PSD2 Kontozugriff für Drittanbieter

Die Payment Services Directive 2 (kurz PSD2) ist die neue Zahlungsdiensterichtlinie, welche in ihrer 2. Ausgabe die bestehende Zahlungsdiensterichtlinie abgelöst hat. Der Gedanke der PSD2 ist es, den Verbraucherschutz weiter zu stärken und zu vereinheitlichen. Zusätzlich sollen durch die PSD2 gleiche Wettbewerbsbedingungen sowohl für Banken, als auch für Nichtbanken geschaffen werden.

Kontozugriff für Drittanbieter

Künftig wird zwischen sog. Zahlungsauslöse- sowie Kontoinformationsdienstleistern unterschieden. Doch was bedeutet dies konkret?

Zahlungsauslösedienste

Unter den Begriff des Zahlungsauslösedienstes (engl. Payment Initiation Service, PIS) fallen beispielsweise Anbieter wie SOFORT-Überweisung, dadurch könnten Einkäufe in Online Shops künftig direkt durch Eingabe Ihrer Zugangsdaten und der gewohnten Freigabe via TAN bezahlt werden. Der Zahlungsauslösedienst erhält Zugriff auf Ihr Bankkonto (engl. Access to Account, XS2A). Mit der PSD2 wurden für solche Vorgänge erstmals einheitliche Richtlinien geschaffen.

Kontoinformationsdienste

Künftig besteht die Möglichkeit, dass Sie all Ihre Konten über sog. Kontoinformationsdienste (engl. Account Information Services, AIS) im Internetbanking der Hypo Tirol Bank AG einsehen können. Im Vergleich zum hypo@home-multibanking wird es dann auch möglich sein, Zahlungsaufträge auf den Konten der Drittbank auszulösen.

Für beide Fälle ist Ihre explizite Zustimmung natürlich Grundvoraussetzung.

Starke Kundenauthentifizierung

Im Zuge der PSD2 wird auch die Sicherheit beim Internetbanking weiter erhöht. Durch die starke Kundenauthentifizierung (engl. Strong Customer Authentication, SCA) werden künftig bei jedem Login, als auch bei jedem Zeichnungsauftrag, 2 der 3 unten angeführten Faktoren benötigt:

Wissen: Darunter fallen Passwörter, Zugangscodes etc., welche nur Ihnen als Kunde bekannt sind.

Besitz: Hierunter fallen Merkmale, die nur Sie als Kunde in Ihrem Besitz haben. Dazu zählen die hypo@mobile App inkl. der dahinterliegenden Gerätebindung, cardTAN-Lesegeräte inkl. entsprechender Karte, etc.

Inhärenz: Es handelt sich hierbei um Ihre biometrischen Merkmale, wie z.B. Fingerabdruck und Gesichtserkennung.

Third Party Provider - TPP

Entsprechend den Anforderungen der PSD2 und der zugehörigen technischen Regulierungen der EBA finden Sie als TPP hier alle Informationen zu den XS2A (Access to Accounts) Schnittstellen.

Unsere XS2A Schnittstelle folgt den Vorgaben der Berlin Group, die im NextGenPSD2 Access to Accounts Interoperability Framework in der Version 1.3 zusammengefasst sind.

Ab dem 14.03.2019 steht die Testmöglichkeit (in weiterer Folge als Sandbox bezeichnet) für alle Zahlungsinitiierungs- sowie alle Kontoinformationsdienstleister uneingeschränkt zur Verfügung. Eine vorgelagerte Registrierung ist für entsprechende Zahlungsdienstleister aktuell nicht vorgesehen.

Die Sandbox APIs stehen unter der folgenden URL zur Verfügung: https://xs2a.banking.co.at/psd2/m002/api
Eine ausführliche API Beschreibung zum XS2A Interface ist zu finden unter https://xs2a.banking.co.at/psd2/m002/home

Zur Authentifizierung eines Kunden steht ausschließlich der sogenannten Redirect Ansatz zur Verfügung. Das heißt, der Bankkunde (Verfüger), der den Service nutzt, wird zu einer Seite der Bank weitergeleitet, über welche die eigentliche Authentifizierung vorgenommen wird.

Innerhalb der Sandbox wird die eigentliche Authentifizierung ausgespart, da diese einen automatisierten Testablauf behindern würde. So wird bei der Initiierung der Authentifizierung eines Consents (Kontoinformationsservice) bzw. bei der Initiierung der Authentifizierung einer Transaktion (Zahlungsinitiierungsservice) automatisiert die Authentifizierung als erfolgreich vermerkt.

Dafür stehen in der Sandbox drei dedizierte Verfüger zum Test zur Verfügung. Diese haben die Nummern 100000, 100001 und 100002. Um verschiedene Szenarien teste zu können, sind dem ersten Verfüger keine, dem zweiten Verfüger ein und dem dritten Verfüger zwei Konten zugewiesen.

Sollten Fragen zur Sandbox vorliegen, die nicht durch die oben angeführte API Dokumentation beantwortet werden können, steht ein technischer Support per E-Mail in der Sprache Deutsch über die eMail Adresse xs2a-support@arz.at zur Verfügung. Wir bemühen uns, technische Fragen zum Interface zeitnah zu beantworten, ein Anspruch auf bestimmte Antwortzeiten besteht nicht.