispiel giropay.
Sicherheit durch die starke Kundenauthentifizierung
Wenn Sie eine Zahlung über das Online-Banking ausführen, nutzen Sie die mit Ihrer VR Bank Mittlere Oberpfalz eG vereinbarten Authentifizierungselemente, wie zum Beispiel Online-PIN und -TAN. So können wir feststellen, dass tatsächlich Sie diese Vorgänge berechtigterweise veranlasst haben. Die PSD2 erkennt diese Authentifizierungsverfahren an und regelt diese nunmehr gesetzlich. In der Regel wird bei jeder Transaktion eine starke Kundenauthentifizierung erfolgen. Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein müssen eingesetzt werden, beispielsweise eine PIN als Wissenselement oder ein Mobiltelefon als Besitzelement, an das eine TAN übermittelt wird. Wie schon bisher werden Sie beim Zugriff auf Kontoinformationen in der Regel zwei Authentifizierungselemente einsetzen: Online-PIN und -TAN. Bei Kreditkartenzahlungen im Internet werden mit der PSD2 die sicheren Bezahlverfahren Mastercard® Identity Check™ oder Verified by Visa verpflichtend.
Änderungen durch die PSD2
Änderung bei Anmeldung, Umsatzabfrage und beim Finanzmanager
Zukünftig werden Sie mindestens alle 90 Tage beim Login im Online-Banking aufgefordert, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen trifft dies ebenso zu. Gegebenenfalls können bankindividuelle Voreinstellungen bzw. Ausnahmen vorliegen. Sie können die von Ihrer VR Bank Mittlere Oberpfalz eG getroffenen Einstellungen auch selbst ändern.1
Den Finanzmanager, das digitale Haushaltsbuch, können Sie zukünftig grundsätzlich nur mit einer starken Kundenauthentifizierung öffnen, zum Beispiel durch Eingabe einer TAN. Danach sind alle Daten im Finanzmanager ohne weitere TAN-Eingabe verfügbar, auch weit zurückliegende Umsatzinformationen.
Anmeldung bzw. Gerätebindung sowie Finanzmanager
Bei der Anmeldung in der VR-BankingApp entfällt die Eingabe einer TAN, da durch die sogenannte Gerätebindung eine starke Kundenauthentifizierung erreicht wird. Zur Herstellung der Gerätebindung müssen Sie einmalig eine TAN eingeben. Mit der neuen Version der VR-BankingApp, die voraussichtlich im August 2019 veröffentlicht wird, wird Ihnen ein entsprechender Hinweis zur Einrichtung der Gerätebindung angezeigt. Alternativ können Sie dies auch in den Einstellungen der VR-BankingApp einrichten. Sollten Sie bereits die Funktionen Kwitt oder VR-mobileCash nutzen, ist die Gerätebindung bereits erfolgt. Sollten Sie die Gerätebindung nicht eingerichtet haben, müssen Sie beim Login zusätzlich eine TAN eingeben. Sie können dann auch nur noch die Umsatzdaten der letzten 90 Tage einsehen. Zudem steht Ihnen der Finanzmanager in der App generell nicht mehr zur Verfügung.
Änderung beim Online-Shopping mit Kreditkarte
Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird beim Online-Shopping mit Kreditkarte Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) verpflichtend.3 Über die folgenden Links können Sie sich in wenigen Schritten hierfür registrieren.
Neue Fassungen der Geschäftsbedingungen und Sonderbedingungen
Mit der PSD2 sind neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. In diesem Zusammenhang gelten auch bei uns neue Fassungen der mit Ihnen vereinbarten Geschäftsbedingungen zum Zahlungsverkehr. Ferner werden auch die Sonderbedingungen für die girocard (Debitkarte), für die VR-ServiceCard (Debitkarte), für das Online-Banking sowie für die Datenfernübertragung geändert. Es handelt sich hierbei um eine gesetzlich notwendige Anpassung, die für alle Banken und Sparkassen verpflichtend ist.
Ausnahmen von der starken Kundenauthentifizierung
Gemäß PSD2 besteht die Möglichkeit, in bestimmtem Fällen den Einsatz nur eines Authentifizierungselements anzufordern. Die zweifache Absicherung durch eine starke Kundenauthentifizierung ist nicht nötig, wenn:
- Sie Zahlungen an sich selbst im selben Bankinstitut vornehmen2,
- zum Beispiel mit Kwitt Kleinstbeträge bis 30 Euro elektronisch bezahlt werden2,
- Zahlungen an unbeaufsichtigten Terminals vorgenommen werden,
- es um kontaktlose Kleinbetragszahlungen geht.
Sicherheit von Zahlungen im Internet wird weiter erhöht
Wir legen großen Wert darauf, dass Ihr Online-Banking, Ihre VR-BankingApp sowie Kartenzahlungen auf höchstem Sicherheitsniveau erfolgt. Die von uns angebotenen TAN-Verfahren erfüllen bereits heute die aktuellen Sicherheitsanforderungen.
Zudem werden die durch Sie beauftragten Überweisungen mittels eines Sicherheitssystems, ein sogenanntes Fraud-Detection-System bewertet und geprüft. Dadurch können beispielsweise Abweichungen und Unstimmigkeiten festgestellt werden. Sollte hierbei der Verdacht eines Betruges aufkommen, werden weitere Prüfungen durch Ihre VR Bank Mittlere Oberpfalz eG eingeleitet. Gegebenenfalls kann es dann zur direkten Ablehnung einer betrugsverdächtigen Überweisung kommen.
Häufige Fragen zur PSD2
Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer VR Bank Mittlere Oberpfalz eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.
Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.
Sie können nur im Online-Banking die von Ihrer VR Bank Mittlere Oberpfalz eG eingerichtete starke Kundenauthentifizierung übersteuern bzw. verschärfen. Beispiel: Bietet Ihre Bank die TAN-lose Ausführung einer Kleinbetragszahlung im Online-Banking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben.
Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als 5 Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.
Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 15 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.
Das könnte Sie auch interessieren
- In Ausnahmefällen muss die TAN im Sinne einer sogenannten starken Kundenauthentifizierung nur alle 90 Tage eingegeben werden, zum Beispiel bei der Anmeldung. Sprechen Sie uns an und wir schauen gemeinsam, ob eine Ausnahme möglich ist.
- Bei allen Volksbanken Raiffeisenbanken, die diesen Service anbieten.
- Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger, dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Verified by Visa.