PSD2 (Payment Services Directive)
Die europäische Zahlungsrichtlinie PSD2 (Payment Services Directive) erhöht durch die Zwei-Faktor-Authentifizierung die Sicherheit und verhindert eine unautorisierte Verwendung.
Alle von der Bank Austria verwendeten Authentifizierungsverfahren, CardTAN, MobileTAN SMS und MobileTAN Push entsprechen bereits der Zwei-Faktor Anforderung. Neu ist mit der PSD2, dass auch beim Login ein zweiter Faktor verwendet werden muss.
Ziel der PSD2
Den EU Geldtransfer sicherer machen und den Markt für neue Zahlungsdienste öffnen - damit soll der Verbraucherschutz gestärkt, der Wettbewerb gefördert sowie die Neutralität im Hinblick auf Technologie und Geschäftsmodell gewährleistet werden.
Links & Downloads:
Fragen & Antworten
- Mehr Sicherheit beim Internetbanking: Mit der Zwei-Faktor-Authentifizierung werden Sie häufiger als bisher zur Eingabe einer TAN aufgefordert und sind somit weniger anfällig für Betrug.
- Open Banking - "Access to Account": Mit Ihrer expliziten bankseitigen Zustimmung können Sie Drittdienstleistern den technischen Zugang zu Ihren Zahlungsverkehrskonten öffnen und damit auch Services von Drittdienstleistern in Anspruch nehmen, die auf Kontoinformation basieren bzw. Zahlungsaufträge beinhalten.
Zwei-Faktor-Authentifizierung bedeutet die Kombination zweier unterschiedlicher und voneinander unabhängiger Faktoren aus den Kategorien
- "Wissen" (etwas, das nur der Nutzer weiß, z.B. PIN),
- "Besitz" (etwas, das nur der Nutzer besitzt, z.B. TAN),
- "Inhärenz" (etwas, was der Nutzer ist, z.B. biometrische Daten wie Fingerprint),
mittels derer sich ein User elektronisch authentifiziert.
Eine Zwei-Faktor-Authentifizierung muss erfolgen, wenn Sie
- online auf Ihr Zahlungskonto zugreifen
- einen elektronischen Zahlungsvorgang auslösen
- über einen Fernzugang eine missbrauchsgeneigte Handlung vornehmen.
Banken müssen auch Drittdienstleistern technischen Zugang zu den Zahlungsverkehrskonten Ihrer Kunden gewährleisten. Unter Drittdienstleistern versteht man etwa andere Banken oder Fintecs bzw. diverse Zahlungsdienstleister, die bei einer europäischen Aufsichtsbehörde registriert sein müssen. Wichtig: Dieser Zugang wird nur eingeräumt, wenn der Kunde bankseitig ausdrücklich zustimmt bzw. diese Erlaubnis immer wieder erneuert. Sie als Kunde haben die volle Kontrolle und können die Zustimmung in Ihrem Internetbanking jederzeit widerrufen.
Details zu Drittanbietern:
- Banken müssen behördlich registrierten Drittdienstleistern wie Fintecs oder anderen Banken eine sichere technische Schnittstelle den Zugang zu Kontoinformationen ihrer Kunden sowie die Auslösung von Zahlungen über Drittdienstleister ermöglichen.
- Kontoinformationsdienstleister (AISP bzw. KID) erhalten nach der elektronischen Zustimmung bei Ihrer Bank Kontoinformationen wie Kontostand und Umsätze.
- Zahlungsauslösedienstleister (PISP bzw. ZAD) können nach der elektronischen Autorisierung bei Ihrer Bank Zahlungsaufträge auslösen. Das heißt diese an die Bank zur Durchführung senden.
- Zahlungsinstrumentedienstleister (PIISP) dürfen nach der elektronischen Zustimmung bei Ihrer Bank die Verfügbarkeit eines Geldbetrages abfragen.
