Anzeige
| Bezahltechnik

Mehr Sicherheit − mehr Freiheit

PSD2 kommt, Kreditkartenzahlungen und Online-Banking werden komplizierter. Die Richtlinie räumt aber auch Ausnahmen ein. Wie Sparkassen ihren Kunden das Leben leichter machen können.

Anzeige

Nach der Sommerpause wird es ein bisschen schwieriger, online zu bezahlen. Grund ist die PSD2-Richtlinie. Danach müssen Kunden bei vielen Kreditkartenzahlungen künftig zwei Sicherheitsmerkmale nutzen, beispielsweise eine Smartphone-App und eine PIN oder ihren Fingerabdruck: Ja, ich bin es, und ja, die Zahlung soll ausgelöst werden.

Unangenehm wird es für Kunden, die das ab dem 14. September nicht können. Sie stehen beim Online-Shopping mit der Kreditkarte womöglich vor verschlossenen Türen und könnten dies ihrer Sparkasse anlasten oder gleich auf fremde Zahlverfahren ausweichen. Deshalb gilt, jetzt aktiv die privaten und auch die gewerblichen Kunden mit eigenem Online-Portal anzusprechen, damit sie die neue 2-Faktor-Authentifizierung bei sich einrichten können, etwa den S-ID-Check für private oder das 3-D-Secure-Verfahren für gewerbliche Kunden.

Doch keine Regel ohne Ausnahme. Auch die PSD2 bietet Freiräume, die Sparkassen für ihre Kunden nutzen können. Dazu sind technische Einstellungen etwa im Online-Banking und bei Kwitt notwendig. „Alle Ausnahmen, die rechtlich möglich sind, werden technisch angeboten“ – das hat die Sparkassen-Finanzgruppe für sich beschlossen. Jede Sparkasse entscheidet selbst, was davon sie den Kunden ermöglicht, und administriert die Ausnahmen individuell in OSPlus. Hier ein paar typische Anwendungsbeispiele:

Online-Banking – manchmal auch ohne TAN möglich

Zu den am meisten genutzten Funktionen im Online-Banking zählt die Beauftragung von Zahlungen. Und eine der meistgenutzten Funktionen der App ist der Blick in Kontoinformationen, etwa auf den Kontostand. In beiden Fällen bewegt sich der Kunde in seinem eigenen Konto – deshalb hat er hier ein Interesse, möglichst unkompliziert zu surfen. Sparkassen können das Online-Banking für ihre Kunden erleichtern und in bestimmten Fällen auf die TAN-Eingabe verzichten.

Kwitt ohne TAN

Die meisten Kwitt-Zahlungen betragen weniger als 25 Euro; diese Handy-zu-Handy-Überweisungen sind bisher ohne TAN-Eingabe möglich. Das bleibt nicht automatisch so. Ab Mitte September gibt es auch bei Kwitt Veränderungen. Sparkassen können hier eine Ausnahmeregelung auf Basis einer Risikoanalyse nutzen, damit Zahlungen bis 30 Euro auch weiterhin möglichst schnell und möglichst TAN-frei „gekwittet“ werden können.

Kunden entscheiden, wem sie vertrauen

Die Kunden selbst haben zusätzlich die Möglichkeit, bestimmte Zahlungsempfänger für Überweisungen aus der TAN-Vorgabe auszuklammern. Sie können auswählen, welche Empfänger sie für vertrauenswürdig halten. Das ist vor allem für unregelmäßig wiederkehrende Zahlungen an bekannte Empfänger sinnvoll, aber auch für Überweisungen vom oder an das eigene Zweitkonto.

Mehr Sicherheit für Kunden – Sparkassen müssen Risiken steuern

Die PSD2-Richtlinie ermöglicht also eine Reihe von Ausnahmen von der TAN-Pflicht. Viel spricht dafür, den Kunden dies zu ermöglichen – denn alles, was komplizierter wird, beeinträchtigt das Kundenerlebnis. Trotzdem sollten sich Sparkassen Klarheit darüber verschaffen, wie sie die mit den Ausnahmen verbundenen Risiken für sich selbst bewerten. Dazu gibt es ein aktuelles Sicherheitsgutachten des S-CERT, dass verschiedene Szenarien beschreibt. −

Ein mögliches Ergebnis könnte sein: Es den Kunden so einfach wie möglich machen, aber die eigenen Risiken bestmöglich begrenzen. Sparkassen, die so entscheiden, empfiehlt die Finanz Informatik den Einsatz des Schadenspräventionssystems PPZV. Damit können die Institute Zahlungen besser kontrollieren: „Ein intelligentes Sicherheitssystem und auch mehr personelle Ressourcen sind nötig“ so die fachliche Einschätzung. „Aber das lohnt sich, wenn Sparkassen ihren Kunden weiterhin einfaches Bezahlen und sicheres Online-Banking bieten wollen.“

Praktische Hilfe für die Umsetzung

  • Alle Informationen zur Umsetzung der PSD2 in den Instituten sowie das Sicherheitsgutachten des S-CERT sind hier abrufbar.
  • Die FI bietet den Instituten Unterstützung bei der Einführung von PSD2-relevanten Verfahren und auch für mögliche Ausnahmen. Die notwendigen Informationen können den Release-Rundschreiben der FI Nr. 115/ 2019 vom 29. März 2019 sowie 150/ 2019 vom 30. April 2019 entnommen werden. Das Schadenspräventionssystems PPZV ist ebenfalls dort beschrieben.