PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

der Gesetzgeber hat grundlegende Änderungen in Bezug auf die Sicherheit im Online-Banking beschlossen. Hieraus ergeben sich zum 11. September 2019 umfangreiche technische Anpassungen.

 

Wesentliche Neuerungen

Die wichtigsten Neuerungen im Überblick

Verständlich erklärt: Starke Kundenauthentifizierung mit PSD2

Quelle: Bundesverband der Deutschen Volksbanken Raiffeisenbanken (Stand: August 2019)

TAN-Eingabe¹ beim Login alle 90 Tage

Beim Login im Online-Banking mit Ihrem VR-NetKey oder Alias (Anmeldekennung) werden Sie zukünftig alle 90 Tage aufgefordert, neben Ihrer PIN zusätzlich eine TAN¹ einzugeben. Erstmalig ist die zusätzliche Eingabe einer TAN¹ beim Login ab dem 11. Dezember 2019 erforderlich.


¹ Die Übermittlung der TAN erfolgt über das Ihnen bekannte, seither bereits im Online-Banking (z.B. für Überweisungen) genutzte, TAN-Verfahren.

TAN-lose Zahlungen bis 30 Euro

Bei Überweisungen/Terminüberweisungen bis 30 Euro wird keine TAN mehr benötigt. Maximal sind fünf aufeinanderfolgende Zahlungen bis zu einem Gesamtbetrag von 100 Euro ohne TAN-Eingabe möglich.

TAN-Eingabe¹ bei der Anzeige von Umsätzen, die älter als 90 Tage sind

Bei der Anzeige von Umsätzen, die älter als 90 Tage sind, ist zusätzlich die Eingabe einer TAN¹ erforderlich.

¹ Die Übermittlung der TAN erfolgt über das Ihnen bekannte, seither bereits im Online-Banking (z.B. für Überweisungen) genutzte, TAN-Verfahren.

Automatische Abmeldung bereits nach fünf Minuten

Nach einer Inaktivität von fünf Minuten werden Sie automatisch vom Online-Banking abgemeldet. Um dies zu verhindern reicht eine einfache Mausbewegung nicht aus. Es muss zwingend eine Aktion mit einem Mausklick ausgeführt werden (z.B. Umsatzanzeige, Aufruf Postfach).

VR-BankingApp

Vorteile bei der Nutzung der VR-BankingApp

Bei der Nutzung der VR-BankingApp entfällt die zusätzliche TAN-Eingabe bei der Anmeldung alle 90 Tage. Dies wird durch die sogenannte Gerätebindung möglich, die Ihnen mit der neuen Version der VR-BankingApp automatisch angeboten wird. Alternativ kann die Gerätebindung in den Einstellungen der App vorgenommen werden. Zur Herstellung der Gerätebindung müssen Sie lediglich einmalig eine TAN eingeben.

Durch die Gerätebindung ist bei der parallelen Nutzung des Online-Banking mit Ihrem VR-NetKey oder Alias (Anmeldekennung) über unsere Internetseite ebenfalls keine TAN-Eingabe mehr erforderlich. Voraussetzung ist die regelmäßige Nutzung der VR-BankingApp (mindestens alle 90 Tage).

Die neue Version der VR-BankingApp wird in Kürze bereitgestellt.

Wegfall des Finanzmanager in der VR-BankingApp

Der Finanzmanager wird aus der VR-BankingApp entfernt. Durch die gesetzliche Anforderung zur TAN-Eingabe beim Abruf von Umsätzen, die älter als 90 Tage sind, kann der Finanzmanager in der neuen Version der VR-BankingApp nicht mehr angeboten werden. Im Online-Banking über unsere Internetseite steht Ihnen der Finanzmanager weiterhin in gewohnter Form zur Verfügung.

Mastercard® Identity Check™ und Visa Secure

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Visa Secure ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird Mastercard® Identity Check™ sowie Visa Secure beim Online-Shopping mit Kreditkarte verpflichtend.2

Verständlich erklärt: Starke Kundenauthentifizierung durch Mastercard® Identity Check™ und Visa Secure

Der nachfolgende Erklärfilm zeigt beispielhaft am Mastercard® Identity Check™, wie die Registrierung und die Online-Zahlungen mit Ihrer Debit- und Kreditkarte von Mastercard® oder Visa funktionieren.

Quelle: DZ BANK (Stand: Mai 2019)

Über die folgenden Links können Sie sich in wenigen Schritten für Mastercard® Identity Check™ oder Visa Secure registrieren.

Schnittstelle für Drittanbieter

Zukünftig muss eine Schnittstelle für Drittdienstleister angeboten werden.

Dazu gehören:

  • Kontoinformationsdienstleister (KID) / Account Information Service Provider (AISP)
    Diese rufen im Namen des Kunden Kontoinformationen (Salden, Umsätze, etc.) ab.
  • Zahlungsdienstleister (ZDL) / Payment Information Service Provider (PISP)
    Diese beauftragen im Namen des Kunden Zahlungsaufträge.
  • Kartenausgebende Zahlungsdienstleister / Card Bases Payment Instrument Issuer (CBPII)
    Diese fragen mit Berechtigung des Kunden die Verfügbarkeit von Beträgen bei einem Kaufvorgang an.


