Was sich durch „PSD2“ für Bankkunden ändert

Strukturen schaffen, in denen Bankkunden und Verbraucher im digitalen Zeitalter sicher unterwegs sein können: Genau darum geht es bei „PSD2“, der sogenannten „Payment Services Directive 2“ der EU – zu Deutsch: Zweite Zahlungsdiensterichtlinie.

Starke Authentifizierung bedeutet Abschied von der iTAN-Liste

Ein zentraler Punkt ist dabei die Authentifizierung: Die Bank muss prüfen, ob ihr Kunde seine Transaktionen im Internet ordnungsgemäß autorisiert hat. Zu diesem Zweck muss sie ihn eindeutig identifizieren. PSD2 verlangt seit dem 14. September 2019 eine „starke“ Authentifizierung oder „Zwei-Faktor-Authentifizierung“. Darunter versteht man, dass die Authentifizierung mit Hilfe mindestens zweier Eingabeelemente erfolgt. Diese Elemente müssen aus zwei der drei Kategorien „Wissen“ (etwas, worüber einzig der Kunde Kenntnis hat), „Besitz“ (etwas, worüber einzig der Kunde verfügt) und „Inhärenz“ (etwas, das als biometrische Eigenschaft einzig dem Kunden zuzuordnen ist) stammen. Die elektronische Transaktionsnummer (TAN) gehört zur Kategorie Wissen und muss mit einem Zahlungsvorgang „dynamisch verknüpft“ sein. Das bedeutet bei Zahlungen im Internet insbesondere, dass die vom Bankkunden einzugebende TAN nur für den im Einzelfall ausgewählten Zahlungsempfänger und den konkreten Zahlungsbetrag gültig ist.

Was diesen neuen Anforderungen an eine „starke“ Authentifizierung nicht mehr standhält, ist die altbekannte Papierliste mit indizierten Transaktionsnummern, kurz iTAN, denn diese werden eben nicht dynamisch mit einem konkreten Zahlungsvorgang verknüpft. Daher müssen sich Bankkunden von diesem TAN-Verfahren verabschieden. Auch die TARGOBANK musste das iTAN-Verfahren einstellen. Dafür stehen mit easyTAN und mTAN zwei einfache, und zukunftsfähige Alternativen zur iTAN bei der TARGOBANK bereit, die dem Kunden elektronisch übermittelt werden. Um sie nutzen zu können, muss man sich zunächst dafür freischalten lassen.

Nutzer von iTAN-Listen müssen jetzt aktiv werden!

Sehr einfach – der Name hält, was er verspricht – funktioniert die Anmeldung mit easyTAN: Alles was man braucht, ist ein Smartphone, auf dem die TARGOBANK Banking-App installiert ist. Nach Registrierung über diese App vergibt man einen individuellen sechsstelligen Freigabe-Code. Zur Bestätigung der Registrierung wird der Kunde im Anschluss zur Eingabe eines Aktivierungscodes aufgefordert. Danach werden alle Transaktionen mit dem easyTAN Verfahren bestätigt. Das ist nicht nur bequem – das easyTAN-Verfahren ist für TARGOBANK Kunden auch komplett kostenfrei!

Beliebt ist bei vielen Bankkunden auch die mTAN: Während man PC oder Laptop nutzt, um sich auf seinem Bankkonto einzuloggen, erhält man die benötigte TAN für die Freigabe der Transaktion in Sekundenschnelle per SMS aufs Mobiltelefon. Bei diesem Verfahren wird die TAN auf einem separaten Gerät empfangen und bleibt nur wenige Minuten lang gültig. Auch für die mTAN ist das Anmeldeverfahren unkompliziert. Im Online-Banking muss unter „Persönliche Daten“ die Mobilfunknummer hinterlegt und die Anmeldung bestätigt werden.

Die TARGOBANK bietet außerdem ein photoTAN-Lesegerät als zusätzliches TAN-Verfahren an. Das ist vor allem für die Kunden interessant, die kein Mobiltelefon haben.

Eine TAN ist nicht mehr nur für die Freigabe von Transaktionen im Online-Banking erforderlich, sondern seit Juni auch – neben Benutzername und Passwort – für die Anmeldung zum Online-Banking.

‚Open Banking’ mit neuen Regeln für ‚Zahlungsdienstleister’

Wer hat beim Shoppen im Internet nicht schon einmal eine Bezahlmethode wie beispielsweise PayPal, Klarna (Sofortüberweisung), Trustly, Amazon Pay, Google Pay oder Apple Pay genutzt? Bei diesen Dienstleistern, die Zahlungen online abwickeln, handelt es sich nicht um Banken, sondern um sogenannte „Zahlungsdienstleister“. Ziel der PSD2 ist es, die Sicherheitsstandards in diesem Bereich für Verbraucher und Bankkunden weiter zu verbessern und gleichzeitig die Zusammenarbeit zwischen Banken und Zahlungsdienstleistern zu erleichtern.

Aktiv werden müssen Bankkunden wegen dieser Änderungen aber nicht. Im Kern geht es beim ‚Open Banking’ darum, dass die Banken nach vorheriger Zustimmung des Kunden, Zahlungsdienstleistern im streng geregelten Rahmen von PSD2 einen Zugang zum Girokonto gewähren („Access to Account“). Im Gegenzug müssen sich die Zahlungsdienstleister bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) registrieren und gegenüber den Banken bei jedem Zugriff auf ein Kundenkonto eindeutig identifizieren können. Das geschieht durch ein sogenanntes Zertifikat, das zum Beispiel von D-Trust, einem Tochterunternehmen der Bundesdruckerei, ausgegeben wird. Für den Kunden laufen diese Prozesse praktisch „unsichtbar“ im Hintergrund ab, er muss den Zugriff des Drittdienstleisters auf sein Konto jedoch vorher explizit genehmigen.