Sicherheit von Online-Banking und PSD2: Was Sie wissen müssen
Die PSD2 stärkt die Sicherheit von Online-Zahlungen durch starke Kundenauthentifizierung. Erfahren Sie, was diese Richtlinie für Ihre Bankkonten ändert.
Die Verbreitung von Online-Banking-Diensten hat unsere Art, mit Geld umzugehen, verändert. Doch diese Bequemlichkeit geht mit neuen Risiken wie Betrug und Datendiebstahl einher. Um den Verbraucherschutz zu stärken, hat die Europäische Union die zweite Zahlungsdiensterichtlinie, besser bekannt als DSP2, eingeführt. Dieser Artikel erklärt Ihnen, was diese Verordnung beinhaltet und wie sie die Sicherheit Ihrer täglichen Bankgeschäfte beeinflusst.
Was ist die DSP2?
Die DSP2 (Zahlungsdiensterichtlinie 2, oder PSD2 im Englischen) ist eine europäische Richtlinie, die 2015 verabschiedet wurde und ab 2018 schrittweise in Kraft trat. Sie ersetzt die erste Zahlungsdiensterichtlinie und verfolgt mehrere Hauptziele: die Stärkung der Sicherheit elektronischer Zahlungen, die Förderung von Innovation und Wettbewerb sowie die Verbesserung des Verbraucherschutzes.
Diese Richtlinie gilt für alle Zahlungsdienstleister, die im Europäischen Wirtschaftsraum tätig sind. Sie regelt insbesondere Kartenzahlungen, Überweisungen und neue Akteure im Finanzsektor, wie z.B. Kontoinformationsdienstleister und Zahlungsauslösedienste.
Die durch die DSP2 eingeführten Hauptprinzipien
Die DSP2 basiert auf zwei Hauptpfeilern. Der erste betrifft die starke Kundenauthentifizierung, die darauf abzielt, Transaktionen besser abzusichern. Der zweite bezieht sich auf die Öffnung des Bankensystems, genannt „Open Banking“, das es Drittanbietern ermöglicht, mit Zustimmung des Kunden über spezielle Schnittstellen auf bestimmte Bankdaten zuzugreifen.
Die starke Kundenauthentifizierung (SCA)
Einer der sichtbarsten Beiträge der DSP2 für die Nutzer ist die starke Kundenauthentifizierung, oft mit dem Akronym SCA (Strong Customer Authentication) bezeichnet. Dieser Mechanismus zielt darauf ab, Betrug bei Online-Zahlungen und beim Zugriff auf Konten zu reduzieren.
Das Drei-Faktoren-Prinzip
Die starke Authentifizierung erfordert die Kombination von mindestens zwei unabhängigen Elementen aus drei verschiedenen Kategorien:
- Wissen: Etwas, das nur der Nutzer kennt, wie ein Passwort oder eine Geheimzahl.
- Besitz: Etwas, das nur der Nutzer besitzt, wie ein Mobiltelefon oder ein Sicherheitsgerät.
- Inhärenz: Etwas, das den Nutzer charakterisiert, wie ein Fingerabdruck oder die Gesichtserkennung.
Die Unabhängigkeit dieser Faktoren ist entscheidend: Die Kompromittierung eines Faktors darf die Zuverlässigkeit der anderen nicht beeinträchtigen. Aus diesem Grund reicht die einfache Eingabe eines Passworts nicht mehr aus, um viele Vorgänge zu validieren.
Was ändert sich konkret für Sie?
In der Praxis haben Sie diese Entwicklungen wahrscheinlich bereits bemerkt. Bei einem Online-Einkauf kann Ihre Bank Sie auffordern, die Transaktion über ihre mobile App, durch eine zu bestätigende Benachrichtigung, durch die Eingabe eines per Nachricht erhaltenen Codes oder durch Ihren Fingerabdruck zu bestätigen. Der allein verwendete per SMS gesendete Einmalcode wird schrittweise durch robustere Methoden ergänzt oder ersetzt.
Ziel ist es, sicherzustellen, dass die Person, die die Transaktion durchführt, tatsächlich der rechtmäßige Kontoinhaber ist. Dieser zusätzliche Schritt mag umständlich erscheinen, trägt aber dazu bei, den betrügerischen Gebrauch gestohlener Bankdaten einzuschränken.
Die Ausnahmefälle
Die Verordnung sieht bestimmte Ausnahmen von der starken Authentifizierung vor, um die Benutzererfahrung nicht unnötig zu erschweren. Zu den betroffenen Situationen gehören insbesondere Zahlungen geringer Beträge, wiederkehrende Zahlungen mit gleichem Betrag an denselben Empfänger oder Überweisungen an einen Empfänger, den Sie zuvor als vertrauenswürdig registriert haben. Diese Ausnahmen sind an präzise Kriterien gebunden, und ihre Anwendung hängt von der Risikoanalyse des Zahlungsdienstleisters ab.
Open Banking und Datenfreigabe
Die DSP2 hat den Bankenmarkt auch für neue regulierte Akteure geöffnet. Mit Ihrer ausdrücklichen Zustimmung können Drittanbieter auf bestimmte Informationen Ihrer Konten zugreifen.
Kontoinformationsdienstleister
Diese Dienstleister, manchmal auch als Aggregatoren bezeichnet, ermöglichen es Ihnen, alle Ihre Konten bei verschiedenen Banken in einer einzigen Oberfläche anzuzeigen. Dies erleichtert die Budgetüberwachung und die Verwaltung Ihrer persönlichen Finanzen.
Zahlungsauslösedienstleister
Andere Dienstleister können auf Ihre Anforderung hin eine Zahlung direkt von Ihrem Bankkonto aus initiieren, ohne eine Karte zu verwenden. Dieser Dienst wird insbesondere von einigen Online-Händlern genutzt.
In jedem Fall bleibt der Zugriff auf Ihre Daten Ihrer Zustimmung unterworfen. Drittanbieter müssen von den zuständigen Behörden zugelassen sein und strenge Anforderungen an Sicherheit und Datenschutz erfüllen. Sie können Ihre Zustimmung in der Regel jederzeit widerrufen.
Welchen Schutz genießen Verbraucher?
Die DSP2 hat mehrere Rechte der Nutzer von Zahlungsdiensten gestärkt. Im Falle einer nicht autorisierten Zahlung regelt die Verordnung die Bedingungen für die Erstattung. Tritt ein Betrug auf und die starke Authentifizierung wurde nicht angewendet, obwohl sie hätte angewendet werden müssen, kann die Haftung des Zahlers reduziert werden, vorausgesetzt, er hat nicht betrügerisch oder grob fahrlässig gehandelt.
Es ist jedoch wichtig zu verstehen, dass die Haftung des Nutzers weiterhin besteht, wenn er grobe Fahrlässigkeit gezeigt hat, zum Beispiel
Ähnliche Artikel
Verwalten Sie Ihre Finanzen mit Finance.HDdev
Verfolgen Sie Ihr Budget, synchronisieren Sie Ihre Bankkonten und erreichen Sie Ihre finanziellen Ziele.