PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Am 14. September 2019 wird die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit werden das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Änderungen durch die PSD2

Online-Banking

TAN-Eingabe beim Login zum Online-Banking

Ab 14. September müssen Sie beim Login zum Online-Banking neben Ihren gewohnten Anmeldedaten (VR-NetKey/Alias und PIN) alle 90 Tage zusätzlich eine TAN eingeben.

Beispielhafte Darstellung der TAN-Eingabe beim Login ins Online-Banking
  • TAN-Eingabe bei Umsatzabfrage und beim Aufruf des Finanzmanagers

Die Regelungen der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" sehen vor, dass bei Abruf von Umsatzdaten eine TAN eingegeben werden muss, wenn die Umsätze mehr als 90 Tage zurückliegen.

Der Finanzmanager im Online-Banking zeigt Ihnen die Umsätze der letzten 15 Monate an. Aus diesem Grund wird beim Aufruf des Finanzmanagers im Online-Banking immer eine TAN abgefragt.

  • Automatische Abmeldung aus dem Online-Banking

Bisher wurden Sie aus Sicherheitsgründen nach 15 Minuten Inaktivität automatisch aus dem Online-Banking ausgeloggt. Ab dem 14. September findet der automatische Logout bereits nach fünf Minuten Inaktivität statt.

VR-BankingApp

TAN-Eingabe beim Login in die VR-BankingApp

Auch in der VR-BankingApp müssen Sie künftig grundsätzlich alle 90 Tage zusätzlich eine TAN zum Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login entfällt, wenn ...

  • ... Sie die Funktion "Kwitt" in der VR-BankingApp nutzen.
  • ... eine Geräteregistrierung zwischen der VR-BankingApp und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Geräteregistrierung können Sie mit der App-Version 19.15 (voraus. ab Ende August 2019) in den Einstellungen der VR-BankingApp einrichten. Zusätzlich wird Ihnen bei jedem Start der App ein Hinweis zur Einrichtung der Geräteregistrierung angezeigt.

    Unser Tipp: Registrieren Sie sich bei Kwitt oder aktivieren Sie die Geräteregistrierung – so bleibt der Login in der VR-BankingApp weiterhin ohne TAN möglich.

 

Hinweis: Der Finanzmanager steht Ihnen ab 14. September vorerst nicht mehr in der VR-BankingApp zur Verfügung.

Online-Shopping mit Kreditkarten

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird beim Online-Shopping mit Kreditkarte Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) verpflichtend. Über die folgenden Links können Sie sich in wenigen Schritten hierfür registrieren.

Drittdienstleister

Zugriffe von dritten Zahlungsdienstleistern

Neu: Nutzung des Online-Bankings und der VR-BankingApp über Drittanbieter

Sie können das Online-Banking und die VR-BankingApp auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbietern nutzen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwenden. Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen diese sorgfältig auszuwählen.

Zugriffsverwaltung im Online-Banking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer Volksbank Süd-Emsland eG legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.

 

 

Das müssen Sie jetzt tun

Grundsätzlich finden die beschriebenen Änderungen automatisch statt – Sie müssen nichts weiter tun. Ausnahme: Wenn eine der nachfolgenden Aussagen auf Sie zutrifft, sollten Sie tätig werden.

 

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt.

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt.

Kunden, die kein TAN-Verfahren haben oder deren TAN-Verfahren gesperrt sind, können sich nach dem 14. September nicht mehr in das Online-Banking einloggen. Im Online-Banking können Sie unter dem Navigationspunkt Banking > Service > Online-Banking >TAN-Verwaltung nachsehen, welche TAN-Verfahren Sie besitzen und ob diese aktiv oder gesperrt sind.

  • Sollten Sie kein TAN-Verfahren haben, aktivieren Sie die kostenlose TAN-App VR-SecureGo. Eine ausführliche Anleitung finden Sie hier.
  • Sollte Ihr TAN-Verfahren gesperrt sein, melden Sie sich bitte in Ihrer Filiale vor Ort.
Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Ab dem 14. September können Sie Ihre Mastercard® bzw. Visa-Karte nicht mehr zum Online-Shopping verwenden, wenn Sie nicht für das Sicherheitsverfahren Mastercard® Identity Check™ bzw. Verified by Visa (zukünftig Visa Secure) registriert sind. Ausführliche Informationen und die Möglichkeit zur Registrierung erhalten Sie auf den nachstehenden Seiten:

Sie nutzen das Sm@rt-TAN- oder mobile-TAN-Verfahren.

Sie nutzen das Sm@rt-TAN-Verfahren

Das Verfahren steht Ihnen weiterhin zur Verfügung, jedoch ist die TAN-Erzeugung weniger komfortabel.

Unser Empfehlung: Wechseln Sie auf das TAN-Verfahren mit der praktischen VR-SecureGo-App. Eine ausführliche Anleitung finden Sie dazu hier.

 

Sie nutzen noch das mobileTAN-Verfahren per SMS

Auch hier gilt zwar, dass Sie das mobileTAN-Verfahren nach den neuen Regelungen vorerst weiter nutzen können. Allerdings wird dieses Verfahren perspektivisch abgeschaltet. Zudem ist es bereits heute nicht möglich, Transaktionen und andere TAN-pflichtige Vorgänge in der VR-BankingApp mit einer mobileTAN freizugeben.

Unsere Empfehlung: Wechseln Sie auf das TAN-Verfahren mit der praktischen VR-SecureGo-App, mit der Sie Transaktionen in der VR-Banking-App freigeben können. Eine ausführliche Anleitung finden Sie dazu hier.  

 

 

 

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Süd-Emsland eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können nur im Online-Banking die von Ihrer (((SP_NAME: Volksbank Süd-Emsland eG))) eingerichtete starke Kundenauthentifizierung übersteuern bzw. verschärfen. Beispiel: Bietet Ihre Bank die TAN-lose Ausführung einer Kleinbetragszahlung im Online-Banking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben.

Welche Anpassungen erfolgen noch im Online-Banking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 15 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.

Was bedeutet die starke Kundenauthentifizierung?

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.