Erteilte Berechtigungen an Drittdienstleister können jederzeit im Online-Banking unter "Banking" --> "Service" --> "Konten und Verträge" --> "Zugriffsverwaltung" verwaltet werden.
Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen, diese sorgfältig auszuwählen.

Geschäftsbedingungen bzw. Sonderbedingungen

Neue Fassungen der Geschäftsbedingungen und Sonderbedingungen

Mit der PSD2 sind neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. In diesem Zusammenhang gelten auch bei uns neue Fassungen der mit Ihnen vereinbarten Geschäftsbedingungen zum Zahlungsverkehr. Ferner werden auch die Sonderbedingungen für die girocard (Debitkarte), für das Online-Banking sowie für die Datenfernübertragung geändert. Es handelt sich hierbei um eine gesetzlich notwendige Anpassung, die für alle Banken und Sparkassen verpflichtend ist.


Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer VR Bank Schwäbisch Hall-Crailsheim eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können Ihre VR Bank Schwäbisch Hall-Crailsheim eG damit beauftragen, die von ihr für alle Kunden eingerichteten Ausnahmen von der starken Kundenauthentifizierung individuell für Sie zurückzunehmen. D.h. die Sicherheitsanforderungen werden damit verschärft. Beispiel: Bietet Ihre VR Bank Schwäbisch Hall-Crailsheim eG die TAN-lose Ausführung einer Kleinbetragszahlung im Online-Banking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben. Bitte nehmen Sie zur Änderung Kontakt mit Ihrer Bank auf.

Warum muss ich beim Log-in im Online-Banking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD 2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre VR Bank Schwäbisch Hall-Crailsheim eG nutzt diese Ausnahmeregelung. Sie werden das erst Mal Mitte Dezember 2019 beim Log-in im Online-Banking dazu aufgefordert, sich mit Ihrem VR-NetKey bzw. Ihrer VR-Kennung und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Warum sehe ich in der Zugriffsverwaltung im Online-Banking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im Online-Banking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

Welche Anpassungen erfolgen noch im Online-Banking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.

Was ist eine starke Kundenauthentifizierung?

 

2-Faktor-Authentifizierung

Erläuterung der starken Kundenauthentifizierung

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.

 

Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei1:

  • Login zum Online-Banking,
  • einer Zahlung (gilt nicht für Lastschriften),
  • einer Aktion, die zu einem Risiko führen kann, wie zum Beispiel eine Adressänderung,
  • Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard®/Visa beim Online-Einkauf und im Geschäft,
  • weiteren Produkten der Genossenschaftlichen FinanzGruppe, zum Beispiel giropay.


Sicherheit durch die starke Kundenauthentifizierung

Wenn Sie eine Zahlung über das Online-Banking ausführen, nutzen Sie die mit Ihrer (((SP_NAME: VR Bank Schwäbisch Hall-Crailsheim eG))) vereinbarten Authentifizierungselemente, wie zum Beispiel Online-PIN und -TAN. So können wir feststellen, dass tatsächlich Sie diese Vorgänge berechtigterweise veranlasst haben. Die PSD2 erkennt diese Authentifizierungsverfahren an und regelt diese nunmehr gesetzlich. In der Regel wird bei jeder Transaktion eine starke Kundenauthentifizierung erfolgen. Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein müssen eingesetzt werden, beispielsweise eine PIN als Wissenselement oder ein Mobiltelefon als Besitzelement, an das eine TAN übermittelt wird. Wie schon bisher werden Sie beim Zugriff auf Kontoinformationen in der Regel zwei Authentifizierungselemente einsetzen: Online-PIN und -TAN. Bei Kreditkartenzahlungen im Internet werden mit der PSD2 die sicheren Bezahlverfahren Mastercard® Identity Check™ oder Visa Secure verpflichtend.

 

Ausnahmen von der starken Kundenauthentifizierung

Gemäß PSD2 besteht die Möglichkeit, in bestimmten Fällen den Einsatz nur eines Authentifizierungselements anzufordern. Die zweifache Absicherung durch eine starke Kundenauthentifizierung ist nicht nötig, wenn:

  • Sie Zahlungen an sich selbst im selben Bankinstitut vornehmen3,
  • zum Beispiel mit Kwitt Kleinstbeträge bis 30 Euro elektronisch bezahlt werden3,
  • Zahlungen an unbeaufsichtigten Terminals vorgenommen werden,
  • es um kontaktlose Kleinbetragszahlungen geht.
  1. In Ausnahmefällen muss die TAN im Sinne einer sogenannten starken Kundenauthentifizierung nur alle 90 Tage eingegeben werden, zum Beispiel bei der Anmeldung. Sprechen Sie uns an und wir schauen gemeinsam, ob eine Ausnahme möglich ist.
  2. Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger; dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Visa Secure
  3. Bei allen Volksbanken Raiffeisenbanken, die diesen Service anbieten