In dem Zusammenhang: Das Hauptmissverstaendnis vieler User entsteht ja deshalb, weil es unter dem Sammelbegriff "PSD2" so viele verschiedene Aspekte gibt, die teilweise überhaupt nichts miteinander zu tun haben. Da in dem Zusammenhang auch immer wieder von den PSD2-Schnittstellen bzw. PSD2-APIs die Rede ist, erweckt das bei Usern den Eindruck, als müssten die Bankingprogramme künftig diese Schnittstelle nutzen (wobei die ING ihren Kunden ja genau das verklickern will).
Daher von mir noch ergänzend. "PSD2" allgemein bezeichnet den gesamten Themen-Komplex der EU, welcher dazu führen soll, dass einerseits die Zugriffe auf die Zahlungsverkehrskonten der Kunden sicherer werden (Stichwort SCA bzw. TAN bereits beim lesenden Zugriff auf das Konto). Andererseits aber der Zugriff auf Kundenkonten durch Zahlungsdienstleister (z.B. diverse Finanzoptimierungs-Apps) besser reguliert, kontrolliert und standardisiert wird.
Aspekt 1 betrifft u.a. auch FinTS und damit die Banking-Programme. Der FinTS-Standard wurde hierfür so erweitert, dass beim lesenden Zugriff (z.B. beim Umsatzabruf) teilweise bereits eine TAN eingegeben werden muss. Diese Ergänzungen müssen sowohl die Banken in ihren FinTS-Servern vornehmen. Und ebenso die Autoren diverser Banking-Programme. Diese Änderungen werden Mitte Sept. von den Banken scharf geschaltet und müssen von den Banking-Programmen bis dahin umgesetzt werden. Genau daran arbeite ich auch gerade. Und das ist auch der einzige Aspekt, der für Banking-Programme relevant ist.
Für die Realisierung von Aspekt 2 gibt es künftig die Vorgabe, dass Firmen die z.B. solche Finanz-Optimierungs-Apps anbieten, und die auf die Konten ihrer Kunden in deren Auftrag zugreifen wollen, sich bei der Bafin für teuer Geld registrieren und zertifizieren müssen. Ausserdem dürfen die künftig nicht mehr FinTS verwenden sondern müssen eine neue Schnittstelle (die halt "PSD2-API" genannt wird) nutzen, welche von den Banken *parallel* zu FinTS angeboten werden muss.
Also grob gesagt: Immer dann, wenn man selbst auf seine eigenen Konten zugreift, kommt FinTS zum Einsatz. Dafür kann man ein Banking-Programm nutzen, welches FinTS nutzt. Oder man geht direkt auf die Webseite der Bank. Die Kommunikation findet generell nur zwischen Kunde und Bank statt. Da ist niemand dazwischen, der die Daten sehen kann.
Wenn ich aber eine dritte Firma direkt oder indirekt beauftrage, in meinem Namen auf meine Konten zuzugreifen (und das ist z.B. bei FInanzoptimierungs-Apps der Fall), dann muss diese Firma die PSD2-API nutzen. Da die Firma hierbei die Konto-Daten des Kunden in der Rolle eines Dritten sieht, gelten für dise Firma die strengen regulatorischen Auflagen. Technisch bedingt ist es gar nicht möglich, dass ein Kunde mit einem Programm selbst direkt per PSD2-API auf seine Konen zugreift. Diese Schnittstelle kann und darf nur von solchen Dienstleistern verwendet werden. Damit scheidet sie für Banking-Programme aus.
Das zum Verständnis. Da sich die ING scheinbar nur auf Aspekt 2 konzentriert und dabei wohl Aspekt 1 vergessen hat, versuchen sie jetzt ihren Kunden zu verklickern, die sollen doch die Autoren ihrer Banking-Programme bitten, die PSD2-API nutzen. Genau die kann und darf von Banking-Programmen aber gar nicht verwendet werden. Zumindest nicht, ohne dass sich der Autor des Banking-Programms bei der Bafin zertifiziert, eigene Server betreibt, um dann im Auftrag seiner User auf deren Konten zuzugreifen. Ich glaube nicht, dass es Hibiscus-User gibt, die wollen, dass ich eigene Server betreibe, dort deren Kontodaten speichere und die User ihre hochsensiblen und persönlichen Daten dann von meinen Servern abrufen.