also der Kunde/Nutzer hat ein Konto bei einer Bank, die
keine HBCI/FinTS hat und möchte eine Lösung.
Die geht logischerweise nur über einen
1.) screenscraper (bildet die Mausklicks nach und liest Daten aus Code/Datei au - somit unzuverlässig)
2.) PSD2-API-Anbindung - XS2A Schnittstellen
2.1) Die EU hat diese Möglichkeit vorgeschrieben, verbunden mit div. Absicherung und die Länder haben es umgesetzt.
forum/topic.php?p=176119#real176119 dortige Link führt ja bspw. auch zur BaFin, wo die genehmigten Services drin stehen:
https://portal.mvp.bafin.de/database/ZahlInstInfo/suche.do
Das weiß ich das doch vorher und steht doch auch schon x-mal im Forum.
Des weiteren müssen
alle Services die auf Banken/Konten/KK zugreifen, die keine HBCI/FinTS-Schnittstelle (oder screenscraper) nutzen, hierauf zugreifen, dies ist ja logischerweise technisch nicht anders möglich.
... oder wie sollen Anbieter wie Finanzguru oder Finanzblick o.ä. sonst an die Daten kommen? wobei dort ja, je nach Anbieter in der Cloud gespeichert wird oder die KI-Zugriff darauf hat in Verbindung mit Auswertungstools/Empfehlung/Angebot oder Abo-Services usw.?
Sollte der Anbieter gehackt werden, passiert kaum was, denn die hinterlegten Daten sind doch Benutzer und PIN - was kann man damit machen, genau nichts bzw. konkreter mehr als Kontoabruf/-Einsicht ist nicht möglich.
Des weiteren meldet die Bank ja den entsprechenden XS2A Schnittstellen-Zugriff, der zudem zeitlich begrenzt ist.
Die TAN ist ausschlaggebend und diese wird ja individuell generiert. (und entweder per push o.a. angezeigt/angefordert)
Zitat
Freischaltung Kontoinformationsdienst
Sehr geehrter Herr XYZ, der Schutz Ihrer Kontoinformationen (Kontostände und Kontoumsätze) im Online-Banking hat für uns oberste Priorität.
Sie haben dem Kontoinformationsdienst live.finapi.io am xx Zugriff auf Ihre Kontoinformationen bis zum xx.2025 erteilt. Die Berechtigung umfasst bis zu 4 Abrufe von Kontoinformationen der in Ihrem Online-Banking genutzten Zahlungskonten (z.B. Girokonten) pro Tag. Für diese Abrufe müssen Sie nicht tätig werden.
Die Zustimmung und Nutzung können Sie unter dem Menüpunkt "Kontozugriffe von Drittdiensten (PSD2)" in der Internet-Filiale einsehen und ggfs. widerrufen.
Mit freundlichen Grüßen
Ihre Sparkasse
Selbst die DATEV nutzt ja solch einen (Firmen) bridge-Service nämlich
finAPI (vormals Schufa), da der Aufwand und auch die Genehmigung/Zertifizierungen zu umfangreich sind/waren. Des weiteren werden die Daten auch hier zwingend über deren Server/Service geschleust, dies sind die Vorgaben.
Daher ja auch immer der Hinweis, dass solche Anbindung
Kosten verursachen, in nicht geringem Ausmaß und somit auf die Kunden/Nutzer umgelegt werden müssen.
kurz: entweder ich nehme Banken die eine FinTS-Schnittstelle anbieten oder ich vertraue der EU/Land, dass die vorhanden Zertifizierung/Absicherung ausreichend sind, immer auch im Hinblick, dass Benutzer/PIN sowieso nur Einblick bringt.
Für die Ausführung ist immer die TAN relevant.
.