Neue Regeln beim Online-Banking

Künftig ist die "Zwei-Faktor-Authentifizierung" Pflicht

Es gibt neue Regeln im Zahlungsverkehr, vor allem beim Online-Banking und bei Kartenzahlungen. Die Grundlage dafür ist die Zweite europäische Zahlungsdiensterichtlinie, kurz PSD2, deren zweite Stufe am 14. September 2019 in Kraft tritt. Zu diesem Datum müssen Banken aufgrund gesetzlicher Vorgaben technische und vertragliche Anpassungen im Online-Banking und beim Bezahlen mit Karte vornehmen. Dabei haben die Implementierung der starken Kundenauthentifizierung im elektronischen Zahlungsverkehr und die Bereitstellung einer Schnittstelle für Drittdienstleister, spürbare Auswirkungen auf Online-Banking-Nutzer.

Online-Banking

eBanking Private & Business Edition

TAN-Eingabe beim Login zum Online-Banking

Ab 14. Septmber 2019 müssen Sie beim Login zum Online-Banking neben Ihren gewohnten Anmeldedaten (VR-NetKey/Alias und PIN) alle 90 Tage zusätzlich eine TAN eingeben.

Beispiel: Anmeldemaske in eBanking Private Edition ab Mitte September 2019

Online-Banking PIN

Die Online-Banking PIN wird 8-stellig. Betrifft Neukunden bzw. Bestandskunden mit einer PIN-Änderung.

VR-BankingApp

TAN-Eingabe beim Login in die VR-BankingApp

Auch in der VR-BankingApp müssen Sie künftig grundsätzlich alle 90 Tage zusätzlich eine TAN zum Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login entfällt, wenn ...

  • ... Sie die Funktion "Kwitt" in der VR-BankingApp nutzen.
  • ... eine Gerätebindung zwischen der VR-BankingApp und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Gerätebindung können Sie mit der App-Version 19.15 (voraus. ab Ende August 2019) in den Einstellungen der VR-BankingApp einrichten. Zusätzlich wird Ihnen bei jedem Start der App ein Hinweis zur Einrichtung der Gerätebindung angezeigt.

    Unser Tipp: Registrieren Sie sich bei Kwitt oder aktivieren Sie die Gerätebindung – so bleibt der Login in der VR-BankingApp weiterhin ohne TAN möglich.

 

VR-BankingApp Nutzer mit mobileTAN

Die Nutzung der VR-BankingApp auf Smartphones mit mobileTAN als TAN-Verfahren ist für die Gerätebindung, Login und die Umsatzabfrage möglich. Transaktionen können weiterhin aus Sicherheitsgründen nicht mit einer mobilenTAN abgschlossen werden.

Unser Tipp:
Stellen Sie das mobileTAN Verfahren (wird mittelfristig abgeschaltet) auf das VR-SecureGo Verfahren um! Anleitung

Online-Shopping mit Kreditkarte

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird beim Online-Shopping mit Kreditkarte Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) verpflichtend.3 Über die folgenden Links können Sie sich in wenigen Schritten hierfür registrieren.

³ Als Ausnahme von der Pflicht gelten zum Beispiel als risikoarm eingestufte Kleinbetragstransaktionen sowie wiederkehrende Zahlungen mit gleicher Betragshöhe an denselben Empfänger, dies jedoch erst nach erfolgreicher Registrierung der Kreditkarte für Mastercard® Identity Check™ bzw. Verified by Visa.

Drittdienstleister

Neu: Nutzung des Online-Bankings und der VR-BankingApp über Drittanbieter

Sie können das Online-Banking und die VR-BankingApp auch mittels Kontoinformationsdiensten, Zahlungsauslösediensten und von Ihnen ausgewählten sonstigen Drittanbieter nutzen. Ihre Einwilligung vorausgesetzt, dürfen diese für Sie über eine sogenannte "Kontenschnittstelle für Dritte Zahlungsdienstleister" Zahlungen auslösen oder Kontoinformationen von Zahlungsverkehrskonten abrufen, also zum Beispiel von Ihrem Girokonto oder Geschäftskonto. Da diese Drittanbieter nunmehr gesetzlich reguliert und beaufsichtigt werden, dürfen Sie Ihre Authentifizierungselemente wie zum Beispiel Online-PIN und -TAN bei einem von Ihnen ausgewählten Kontoinformationsdienst, Zahlungsauslösedienst oder einem sonstigen Drittanbietern verwenden. Mit der Zugriffsverwaltung im Online-Banking können Sie sehen, welche Drittanbieter Sie berechtigt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Sofern Sie sonstige Drittanbieter nutzen, empfehlen wir Ihnen diese sorgfältig auszuwählen.

