Hab mal unterschrieben, auch wenn es auf meine künftige Kundenbeziehung zur ING keine Auswirkungen mehr haben wird...dieser Stein ist schon im Rollen

Aber bist Du sicher, dass ING Direct da der richtige Adressat für diese Petition ist? Das sieht mir eher nach einem spanischen Ableger aus...

Hier die Antwort der IngDiba auf meine entsprechende Anfrage:

"vielen Dank für Ihre Nachricht.

Ab September sind Girokonten nicht mehr über die Schnittstelle HBCI abrufbar. Die entsprechenden Finanzsoftware Anbieter wurden bereits informiert, dass dann nur noch die psd2-konforme Drittanbieter Schnittstelle unterstützt wird.

Bitte informieren Sie sich bei Ihrem Softwareentwickler, ob dieser die neue Schnittstelle unterstützen wird.

Sie haben weitere Fragen? Dann besuchen Sie uns einfach im Internet: Auf www.ing.de haben wir alles Wissenswerte für Sie zusammengefasst.

Sie sind gefragt: Hat Ihnen unsere E-Mail weiter geholfen? Was können wir noch besser machen? Nehmen Sie sich 5 Minuten Zeit für unsere Zufriedenheits-Befragung.
> Zur Online-Umfrage https://mingle2.respondi.com/uc/ING-Umfrage/

Viele Grüße

Ihr Team Kundendialog

ING-DiBa AG
60628 Frankfurt am Main
info@ing.de
www.ing.de";

Soltte das nicht besser (oder zusätzlich) unter "Onlinebanking Allgemein" stehen?

@msa:

Das Folgende stimmt so nicht ganz. Ich kann von einem anderen Konto auf das Extrakonto überweisen, überweisen lassen.
Es stimmt natürlich, dass keine Zahlung vom Extrakonto nach "außen" durchgeführt werden kann.

"Der Unterschied zwischen Girokonto und Extrakonto/Depot ist - ganz einfach ausgedrückt - dass Du mit den letzteren beiden keinen ZAHLUNGSVERKEHR betreiben kannst, also Transaktionen immer nur innerhalb der Kundenverbindung möglich sind. Es kann kein Geld "nach außen" fließen. Das Extrakonto überweists nur zu einem EIGENEN Referenzkonto, man kann Papiere im Depot handeln, aber immer zu Lasten/Gunsten des EIGENEN Extrakontos... Somit unterliegt das Ganze nicht der Zahlungsverkehrsrichtline, weils kein Zahlungsverkehr ist."

Würde ein Umzug von der ING zur DKB, das Problem lösen, weiter mit Banking 4 zu arbeiten?

Auf der HP der DKB steht aktuell:

"Zur Verwaltung Ihrer Internet-Konten können Sie eine Finanzsoftware wie z.B. StarMoney nutzen. Die Anzeige der Umsätze Ihrer DKB-VISA-Card und Ihrer elektronischen Kontoauszüge steht Ihnen nicht in allen Software-Produkten zur Verfügung. StarMoney bietet diesen Service in seiner aktuellen Desktop-Software an, die Sie bestellen können.

Wenn Sie die HBCI- bzw. FinTS-Schnittstelle im Programm manuell einrichten müssen, verwenden Sie bitte folgende Parameter:
....
"

Nach heutigem Wissensstand wird die DKB auch nach dem 14.09.2019 noch eine FinTS Schnittstelle anbieten. Für die Anmeldung ist dort dann auch eine Starke Kundenauthentifizierung (sprich: TAN) erforderlich.

Doch, das geht meiner Meinung nach.
Das Referenzkonto des Extrakontos muss nicht zwingend ein Diba-Konto sein und damit sind wir da schon nicht mehr Diba-intern. Ich denke dass ich da durchaus auch ein Konto angeben kann, was nicht mir gehört. Weiterhin kann das Extrakonto Geld mittels Lastschrift vom Referenzkonto einziehen lassen. Ich vermute aber dass man das alles wohl nicht über FinTS machen kann.

Allerdings kann das Extrakonto auch als Verrechnungskonto des Diba-Depots verwendet werden und da wird es nach meiner Einschätzung schon etwas tricky:



Bedeutet dann wohl, dass wenn das Extrakonto ein Zahlungskonto wäre, man da schon für den Abruf die starke Kundenauthentifizierung bräuchte.



Ein auf den Namen eines Zahlungsdienstnutzer lautendes Konto ist es meiner Meinung nach schonmal. Bleibt noch die Frage, ob es für die Ausführung von Zahlungsvorgängen genutzt wird (nicht werden kann). Prinzipiell ja nicht, da man dort üblicherweise nur sein Tagesgeld ablegt und wieder auf sein eigenes Referenzkonto zurückschicken kann.