Weiterführende Informationen entnehmen Sie bitte den Übersichten "Open Banking FAQs im Detail" und "Glossar".
| AISP (Kontoinformationsdienstleister) |
Der Kontoinformationsdienst ist ein Online-Dienst zur Bereitstellung konsolidierter Informationen über ein oder mehrere Zahlungskonten des Zahlungsdienstnutzers, die bei einem oder mehreren anderen Zahlungsdienstleistern geführt werden. Kontoinformationsdienste werden mit der Überarbeitung der Zahlungsdienstrichtlinie (Payment Services Directive 2) als Zahlungsdienste definiert. Durch diesen Dienst soll der Nutzer einen Gesamtüberblick über seine finanzielle Situation zu einem bestimmten Zeitpunkt erhalten. Dieser Service wird mitunter auch von Hausbanken angeboten: Nach Zustimmung des Kontoinhabers ist es möglich, Konten, die bei verschiedenen Banken geführt werden, im Internetbanking der Hausbank zusammenzufassen. |
| ASPSP (Kontoführende Bank) |
Im Zusammenhang mit dem Zahlungsverkehr und Payment Services Directive 2 versteht man unter Account Servicing Payment Service Provider (ASPSP) den Dienstleister, welcher für Kunden Zahlungskonten unterhält. In der Regel ist das die Bank. |
| FINTEC | Als Fintec wird ein Unternehmen bezeichnet, das digitale bzw. technologische Finanzinnovationen anbietet, welche die Basis für neue Finanzinstrumente bzw. Finanzdienstleistungen darstellen. |
| PISP (Zahlungsauslösedienstleister) |
Es wird auf Veranlassung des Zahlungsdienstnutzers ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst. Ein Zahlungsauslösedienst ermöglicht den Zugang zu einem online geführten Zahlungskonto, das bei einem anderen Zahlungsdienstleister geführt wird. |
| PIISP (Zahlungsinstrumentedienstleister) |
Ein Drittemittent ist ein Emittent von Zahlungskarten, der nicht das mit den Kartentransaktionen zu belastende Konto führt, d.h. das kartenausgebende Institut ist nicht gleich dem kontoführenden Institut des Zahlers. |
| PSD2 | Die Payment Services Directive 2 ist die vom europäischen Gesetzgeber überarbeitete Zahlungsdiensterichtlinie, die seit Juni 2018 in österreichisches Recht (ZaDiG Zahlungsdienstegesetz) verspätet umgesetzt ist. Es wurden eine Reihe von Regelungen erlassen, um die Sicherheit im Zahlungsverkehr zu erhöhen und weiteren Wettbewerb zwischen Zahlungsinstituten zu ermöglichen. Kernpunkte sind die Einbeziehung "dritter Zahlungsdienstleister", die Zahlungsauslösedienste, Kontoinformationsdienste und die Ausgabe von Zahlungskarten anbieten sowie die Verpflichtung zur sogenannten "starken Kundenauthentifizierung". Des Weiteren wurden Regelungen zum Schutz des Verbrauchers gestärkt. |
| PSU (Kunde) |
Beim Payment Service User handelt es sich in der Regel um den Kunden bzw. Dienstleistungsnutzer. |
| SCA (Zwei-Faktor-Authentifizierung) |
Um die Sicherheit im Zahlungsverkehr zu verbessern, wurde im Rahmen der Überarbeitung der Richtlinie über Zahlungsdienste im Binnenmarkt (Payment Services Directive 2, PSD2) die Verpflichtung zur sog. "starken Kundenauthentifizierung"/"strong customer authentication") aufgenommen. Diese erfolgt, wenn ein Zahler online auf sein Konto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch birgt. Die starke Kundenauthentifizierung schreibt die Authentifizierung über die Verwendung von zwei Faktoren (Zwei-Faktor-Authentifizierung) aus den unterschiedlichen Merkmalen Wissen (z.B. Passwort, Code, PIN), Besitz (z.B. Token, Smartphone) und Inhärenz (z.B. Fingerabdruck, Stimmerkennung) vor. Die neuen Anforderungen sind bis zum 14. September 2019 umzusetzen. |
| TPP (Third-Party-Provider) |
Der Begriff "Drittdienstleister" (TPP Third-Party-Provider) wird häufig für Anbieter von Kontoinformations- und Zahlungsauslösediensten verwendet, die seit Umsetzung der zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2) erlaubnis- bzw. registrierungspflichtig sind. Darüber hinaus wird er für Drittemittenten verwendet. |
| X2A (Kontozugang durch Drittdienstleister) |
Die Payment Services Directive 2 sieht vor, dass Banken als kontoführende Payment Service Provider auch Drittdienstleistern (TPP Third-Party-Provider) Zugang zu Kundenkonten (X2A = Access to Account) gewähren müssen. Drittdienstleister erhalten auf Kundenwunsch über Schnittstellen zur Anwendungsprogrammierung (APIs) "diskriminierungsfreien Zugang" zu Kundenkonten. Dies betrifft die Grundfunktionen "Initiierung von Zahlungen" sowie die "Abfrage von Konteninformationen". |
