PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Am 14. September 2019 wird die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Wesentliche Neuerungen

Die wichtigsten Neuerungen im Überblick

  • Zukünftig müssen Sie sich beim Log-in im Online-Banking, in der VR-BankingApp oder beim Online-Shopping mit Kreditkarte sowie bei Zahlungen und beim Abruf von Umsatzinformationen in der Regel mit zwei voneinander unabhängigen Faktoren im Sinne einer sogenannten starken Kundenauthentifizierung legitimieren.1
  • Mastercard® Identity Check™ und Visa Secure werden im Europäischen Wirtschaftsraum beim Online-Shopping mit der Kreditkarte verpflichtend.

Verständlich erklärt: Starke Kundenauthentifizierung mit PSD2

Quelle: Bundesverband der Deutschen Volksbanken Raiffeisenbanken (Stand: August 2019)

Änderungen durch die PSD2

OnlineBanking

Änderung bei Anmeldung und Umsatzabfrage

Sie werden mindestens alle 90 Tage beim Login im OnlineBanking aufgefordert, sich mit Ihrem VR-NetKey und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren. Bei der Auslösung von Zahlungen sowie dem Abruf von Umsatzinformationen trifft dies ebenso zu. Gegebenenfalls können bankindividuelle Voreinstellungen bzw. Ausnahmen vorliegen. Sie können die von Ihrer Volksbank Uelzen-Salzwedel eG getroffenen Einstellungen auch ändern lassen.1

Die PSD2 erlaubt den Banken eine Ausnahmeregelung in Bezug auf die starke Kundenauthentifizierung. In diesem Fall müssen Sie Ihre TAN nur alle 90 Tage eingeben. Wir nutzen diese Ausnahmeregelung. Mitte Dezember 2019 haben Sie beim Login im OnlineBanking erstmals die Aufforderung erhalten, sich mit Ihrem VR-NetKey und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN anzumelden.

VR Banking App

Anmeldung bzw. Gerätebindung

Bei der Anmeldung in der VR Banking App entfällt die Eingabe einer TAN, da durch die sogenannte Gerätebindung eine starke Kundenauthentifizierung erreicht wird. Die Gerätebindung erfolgt automatisch. Ihr Gerät wird dabei fest mit der App verknüpft.

Mastercard® Identity Check™ und Visa Secure

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für dieses Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird Mastercard® Identity Check™ beim Online-Shopping mit Kreditkarte verpflichtend.2

Verständlich erklärt: Starke Kundenauthentifizierung durch Mastercard® Identity Check™

Der nachfolgende Erklärfilm zeigt beispielhaft am Mastercard® Identity Check™, wie die Registrierung und die Online-Zahlungen mit Ihrer Debit- und Kreditkarte von Mastercard® funktioniert.

Über den folgenden Link können Sie sich in wenigen Schritten für Mastercard® Identity Check™ registrieren.

Geschäftsbedingungen bzw. Sonderbedingungen

Neue Fassungen der Geschäftsbedingungen und Sonderbedingungen

Mit der PSD2 sind neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. In diesem Zusammenhang gelten auch bei uns neue Fassungen der mit Ihnen vereinbarten Geschäftsbedingungen zum Zahlungsverkehr. Ferner werden auch die Sonderbedingungen für die girocard (Debitkarte), für die VR-ServiceCard (Debitkarte), für das OnlineBanking und für die Datenfernübertragung geändert. Es handelt sich hierbei um eine gesetzlich notwendige Anpassung, die für alle Banken und Sparkassen verpflichtend ist.

Die 2-Faktor-Authentifizierung

Mit den aktuellen gesetzlichen Vorgaben wurden die Anforderungen an die Authentifizierung von Kundinnen und Kunden bei Zahlungen neu geregelt. Für die 2-Faktor-Authentifizierung geben Sie jeden Auftrag an Ihre Bank mit zwei von drei möglichen Faktoren frei:

  • mit etwas, das nur Sie wissen – wie zum Beispiel Ihrer OnlineBanking-PIN,
  • mit etwas, das nur Sie besitzen – wie zum Beispiel Ihrer girocard (Debitkarte) mit TAN-Generator oder der VR SecureGo plus App auf Ihrem Mobiltelefon oder
  • mit einem körperlichen Merkmal – wie Ihrem Fingerabdruck oder Gesicht als biometrisches Merkmal.

Die 2-Faktor-Authentifizierung wird in der Regel angewendet bei:

  • Ihrer Anmeldung zum OnlineBanking,
  • einem Zahlungsauftrag,
  • einer anderen Aktion, die ein Risiko birgt, wie zum Beispiel eine Adressänderung,
  • Zahlungen mit Ihrer Debit- oder Kreditkarte von Mastercard® oder Visa beim Online-Einkauf und im Geschäft.