Wenn ich jetzt aber das Extrakonto als Verrechnungskonto meines Depots hinterlege, dann bezahle ich aber doch die Verkäufer der von mir georderten Wertpapiere von diesem Konto. Für mich hört sich das nach einem Zahlungsvorgang an, was das Extrakonto zu einem Zahlungskonto machen würde. Das Gesetz definiert zwar fast alle Begriffe, aber den Begriff des "Zahlungsvorgangs" leider nicht.

Ähnlich würde es sich verhalten, wenn ich ein fremdes Referenzkonto angebe. Wenn ich über diese Mechanik jemandes Rechnung bezahle, dann nutze ich dieses Konto zur Ausrührung eines Zahlungsvorgangs. Der Gesetzestext zielt nicht auf den Use-Case des Kontos sondern auf die tatsächliche Art der Nutzung.

Oder habe ich irgendwo einen Denkfehler?

Das kann ich bestätigen

Hallo,
habe auch seit Jahren ein Extrakonto bei der DiBa mit dem Referenzkonto bei der Postbank. Funktioniert ohne Probleme.
Vor einiger Zeit bin ich mit dem Versuch, eine ÜW auf mein SpaKa-Konto vorzunehmen, gescheitert.
Es kam die Meldung >> nur auf Referenzkonto (also PoBa) möglich.

Das Referenzkonto mus kein ING-Konto sein - das ist ja wohl klar, es gibt genügend Menschen, die bei der ING aus guten Gründen KEIN Giro haben - die kämen ja sonst nicht mehr an Ihr Geld.

Das Referenzkoto muss aber laut Bedingungen ein EIGENES Konto sein. Das kann man auch sehr leicht sehen, wenn man das Referenzkonto (online) ändert. Der Empfängername ist zwangsweise mit dem eigenen Namen vorbelegt. Klar könnte man das jetzt mißbrauchen, indem man trotzdem eine Fremd-IBAN angibt - der Name wird ja nicht überprüft beim Empfänger. Aber wenn da dann was "passiert", dann ist das grob fahrlässig und vorsätzlich. Da ist die ING dann fein raus. Und ich gehe nicht davon aus, dass in der PSD2 drin steht, dass dem Kunden auch Fahrlässigkeiten und grober Vorsatz maschinell unmöglich gemacht werden müssen...

Dass man auf ein Extra-Konto was REIN-überweisen kann, ist auch klar, hat aber nichts mit der Authentifizierung zu tun, denn die ist dabei garnicht im Spiel. Auch der Lastschrifteinzug (ja, nur übers WebBanking möglich) hat damit nichts zu tun, denn der ist auch nur vom hinterlegten EIGENEN REFERENZKONTO möglich. Dieser Lastschrifteinzug ist ein Relikt aus früheren Zeiten und man sollte sich hüten, den zu nutzen. Wenn man den nämlich nutzt, ist das eingezogene Geld erst mal für die Dauer der Rückruffrist (früher 6 Wochen, jetzt wohl drei Monate) gesperrt und kann nicht mehr weg überwiesen werden. Die Funktion stammt aus einer Zeit, als viele Kunden noch ein "normales" Girokonto bei einer lokalen Bank hatten und nur Geldanlage bei der "Allgemeinen Deutschen Direktbank" gemacht haben (online via BTX). Die hatten dann oft keinen Onlinezugriff auf ihr Girokonto und mit der LA-Funktion konnten sie trotzdem bequem Geld aufs Tagesgeldkonto transferieren...

Sorry, ist vielleicht grenzwertig zu OT.
Habe gerade gelesen dass ALF-Banco (vorher noch nie gehört) scheinbar PSD2 unterstützen will:

========================================
Re: Ing Diba und Banking to go - App
Beitrag von ALF » Di 21. Mai 2019, 14:13

Hallo,

aus unserer Sicht hat sich die ING den Aufwand für die Umstellung der FinTS-Schnittstelle gespart.
Deshalb betrifft die Umstellung auch nur das Girokonto, da die PSD2-Richtlinie nur „Zahlungsverkehrskonten“ betrifft.

Wir haben geplant, die neue PSD2-API der ING zu unterstützen.

Da wir leider auch erst vor ein paar Tagen informiert wurden, können wir noch nicht sagen, ab wann dies möglich sein wird.

Wir arbeiten bereits an einer Umsetzung.

Um die Schnittstelle dann offiziell nutzen zu können, benötigen wir allerdings eine Lizenz der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Um diese bemühen wir uns aktuell auch bereits.
Wie schnell wir diese erhalten können wir leider nicht sagen.