Zugriffsverwaltung im Online-Banking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer Volksbank Kassel Göttingen eG legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.

Tipp:
Freigegebene Drittdienstleister greifen auf die Kontodaten des Kunden zu, was sogar deren Analyse oder einen Datenabgleich ermöchlichen könnte. Daher sollten sich Kunden fragen, ob sie wirklich wollen, dass der Dienstleister Zugriff auf das Konto hat. Setzen Sie sich vor Freigabe der Anwendung mit den jeweiligen Datenschutz und deren Systemsicherheit intensiv auseinander.

Das müssen Sie tun

Die beschriebenen Änderungen werden automatisch am 14.09.2019 wirksam. Wenn eine der nachfolgenden Aussagen auf Sie zutrifft, sollten Sie tätig werden.

Sie haben kein TAN-Verfahren oder es ist gesperrt?

Kunden, die kein TAN-Verfahren haben oder deren TAN-Verfahren gesperrt sind, können sich nach dem 14. September nicht mehr in das Online-Banking einloggen.

Im Online-Banking können Sie unter dem Navigationspunkt Banking > Service > Online-Banking >TAN-Verwaltung nachsehen, welche TAN-Verfahren Sie besitzen und ob diese aktiv oder gesperrt sind.

Bitte stellen Sie sicher, dass Sie ein aktives TAN-Verfahren besitzen!

Unserer TAN-Verfahren:

Beispiel: Abfrage TAN-Verfahren in der eBanking Private Edition
Nutzen Sie Ihre Kreditkarte zum Bezahlen im Internet?

Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Ab dem 14. September können Sie Ihre Mastercard® bzw. Visa-Karte nicht mehr zum Online-Shopping verwenden, wenn Sie nicht für das Sicherheitsverfahren Mastercard® Identity Check™ bzw. Verified by Visa (zukünftig Visa Secure) registriert sind. Ausführliche Informationen und die Möglichkeit zur Registrierung erhalten Sie über den nachstehenden Link.

Sie nutzen noch das mobileTAN-Verfahren?

Das mobileTAN-Verfahren ist zwar PSD2 konform, wird aber mittelfristig abgeschaltet! Zudem ist es bereits heute nicht möglich, Transaktionen und andere TAN-pflichtige Vorgänge in der VR-BankingApp mit einer mobileTAN freizugeben.

Nutzen Sie PSD2 und steigen Sie jetzt auf das moderne TAN-Verfahren VR-SecureGo um!

 

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Raiffeisenbank Mittelschwaben eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Kann ich die Einstellungen meiner Bank zur starken Kundenauthentifizierung selbst ändern?

Sie können Ihre Raiffeisenbank Mittelschwaben eG damit beauftragen, die von ihr für alle Kunden eingerichteten Ausnahmen von der starken Kundenauthentifizierung individuell für Sie zurückzunehmen. D.h. die Sicherheitsanforderungen werden damit verschärft. Beispiel: Bietet Ihre Raiffeisenbank Mittelschwaben eG die TAN-lose Ausführung einer Kleinbetragszahlung im Online-Banking an, so können Sie diese nur zurücknehmen lassen. Sie müssen dann bei jeder Zahlung eine TAN eingeben. Bitte nehmen Sie zur Änderung Kontakt mit Ihrer Bank auf.

Welche Anpassungen erfolgen noch im Online-Banking aufgrund der PSD2?

Gemäß PSD2 darf die maximale Zeitspanne ohne Aktivität (Session-Timeout) im Online-Banking nicht mehr als fünf Minuten betragen. Wir haben diese Vorgabe umgesetzt. Bitte beachten Sie, dass zur Verlängerung der Session eine Bewegung der Mouse oder Ähnliches nicht ausreicht. Es ist eine Transaktion erforderlich, die den Online-Banking-Server anspricht. Dabei handelt es sich beispielsweise um den Abruf von Umsatzdaten oder den Aufruf der TAN-Verwaltung bzw. der Zugriffsverwaltung.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.