Sicherheit durch die starke Kundenauthentifizierung

Wenn Sie eine Zahlung über das Online-Banking ausführen, nutzen Sie die mit Ihrer Volksbank Uelzen-Salzwedel eG vereinbarten Authentifizierungselemente, wie zum Beispiel Online-PIN und -TAN. So können wir feststellen, dass tatsächlich Sie diese Vorgänge berechtigterweise veranlasst haben. Die PSD2 erkennt diese Authentifizierungsverfahren an und regelt diese nunmehr gesetzlich. In der Regel wird bei jeder Transaktion eine starke Kundenauthentifizierung erfolgen. Authentifizierungselemente aus den Kategorien Wissen, Besitz und Sein müssen eingesetzt werden, beispielsweise eine PIN als Wissenselement oder ein Mobiltelefon als Besitzelement, an das eine TAN übermittelt wird. Wie schon bisher bei einer Zahlung über das Online-Banking werden Sie beim Zugriff auf Kontoinformationen in der Regel zwei Authentifizierungselemente einsetzen: Online-PIN und -TAN. Bei Kreditkartenzahlungen im Internet werden mit der PSD2 das sichere Bezahlverfahren Mastercard® Identity Check™ verpflichtend.

Die Absicherung mit zwei Faktoren ist eventuell nicht nötig, wenn:

  • Sie Zahlungen an sich selbst im selben Bankinstitut vornehmen,
  • Sie im OnlineBanking Beträge bis maximal 30 Euro überweisen,
  • Sie Zahlungen an Maut- oder Park-Terminals vornehmen,
  • Sie im Handel kontaktlos Beträge bis 50 Euro mit girocard oder Kreditkarte bezahlen.

Sicherheit von Zahlungen im Internet wird weiter erhöht

Wir legen großen Wert darauf, dass Ihr OnlineBanking, Ihr Banking mit der VR Banking App sowie Kartenzahlungen auf höchstem Sicherheitsniveau erfolgen. Die von uns angebotenen TAN-Verfahren erfüllen bereits heute die aktuellen Sicherheitsanforderungen.

Zudem werden die durch Sie beauftragten Überweisungen mittels eines Sicherheitssystems, eines sogenannten Fraud-Detection-System bewertet und geprüft. Dadurch können beispielsweise Abweichungen und Unstimmigkeiten festgestellt werden. Sollte hierbei der Verdacht eines Betruges aufkommen, werden weitere Prüfungen durch Ihre Volksbank Uelzen-Salzwedel eG eingeleitet. Gegebenenfalls kann es dann zur direkten Ablehnung einer betrugsverdächtigen Überweisung kommen.

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen seit dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Uelzen-Salzwedel eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können Ihre Volksbank Uelzen-Salzwedel eG damit beauftragen, die von ihr für alle Kunden eingerichteten Ausnahmen von der starken Kundenauthentifizierung individuell für Sie zurückzunehmen. D. h. die Sicherheitsanforderungen werden damit verschärft. Beispiel: Bietet Ihre Volksbank Uelzen-Salzwedel eG die TAN-lose Ausführung einer Kleinbetragszahlung im OnlineBanking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben. Bitte nehmen Sie zur Änderung Kontakt mit Ihrer Bank auf.

Warum muss ich beim Login im OnlineBanking seit dem 14. September 2019 nicht zusätzlich eine TAN eingeben?

Die PSD2 erlaubt der Bank, Ausnahmenregelungen von der starken Kundenauthentifizierung zuzulassen. In diesen Fällen müssen Sie die TAN zur starken Kundenauthentifizierung nur alle 90 Tage eingeben. Ihre Volksbank Uelzen-Salzwedel eG nutzt diese Ausnahmeregelung. Sie wurden das erst Mal Mitte Dezember 2019 beim Login im OnlineBanking dazu aufgefordert, sich mit Ihrem VR-NetKey und Ihrem Kennwort bzw. Ihrer PIN sowie einer TAN zu legitimieren.

Warum sehe ich in der Zugriffsverwaltung im OnlineBanking nicht, welche Drittanbieter ich berechtigt habe, Zahlungen auszulösen oder Kontoinformationen von Zahlungsverkehrskonten abzurufen?

Drittanbieter nutzen eine sogenannte Schnittstelle, um auf Ihr Konto zuzugreifen. Aktuell nutzen viele dafür die technische Lösung FinTS oder Web-Banking. Beide Lösungen sind übergangsweise erlaubt, dürfen aber mittelfristig nicht mehr verwendet werden. Sie werden durch eine neue technische Lösung mit dem Namen XS2A ersetzt. Das hat die deutsche Bankenaufsicht so festgelegt. Die Zugriffsverwaltung im OnlineBanking ist bereits auf XS2A ausgerichtet. Wenn ein Drittanbieter also XS2A nutzt, sehen Sie dessen Zugriffe auf Ihr Konto auch in der Zugriffsverwaltung. Wenn ein Drittanbieter FinTS oder Web-Banking verwendet, sehen Sie dessen Zugriffe nicht in der Zugriffsverwaltung.

Welche Anpassungen erfolgen noch im OnlineBanking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im OnlineBanking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

  1. In Ausnahmefällen muss die TAN im Sinne einer sogenannten starken Kundenauthentifizierung nur alle 90 Tage eingegeben werden, zum Beispiel bei der Anmeldung. Sprechen Sie uns an und wir schauen gemeinsam, ob eine Ausnahme möglich ist.
  2. Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger; dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Visa Secure.