Nutzung jameica ab 14.09. bzw. 12.12.2019 / PSD 2 - SCA kommt

Leider finde ich im Wiki und auf der Homepage von Jameica keine Info, ob die Anforderungen der PSD 2 in jameica umgesetzt worden sind. Ohne diese Umsetzung befürchte ich das es Probleme geben wird. Hoffe habe es nur überlesen.

Aufgrund der 90 Tage Regel und dem Start der PSD 2 am 14.09 ist damit zu rechnen das vielen Banken erstmal aktiv eine TAN am 12.12.2019 verlangen werden. Wenn nun die Anwendung / APP aber damit nicht umgehen kann wird der Zugriff verweigert!

Die Änderung in FINTS hat die DK u.a. hier beschrieben:

https://www.hbci-zka.de/dokume…ersion.pdf

Folgende Geschäftsvorfälle werden aber 19.09 TAN pflichtig - die es vorher nicht waren beim Zugriff über FINTS.

Konkret:
- Die Dialoginitialisitierung (HKVVB)
- Abruf SEPA Umsätze (HKKCAZ)
- Kontoumsätze (HKKAZ)
- Kontoinformationen (HKKIF)
- Saldenabfrage (HKSAL)

Wann genau eine TAN angefordert wird von der Bank hängt von diversen Parameter ab die die Bank (teilweise auch der Kunde) bestimmen kann wie:
- Tage Login OHNE TAN (Minimum. alle 90 Tage)
- Umsatztage die abgerufen werden OHNE TAN (Minimum. alle 90 Tage)
- Zulässigkeit der SCA Ausnahme

Grundlage ist hier die PSD 2 RTS Artikel 10.

Ich habe gelesen aber nichts gefunden. Daher meine Frage. Auch in den Threads finde ich nichts konkretes nur vages. Daher würde ich micht über eine konkrete technische Aussage freuen.

Danke für die Konkretisierung.

Es stimmt aber nicht ganz das der Kunde die SCA nur verschärfen kann, jedenfalls bei der Auslösung von Zahlungen durch die Pflege eine Whitelist für IBANs (siehe FINTS GV HKPWE, HKPWA) kann er die Eingabe einer TAN für bestimmte IBANs unterbinden.

Mindestens die Sparkassen sollten seit letztem Wochenende HKPWE/HKPWA technisch anbieten können, insofern ein Institut das nicht explizit ausgeschaltet hat.

Nachtrag: offenbar ist Funktion zwar technisch da, aber noch gesperrt .

Der PSD2-Support ist in Hibiscus noch nicht drin. Werde ich bis dahin aber noch eingebaut haben. Derzeit fehlt es mir allerdings noch an Testmoeglichkeiten.

Wie man das aber beim Hibiscus-Server loesen koennte, weiss ich leider auch noch nicht. Der vollautomatisierte zyklische Abruf von Umsaetzen im Hintergrund wird dann wohl so nicht mehr funktionieren. Wobei: Bei diesem 90-Tage-Fenster muss die Bank ja auf ihren Servern speichern, wann zum letzten Mal die TAN eingegeben wurde, um zu wissen, wann sie zum naechsten Mal faellig ist. Und diese Information kann ja eigentlich auf dem Bankserver nur der Benutzerkennung zugeordnet werden. An der IP des Client kann man es ja nicht festmachen, weil die meist jedesmal anders ist. Bei FinTS PIN/TAN gibt es ja auch keine Cookies oder so, wo man das 90-Tage-Fenster fest einer konkreten Installation auf einem Client-Rechner zuordnen kann. Ich koennte mir also vorstellen, dass man - wenn man fuer eine einzelne Benutzerkennung mehrere Installationen betreibt (z.Bsp. Hibiscus-Desktop und Hibicus-Server) und die TAN-Abfragen regelmaessig auf dem Desktop beantwortet - auf dem Hibiscus-Server nie eine Abfrage kommt. Weil die fuer diese Benutzerkennung ja regelmaessig bereits auf dem Desktop beantwortet hat. Heisst: Wenn man einen Hibiscus-Server betreibt, muesste man nur zusaetzlich auf einem Hibiscus-Client ebenfalls den Bankzugang einrichten und dort alle paar Wochen mal eine Umsatzabfrage starten, um den 90-Tage-Counter fuer die Benutzerkennung wieder zurueckzusetzen. Ist aber bisher nur meine Vermutung. Und funktioniert natuerlich nur bei Banken, die tatsaechlich dieses Zeitfenster anbieten und nicht wie die Postbank jedesmal die TAN haben wollen.

Stimmt, da war ich nicht präzise genug. Der Zähler für mich als Kunde ist unabhängig von meinem genutzten Kanal. Hier gibt es nur einen Zähler, so wie für jeden TPP einen eigenen


Nicht zufällig, sondern den, den ich nach Ablauf der Ausnahme als erstes nutze.
Aber eine Möglichkeit zur freiwilligen SCA gibt es nicht. Die Bank hat beim Zugriff auf das Konto eine SCA zu verlangen. Da hat der Kunde keinen Einfluss drauf.

Hier sehe ich auch einen Lösungsansatz für den Server. Mind. X Tage vor Ablauf muss am Frontend proaktiv eine SCA gemacht werden.

Die Möglichkeit gibt es nicht. Das Thema wird allerdings tatsächlich heiß diskutiert. Bis sich die BaFin oder die EBA dazu abschliessend äußern, ist der Ausgang der Diskussion offen.
Wenn man sich aber die Vorgaben rein formal anschaut, habe ich da ganz große Zweifel, dass diese Option legal kommen wird. Es ist schon ein anderer Ansatz genau aus dem Grund gescheitert.

Doch, so etwas gibt es eigentlich schon seit HBCI 2.0 (vermutlich auch HBCI 1.0, aber das war vor meiner Zeit). Es nennt sich "Kundensystem-ID". Leider wurde die Kundensystem-ID von einigen Serverherstellern nie korrekt umgesetzt und in vielen Clients ebenso falsch behandelt. Dennoch muss man im Client auch bei PIN/TAN noch immer eine Synchronisierung der Kundensystem-ID durchführen, obwohl die Kundensystem-ID niemals wirklich genutzt wird.

Eine korrekte Implementierung würde das 90 Tage Zeitfenster an der Kombination Benutzerkennung + Kundensystem-ID festmachen.

Ne, die würde sich - in der Form - nicht dafür eignen, da es hier keine starke Bindung gibt, die den Faktor Besitz repräsentieren kann.

Letztendlich ist doch alles irgendwo Schwachsinn. Warum kann man nicht irgend ein TOKEN einführen, das nicht kopierbar ist, das meinetwegen an usb stcken oder per bluetooth gekoppekt sein muss, womit man dann login machen kann... und alle Banken werden verpflichtet, das genau so zu unterstützen. Ein Token für alle Bankverbindungen, fertig. Im Prinzip genau so wie bei EBICS...

Du kannst mit einer SCA-fähigen Hibiscus-Version noch rechtzeitig vor dem Stichtag rechnen. Im Nightly-Build ist bereits erster Code enthalten. Siehe https://www.willuhn.de/blog/in…utzen.html
In den nächsten Tagen wird es auch eine erste Nightly-Build-Version geben, die SCA vollständig enthält.