PSD2 und SFirm - häufige Fragen
Mit Inkrafttreten der neuen EU-Zahlungsdiensterichtlinie PSD2 gab es einige Änderungen bei der Kommunikation mit den Kreditinstituten. Dies gilt vor allem, wenn Sie das PIN/TAN-Verfahren über die HBCI/FinTS-Schnittstelle nutzen, aber auch für das EBICS-Verfahren gab es eine Anpassung.
Was ist PSD2 und was bedeutet dies für mein SFirm?
Die EU-Richtlinie "Payment Services Directive 2" (kurz "PSD2") schafft europaweit einheitliche Regelungen für den Zahlungsverkehr. Die Vorgaben der PSD2 traten am 14.09.2019 in Kraft.
Diese sollen dabei helfen, den europaweiten Wettbewerb mit der Teilnahme auch von Nichtbanken (z.B. bei einem Einkauf im Internet über einen auf der Händlerseite angebotenen Zahlungsauslösedienst) zu stärken.
Durch die Harmonisierung des Verbraucherschutzes und der Rechte und Pflichten für Zahlungsdienstleister und Nutzer sollen europaweit gleiche Wettbewerbsbedingungen geschaffen werden.
Für Sie bedeutet dies noch mehr Sicherheit und die Stärkung Ihrer Kundenrechte beim Online-Banking.
- Höhere Sicherheit durch 2-Faktor-Authentifizierung (starke Kundenauthentifizierung).
- Schnellere Zahlungen: bei einem Einkauf im Internet müssen Sie sich nicht extra in das Online-Banking Ihres Kreditinstituts einloggen. Sie können die Überweisung über einen auf der Händlerseite angebotenen Zahlungsauslösedienst beauftragen.
- Klarere Formulierung der Rückerstattungsrechte.
- Größere Transparenz.
- Durch die Nutzung eines "Kontoinformationsdienstes" haben Sie die Möglichkeit, sich für alle Zahlungskonten, die Sie bei verschiedenen Banken haben, die Kontostände und Umsätze in aufbereiteter Form anzeigen zu lassen. Damit Sie diese Services nutzen können, wird Ihre Erlaubnis und der Zugang zu Ihrem Konto benötigt. Zugang wird Drittanbietern nur gewährt, wenn Sie als Kontoinhaber explizit zustimmen.
Ohne Ihre ausdrückliche Zustimmung ändert sich nichts: es wird keine Zahlung ausgeführt und es darf kein Drittdienstleister auf Ihre Kontodaten zugreifen.
Starke Kundenauthentifizierung
Eine gesetzliche Vorgabe der PSD2 für die Kreditinstitute ist, die sog. "starke Kundenauthentifizierung" umzusetzen.
Die Abholung von Kontoinformationen (z.B. alle 90 Tage) oder die Ausführung von Zahlungen muss mit zwei verschiedenen Faktoren aus den folgenden Bereichen bestätigt werden:
- Wissen (z.B. PIN oder Kennwort)
- Besitz (z.B. TAN-Generator, Smartphone, Chipkarte)
- Inhärenz (z.B. ein biometrisches Merkmal wie ein Fingerabdruck)
Ausnahmen
Ausgenommen von der starken Kundenauthentifizierung sind beispielsweise:
- Reine Informationsabfragen ohne Anzeige sicherheitskritischer Daten (z.B. Online-Banking-Login).
- Zahlungen an vertrauenswürdige Empfänger. Diese werden durch eine sogenannte Whitelist definiert, welche Sie für sich persönlich erstellen. Dies ist z.B. über das Internet Banking der Bank möglich.
- Überweisungen innerhalb desselben Instituts an denselben Empfänger, z. B. Überträge, Umbuchungen.
Ich nutze SFirm mit dem EBICS-Verfahren.
Der Schutz vor Kennwortattacken wird verbessert, wenn Sie für Ihre elektronische Unterschrift eine Schlüsseldatei verwenden. Es ist ähnlich wie bei Ihrer EC- oder Kreditkarte, wo Sie maximal 3 x eine falsche PIN eingeben können, bevor die Karte gesperrt wird.
Ich verwende eine Schlüsseldatei für meine elektronische Unterschrift.
Sie dürfen maximal 5 x ein falsches EU-Kennwort eingeben, bevor ihr Schlüssel gesperrt wird. Bitte beachten Sie bei der EU-Kennworteingabe die Hinweise auf die Anzahl der verbleibenden Versuche. Mit der korrekten Eingabe des Kennworts wird der Fehlbedienungszähler wieder zurückgesetzt.