Erst wenn wir diese Lizenz erhalten haben, dürfen wir die Schnittstelle „im Echtbetrieb“ verwenden.

Gruß,
ALF
==========================================

Das ist nach MoneyMoney der Zweite von dem ich lese, dass er daran arbeitet. Wissen die wovon sie reden (nehme ich an) und ist das dann doch nicht soo abwegig?

PSD2-API = Schnittstelle über Server eines Dienstleisters, der Lizenz von BaFin benötigt
finAPI bzw. figo / fintecsystems / heidelpay sind solche Dienstleister, die auch die Lizenz schon haben - die bekommt man ja auch nicht von heute auf morgen

siehe aber auch @msa der doch in den letzten Tagen jeweils sehr ausführlich zu der Thematik geschrieben hat
bspw.: forum/topic.php?p=144658#real144658
bzw.: forum/topic.php?p=144596#real144596

Hallo,

auf https://portal.mvp.bafin.de/database/ZahlInstInfo/ kann man selbst recherchieren, wer alles bereits eine BaFin-Zulassung hat. Für den Zugriff auf die PSD2-APIs sind folgende Zulassungen relevant:

• Kontoinformationsdienste (§ 1 Abs. 1 Satz 2 Nr. 8 ZAG) nur für Abruf
  
• Zahlungsauslösedienste (§ 1 Abs. 1 Satz 2 Nr. 7 ZAG) nur für Überweisungen

Leider ist auf dieser Seite keine Filterung nach Zulassungsart möglich, so muss man alle Einträge durchklicken um herauszufinden wer alles eine der beiden Zulassungen hat. Ich habe mir das eben gerade angetan. Folgendes Ergebnis: 4 (vier) Firmen haben beide Zulassungen und 3 (drei) Firmen haben eine Zulassung als Kontoinformationsdienst. Aktuell dürfen also gerade mal 7 (sieben) Firmen die angepriesene PSD2-Schnittstelle nutzen.
Eine Ausnahme gibt es noch zu beachten: Alle Banken sind implizit zugelassen, auch wenn sie nicht im Register stehen. Banken haben hier also einen enormen Wettbewerbsvorteil.
Wer sich für die Bedingungen einer Zulassung interessiert, dem seien folgende Leitlinien empfohlen: https://www.eba.europa.eu/docu…%29_DE.pdf

Indirekt steht aber im ZAG genau das drin (ob beabsichtigt oder geschlampt kann ich jetzt nicht sagen).
Ein Zahlungskonto ist ein Konto, dass für die Ausführung von Zahlungsvorgängen genutzt wird.
Das ist auch das einzige Kriterium. Das bedeutet aber dann auch, dass ein Konto dass zwar nicht für die Ausführung von Zahlungsvorgängen vorgesehen ist, aber dennoch genutzt wird, dadurch implizit zum Zahlungskonto geworden ist.

Es geht also doch.


Berliner Sparkasse:

"Die PSD2 soll die Sicherheit von Zahlungen im Internet erhöhen. Hat das Auswirkungen auf die Online-Banking-Verfahren meiner Sparkasse?

Nein, die Sicherheitsverfahren beim Online-Banking, die die Sparkassen heute anbieten – also chipTAN, smsTAN, pushTAN und HBCI – erfüllen heute bereits die neuen Sicherheitsanforderungen."

https://www.berliner-sparkasse…tml?n=true

@Barricade: Dass chip- und pushTAN die Anforderungen erfüllen ist ja nun nichts Neues mehr. Die Antwort enthält aber nur die halbe Miete. Es wird darin nicht auf den 2Faktor-Login eingegangen. Dieser muss auch in irgend einer Form umgesetzt werden, auch bei Sparkassen. Und der hat sehr wohl erheblichen Einfluss. Der könnte durch die TAN-Abfrage alle 90 Tage erfüllt werden - hoffen wir, dass es im Sparkassenlager wirklich so gemacht wird.

Interessant allerdings die Formulierung, die ich eben gelesen habe: "TAN....., wenn die Daten älter als 90 Tage sind". Das könnte man wieder so interpretieren, dass ich, wenn ich regelmäßig abfrage, nie eine TAN eingeben muss, nur wenn ich die gesamte Konto-Historie abhole, dann schon...

Was die automatische Zertifizierung von Banken betrifft: Das wundert mich nicht, dass die das da reingebracht haben. Sonst würden ja die ganzen schönen "Multibankoptionen" in ihren Webseiten und Apps nicht mehr funktionieren, die der Bank so ganz nebenbei einen umfassenden Überblick über den Kunden bringen...

