PSD2 ist da - und lockt bereits Betrüger an
Die PSD2 ist vollständig in Kraft. Für Banken in der EU bedeutet das die Offenlegung ihrer Schnittstellen für Fintech-Firmen, für Kunden mehr Aufwand beim Onlinebanking. Was für Sicherheit sorgen soll, ruft aber auch Betrüger auf den Plan.
Am vergangenen Samstag ist die Übergangsfrist zur Umsetzung der Payment Services Directive (PSD2) zu Ende gegangen. Die neuen Richtlinien der Europäischen Union für den Zahlungsverkehr sind damit vollständig in Kraft. Sie verpflichten Banken und andere Finanzdienstleister, ihre Zahlungs-Schnittstellen anderen Anbietern offenzulegen. So sollen Fintech-Firmen leichter auf Kontodaten zugreifen können.
Für Kunden in der EU bedeutet die PSD2 zuerst einmal mehr Aufwand, wie "Spiegel Online" berichtet. Bei Onlinekäufen genüge die Angabe von Kreditkartennummer, Gültigkeit und Prüfcode ab sofort nicht mehr. Stattdessen verlangen Banken eine zusätzliche Authentifizierung über einen Code, der in einer App generiert oder als SMS aufs Smartphone gesandt wird.
Auch das Login beim Onlinebanking sei neu über eine Zwei-Faktor-Authentifizierung abgesichert. Ausser der Öffnung von Schnittstellen wolle die EU mit der PSD2 auch die Sicherheit im digitalen Zahlungswesen verbessern. Etwa per "PhotoTAN"-Verfahren, bei dem der Kunde einen am Bildschirm generierten Barcode fotografieren muss. Gedruckte TAN-Listen verlören dagegen ihre Gültigkeit.
Umstellung ruft Cyberkriminelle auf den Plan
Laut "Heise Online" nutzen Betrüger den Start der PSD2 und die darum entstehende Verwirrung, um Bankdaten abzugreifen. So kursierten Phishing-Mails, in denen Kunden aufgefordert werden, ihre Daten wegen der PSD2 auf gefälschten Banken-Websites einzugeben. Die Cyberkriminellen drohten darin, ein Konto einzufrieren, wenn der Kunde der Aufforderung nicht nachkomme. Gefälschte Mails von Zahlungsdienstleistern wie Paypal mit demselben Ziel seien ebenfalls im Umlauf.
Um sich zu schützen, rieten deutsche Verbraucherschützer zu einem "gesunden Misstrauen", heisst es weiter. Phishing-Mails kämen zwar oft seriös und überzeugend echt daher. Doch die Absenderangaben seien gefälscht, um beim Empfänger falsches Vertrauen zu wecken. Bei zweifelhaften Mails solle man auf keinen Fall Links anklicken oder Dateianhänge öffnen. Banken und Zahlungsdienstleister würden grundsätzlich niemals Kundendaten oder Zugangsdaten zum Konto per Mail oder Telefon abfragen.