Wichtige Hinweise:
- Liegt eine EU-Schlüsselsperre vor, lassen Sie Ihren EBICS-Zugang bitte zunächst bei allen beteiligten Kreditinstituten zurücksetzen. Danach folgen Sie einfach den Hinweisen in den "anstehenden Aufgaben" auf der SFirm-Startseite mit dem Titel "Bitte Sperre Ihrer elektronischen Unterschrift aufheben".
- Der Versand bereits unterschriebener Aufträge oder die Abholung von Kontoinformationen sind trotz EU-Schlüsselsperre weiterhin möglich. Die Einschränkung bezieht sich nur darauf, dass Sie keine elektronische Unterschrift mehr leisten können, bis ein neuer EU-Schlüssel erzeugt, initialisiert und freigeschaltet wurde.
Ich verwende eine Chipkarte für meine elektronische Unterschrift.
Wie bisher dürfen Sie maximal 3 x eine falsche PIN eingeben, bevor ihre Chipkarte gesperrt wird.
Kontoinformationen abholen
- Bei den meisten Banken ist aus Sicherheitsgründen alle 90 Tage eine eine Freigabe notwendig, wenn Sie Kontoinformationen abholen.
- Wenn Sie Umsätze für 90 Tage oder mehr abholen, ist bei den meisten Kreditinstituten eine Freigabe notwendig.
- Einzelne Banken werden bei jeder Abholung von Kontoinformationen eine Freigabe verlangen - dies liegt im Ermessen des jeweiligen Kreditinstituts und kann softwareseitig leider nicht beeinflusst werden.
Zahlungen senden
- Beim Zahlungsversand muss sichergestellt sein, dass die Bank ein Freigabe-Verfahren anbietet, das gemäß PSD2 zulässig ist. Informationen dazu erhalten Sie beim jeweiligen Kreditinstitut.
Kontoeinrichtung & Co
- Um Browser oder Softwareprodukte als vertrauenswürdige Anwendungen zu registrieren, ist eine Freigabe über die pushTAN-App oder ggf. eine TAN-Eingabe erforderlich.
- Einzelne Banken werden bei der Kontoeinrichtung oder weiterer Kommunikation mit dem Banksystem eine Freigabe fordern - dies liegt im Ermessen des jeweiligen Kreditinstituts und kann softwareseitig leider nicht beeinflusst werden.
Wenn SFirm erkennt, dass für automatische Abholaufträge (z.B. im Rundruf) eine Fregabe nötig ist (z.B. alle 90 Tage), werden derartige Aufträge gestoppt. Es wird eine Aufgabe angezeigt, die betroffene Zugänge zu synchronisieren um den Auftragsstopp aufzuheben. Dafür ist die Eingabe von PIN und und eine Freigabe nötig. Danach können Sie Ihre automatischen Abholaufträge (z.B. den Rundruf) wie gewohnt weiter nutzen, bis das nächste Mal eine Freigabe nötig ist (z.B. nach weiteren 90 Tagen).
Die PSD2-Schnittstelle (oder auch XS2A-Schnittstelle genannt), auf die einige Kreditinstitute verweisen, ist keine Schnittstelle für Banking- und Finanzmanagement-Software wie SFirm. Sie dient hingegen Drittanbietern wie externen Finanzdienstleistern dazu, nach Ihrer Genehmigung über diese Schnittstelle auf Daten Ihrer Konten zugreifen zu können.
- Als "Zahlungsauslösedienstleister" können derartige Anbieter in Ihrem Auftrag Zahlungen initiieren.
- Als "Kontoinformationsdienstleister" können derartige Anbieter in Ihrem Auftrag Kontoumsätze abfragen und Ihnen zur Verfügung stellen.
- Als "Dienstleister zur Ausstellung von Zahlungsinstrumenten" können Deckungsanfragen vorgenommen werden.
Als Kunde haben Sie die volle Kontrolle. Sie müssen diese Zugriffe im Voraus gestatten und können diese jederzeit über Ihr Kreditinstitut einsehen und auch wieder entziehen.
Eine Unterstützung dieser PSD2-Schnittstelle in SFirm ist nicht vorgesehen, da die bisherigen standardisierten HBCI/FinTS- und EBICS-Schnittstellen weiterhin bestehen und den Bedarf der Nutzer vollständig abdecken. Zudem ist SFirm bzw. die Star Finanz GmbH als Softwarehersteller kein Zahlungsauslösedienstleister, Kontoinformationsdienstleister oder Dienstleister zur Ausstellung von Zahlungsinstrumenten. Nur von einem solchen Drittdienstleister kann eine PSD2-Schnittstelle genutzt werden.