PSD2 - Payment Services Directive 2
(Zahlungsdiensterichtlinie 2)
Der europäische Gesetzgeber verfolgt mit der Zahlungsdiensterichtlinie 2 das Ziel, den europäischen Binnenmarkt für elektronische Zahlungen weiterzuentwickeln und ersetzt damit die Zahlungsdiensterichtlinie aus dem Jahr 2007. Inhaltlich wurden die Bestimmungen an neuartige Bezahlverfahren im Internet und per Mobilfunk angepasst. Die neuen Vorschriften sollen den Verbraucher besser schützen sowie die Entwicklung und Nutzung innovativer Online- und Mobilzahlungen, beispielsweise durch ein offenes Bankwesen, fördern. Und auch grenzüberschreitende europäische Zahlungsdienste sollen sicherer gemacht werden.
Zahlungsauslöse- und Kontoinformationsdienste
(Kontozugriff für Drittanbieter)
Das Wichtigste zuerst: Ohne Ihre explizite Zustimmung darf keiner auf Ihre Kontodaten zugreifen!
Neue Zahlungsdienste, konkret Zahlungsauslösedienstleister sowie Kontoinformationsdienstleister, knüpfen mit ihren Diensten am Internetbanking (Online Banking) von Kreditinstituten an. Sie übermitteln Daten zwischen Kunden, Kreditinstituten und Händlern, ohne selbst in den Besitz von Kundengeldern zu gelangen.
Beim Zahlungsauslösedienst beauftragt der Kunde den Dienstleister, für ihn bei seinem kontoführenden Zahlungsdienstleister eine Überweisung auszulösen, z.B. wenn er im Online-Shop eines Händlers einkauft. In der Gewissheit, dass die Zahlung ausgelöst wurde, ist der Händler eher bereit, seine Ware unverzüglich freizugeben bzw. seine Dienstleistung zu erbringen.
Beim Kontoinformationsdienst erhält der Kunde vom Dienstleister aufbereitete Informationen über seine Zahlungskonten, die er bei einem oder mehreren Zahlungsdienstleistern hält.
Mit der PSD2 gibt es klare Regeln für die Nutzung von Zahlungsauslösediensten für das Initiieren von Überweisungen im Internetbanking (Online Banking) oder von Kontoinformationsdiensten zur Abfrage und Auswertung von Kontodaten.
Damit Zahlungsdienstleister diese Services anbieten können, brauchen diese aber Ihre Erlaubnis und den Zugang zu Ihrem Konto. Die PSD2 regelt den Zugang dieser "dritten Zahlungsdienstleister" auf Zahlungskonten bei den Kontoführenden Zahlungsdienstleistern. Zugang wird diesen Anbietern aber nur gewährt, wenn Sie als Kontoinhaber dem explizit zustimmen.
Ohne Ihre ausdrückliche Zustimmung ändert sich nichts: es wird keine Zahlung ausgeführt und es darf kein Drittanbieter auf Ihre Kontodaten zugreifen!
Starke Kundenauthentifizierung
(engl. Strong Customer Authentication, SCA)
Um die Sicherheit im Zahlungsverkehr zu verbessern, wurde in der Zahlungsdiensterichtlinie 2 die Verpflichtung zur sogenannten "starken Kundenauthentifizierung" aufgenommen.
Die für eine starke Kundenauthentifizierung erforderlichen Elemente sind in Wissen, Besitz und Inhärenz aufgeteilt. Diese Elemente müssen unabhängig voneinander sein. So kann das Betrugsrisiko verringert werden, auch wenn einer der Faktoren "gefährdet" ist. Eine Kombination mehrerer Faktoren, die über einen sicheren Kanal übertragen werden, kann das höchstmögliche Maß an Sicherheit für Finanztransaktionen gewährleisten.
Die starke Kundenauthentifizierung erfordert künftig bei jedem Login und der Zeichnung eines Zahlungsauftrags die Verwendung von zwei Faktoren aus den unten angeführten Merkmalen
WISSEN: etwas, das nur der Nutzer weiß (z.B. ein Passwort oder eine PIN).
BESITZ: etwas, das nur der Nutzer besitzt (z.B. eine Karte oder ein Gerät, dass einen Authentifizierungscode generiert).
INHÄRENZ: etwas, das dem Nutzer persönlich bzw. körperlich zu eigen ist (z.B. ein Fingerabdruck).
Die neuen Anforderungen treten mit 14. September 2019 in Kraft. Wir werden Sie zeitgerecht über die Neuerungen zur starken Kundenauthentifizierung informieren.
TPP - Informationen zu XS2A
(Third Party Provider - Access to Account)
Entsprechend den Anforderungen der PSD2 und der zugehörigen technischen Regulierungen der EBA finden Sie auf dieser Web-Seite alle Informationen zu den XS2A (Access to Accounts) Schnittstellen.
Unsere XS2A Schnittstelle folgt den Vorgaben der Berlin Group, die im NextGenPSD2 Access to Accounts Interoperability Framework in der Version 1.3 zusammengefasst sind.
Ab dem 14.03.2019 steht die Testmöglichkeit (in weiterer Folge als Sandbox bezeichnet) für alle Zahlungsinitiierungs- sowie alle Kontoinformationsdienstleister uneingeschränkt zur Verfügung. Eine vorgelagerte Registrierung ist für entsprechende Zahlungsdienstleister aktuell nicht vorgesehen.
Die Sandbox APIs stehen unter der folgenden URL zur Verfügung: https://banking.schoellerbank.at/xs2a-sandbox/m023/v1/.
Eine ausführliche API Beschreibung zum XS2A Interface ist zu finden unter https://xs2a.banking.co.at/psd2/m023/home.,
Zur Authentifizierung eines Kunden steht ausschließlich der sogenannte Redirect Ansatz zur Verfügung. Das heißt, der Bankkunde (Verfüger), der den Service nutzt, wird zu einer Seite der Bank weitergeleitet, über welche die eigentliche Authentifizierung vorgenommen wird.
Innerhalb der Sandbox wird die eigentliche Authentifizierung ausgespart, da diese einen automatisierten Testablauf behindern würde. So wird bei der Initiierung der Authentifizierung eines Consents (Kontoinformationsservice) bzw. bei der Initiierung der Authentifizierung einer Transaktion (Zahlungsinitiierungsservice) automatisiert die Authentifizierung als erfolgreich vermerkt.
Dafür stehen in der Sandbox drei dedizierte Verfüger zum Test zur Verfügung. Diese haben die Nummern 100000, 100001 und 100002. Um verschiedene Szenarien testen zu können, sind dem ersten Verfüger keine, dem zweiten Verfüger ein und dem dritten Verfüger zwei Konten zugewiesen.
Sollten Fragen zur Sandbox vorliegen, die nicht durch die oben angeführte API Dokumentation beantwortet werden können, steht ein technischer Support per E-Mail in der Sprache Deutsch über die eMail Adresse xs2a-support@arz.at zur Verfügung. Wir bemühen uns, technische Fragen zum Interface zeitnah zu beantworten, ein Anspruch auf bestimmte Antwortzeiten besteht nicht.