Das wäre aber gesetzeswidrig.
Das ZAG verlangt zunächst eine starke Authentifizierung bei jedem Login, bietet jedoch für Kontostandsabfragen eine Ausnahmeregelung, bei der für Kontostandsabfragen nach erfolgter starker Authentifizierung diese für 90 Tage unterbleiben darf.
Deine Interpretation der Beschreibung (zugegeben, ich lese das so wie Du) passt leider nicht zum ZAG...

Drum sagte ich ja, "interessant ist die Formulierung", da mir diese Interpretation auch neu war. Aber dass jede Bank jede Formulierung anders interpretiert, ist ja nichts Neues. Die ING interpretiert ja auch, dass man HBCI außer Betrieb nehmen muss und dass Kunden (!) Daten über die PSD2-Schnittstelle übertragen können. Auch eine sehr gewagte Interpretation

Oder die eine Bank interpretiert SMS-TAN als zukunftsfähig und berät Kunden ausdrücklich darauf hin um, die andere interpretiert SMS-TAN als nicht regelkonform und teilt mit, diese in näherer Zukunft abzuschaffen.

Es wird uns nichts weiter übrig bleiben, als abzuwarten, was wirklich kommt und wie lange es dauert, bis sich was dran ändert, analog zu der Lastschriftfolge und Vorlaufzeit bei SEPA-Lastschriften. Ich bin jedenfalls gespannt.

Das könnte man auch so verstehen: Wenn ich mich mit starker Authentifizierung einlogge und eine Überweisung mit starker Authentifizierung vornehme oder meinethalben einen Kontoauszug ziehe, dann habe ich mich "stark" authentifiziert. Die nächsten Tage bis zur nächsten Überweisung müsste ich nicht jedesmal eine starke Authentizifierung mit TAN vornehmen, denn wenn ich nach einer Woche oder einem Monat wieder eine Überweisung mache oder spätestens nach einem Monat den Kontoauszug abhole und mich dabei "stark" mit einer TAN authentifiziere, würde das ausreichen, so dass dann wieder 90 Tage "Frist" wären.

Also vereinfacht gesagt: Ich könnte als Bank auf die Idee kommen, die Kunden zum monatlichen Abholen des Kontoauszugs mit TAN zu verpflichten und damit die starke Authentifizierung bei jedem Login "weglassen", so dass ein einfacher Login mit PIN zwischendurch immer ausreichen würde, solange ich monatlich mindestens einmal eine TAN eingebe (was bei Geschäftskunden wohl sowieso vorausgesetzt werden kann).

Habe ich jetzt einen Denkfehler oder warum kommt keine Bank auf die Idee?

Gruß
Lisa

Weil Login und Aufträge zwei völlig verschiedene Dinge sind, die in den Vorschriften völlig getrennt behandelt werden. Da steht einerseits drin, dass Aufträge "stark" authentifiziert werden müssen. Andererseits steht drin, dass das Login "stark" authentifiziert werden muss. Da steht nicht drin, dass Du das vermischen kannst.

Ich denke, bei Deinen Überlegungen ist der Wunsch Vater des Gedankens. Ich gebe zu, dass die Idee was hat. Vielleicht ist noch niemand ausser Dir drauf gekommen, vielleicht schon, aber nachdem es in den Vorschriften nicht drin steht, kann mans nicht einfach reindefinieren. Leider.

Außerdem gehe ich davon aus (böse wie ich bin), dass die Banken alles tun, um dem Kunden die Verwendung von institutsübergreifender Software so gut wie irgend möglich zu verleiden. Denn je aufwändiger das Handling von Konten bei verschiedenen Instituten ist, um so eher wird sich ein Kunde wieder fester an EIN Institut binden lassen (wo dann alles unter EINEM Login bequem zu haben ist).

In einem anderen Beitrag ist heute hier zu lesen, dass StarFInanz "Zahlungsverkehrsdienstleister" werden wird und Konten über PSD2-Schnittstelle abfragen und die Daten an seine Software beim Kunden (oder noch besser in der eigenen Cloud) weitergeben will, bei Zahlungsverkehr umgekehrt. Ein genialer Schachzug insgesamt. Der Kunde ist quasi gezwungen, eine weitere "Dienstleistung" dazwischenzuschalten und zu bezahlen - denn ohne laufende Gebühren wird das nicht gehen. Ich denke, dass der PSD2-Wahn lobbygesteuert auch dazu gut sein soll. Sehr interessant wird sein, wie die Authentifizierung dann zwischen Kunden und den Drittdienstleistern (in dem Fall Starfinanz) sein wird. Der Aberwitz wäre, wenn der Kunde der Bank gegenüber direkt mehrere Faktoren liefern muss, dem Drittdienstleister gegenüber nicht - denn sonst wird es ja zu unbequem. Ich könnte mir vorstellen, dass das so kommen wird... LOL