Payment Services Directive (PSD2)

PSD2 - Die neue Zahlungsdiensterichtlinie

Die Payment Services Directive 2 (kurz PSD2) ist die neue Zahlungsdiensterichtlinie, welche in ihrer 2. Ausgabe die bestehende Zahlungsdiensterichtlinie abgelöst hat. Der Gedanke der PSD2 ist es, den Verbraucherschutz weiter zu stärken und zu vereinheitlichen. Zusätzlich sollen durch die PSD2 gleiche Wettbewerbsbedingungen sowohl für Banken, als auch für Nichtbanken geschaffen werden.

Kontozugriff für Drittdienstleister

Künftig wird zwischen sog. Zahlungsauslöse- sowie Kontoinformationsdienstleistern unterschieden. Doch was bedeutet dies konkret?

 

Zahlungsauslösedienste

Unter den Begriff des Zahlungsauslösedienstes (engl. Payment Initiation Service, PIS) fallen beispielsweise Anbieter wie SOFORT-Überweisung, dadurch könnten Einkäufe in Online Shops künftig  direkt durch Eingabe Ihrer Zugangsdaten und der gewohnten Freigabe via TAN bezahlt werden. Der Zahlungsauslösedienst erhält Zugriff auf Ihr Bankkonto (engl. Access to Account, XS2A). Mit der PSD2 wurden für solche Vorgänge erstmals einheitliche Richtlinien geschaffen.

 

Kontoinformationsdienste

Künftig besteht die Möglichkeit,  dass Sie all Ihre Konten über sog. Kontoinformationsdienste (engl. Account Information Services, AIS) im Online Banking der Hypo Vorarlberg einsehen können. Im Vergleich zum Hypo Multibanking wird es dann auch möglich sein, Zahlungsaufträge auf den Konten der Drittbank auszulösen.

Für beide Fälle ist Ihre explizite Zustimmung natürlich Grundvoraussetzung.

Starke Kundenauthentisierung

Im Zuge der PSD2 wird auch die Sicherheit beim Internetbanking weiter erhöht. Durch die starke Kundenauthentisierung (engl. Strong Customer Authentication, SCA) werden künftig bei jedem Login, als auch bei jedem Zahlungsauftrag, 2 der 3 möglichen Faktoren benötigt. Diese sind Wissen, Besitz und Inhärenz.

Detaillierte Informationen finden Sie hier.

Third Party Provider - TPP

Entsprechend den Anforderungen der PSD2 und der zugehörigen technischen Regulierungen der EBA finden Sie als TPP hier alle Informationen zu den XS2A (Access to Accounts) Schnittstellen.

Unsere XS2A Schnittstelle folgt den Vorgaben der Berlin Group, die im NextGenPSD2 Access to Accounts Interoperability Framework in der Version 1.3 zusammengefasst sind.

Ab dem 14.03.2019 steht die Testmöglichkeit (in weiterer Folge als Sandbox bezeichnet) für alle Zahlungsinitiierungs- sowie alle Kontoinformationsdienstleister uneingeschränkt zur Verfügung. Eine vorgelagerte Registrierung ist für entsprechende Zahlungsdienstleister aktuell nicht vorgesehen.

Die Sandbox APIs stehen unter der folgenden URL zur Verfügung:
www.banking.co.at/xs2a-sandbox/m019/v1/...

Eine ausführliche API Beschreibung zum XS2A Interface ist zu finden unter https://www.banking.co.at/psd2.

Zur Authentisierung eines Kunden steht ausschließlich der sogenannten Redirect Ansatz zur Verfügung. Das heißt, der Bankkunde (Verfüger), der den Service nutzt, wird zu einer Seite der Bank weitergeleitet, über welche die eigentliche Authentisierung vorgenommen wird.

Innerhalb der Sandbox wird die eigentliche Authentisierung ausgespart, da diese einen automatisierten Testablauf behindern würde. So wird bei der Initiierung der Authentisierung eines Consents (Kontoinformationsservice) bzw. bei der Initiierung der Authentisierung einer Transaktion (Zahlungsinitiierungsservice) automatisiert die Authentisierung als erfolgreich vermerkt.

Dafür stehen in der Sandbox drei dedizierte Verfüger zum Test zur Verfügung. Diese haben die Nummern 100000, 100001 und 100002. Um verschiedene Szenarien teste zu können, sind dem ersten Verfüger keine, dem zweiten Verfüger ein und dem dritten Verfüger zwei Konten zugewiesen.

Sollten Fragen zur Sandbox vorliegen, die nicht durch die oben angeführte API Dokumentation beantwortet werden können, steht ein technischer Support per E-Mail in der Sprache Deutsch über die eMail Adresse xs2a-support@arz.at zur Verfügung. Wir bemühen uns, technische Fragen zum Interface zeitnah zu beantworten, ein Anspruch auf bestimmte Antwortzeiten besteht nicht.