Beim von der ING (und anderen Banken) nun eingestellten mTan-Verfahren, das mit allen Regulierungen kompatibel ist, bekommt man zur Bestätigung einer am Compter in Auftrag gegebenen Buchung einen Zahlencode per SMS auf das Handy oder SMS-fähige Festnetztelefon geschickt. Für alle anderen Verfahren braucht man ein Smartphone, das ich und viele andere wegen der damit verbundenen Ausspähung der Nutzer durch viele der installierten Apps nicht haben und manche wegen der Kosten sich nicht leisten wollen. Oder aber man kauft sich ein spezielles, nur für die jeweilige Bank einsetzbares Gerät.
ING klemmt Kunden ohne Smartphone mutwillig von ihren Online-Bankkonten ab
Aus den Leserbriefen geht hervor, dass sehr viele andere Banken und Sparkassen ebenso kundenfeindlich agieren und das mTAN-Verfahren eingestellt haben oder einstellen werden, oft begründet mit der Lüge, das mTAN-Verfahren sei nicht mit der europäischen Zahlungsdienstleistungsrichtlinie PSD2 vereinbar.
Als Nicht-Smartphone-Nutzer hat man wohl bald keine Wahl mehr, als für jede Bank, bei der man ggf. ein Konto hat, ein spezielles Zusatzgerät anzuschaffen. Für mich sieht das ziemlich nach abgestimmtem Verhalten aus, denn dass viele Banken gleichzeitig ohne vernünftige Begründung plötzlich auf die gleiche Weise ihre Kunden mit einer Schikane verärgern, wäre ohne entsprechende Absprachen oder vielleicht Druck von irgendwoher eher nicht zu erwarten.
Die ING hat auf meine per E-Mail gestellten Rückfragen auf die erste Antwort nun doch noch ausführlich per Brief geantwortet.
Zu meiner Fragen, in welcher Weise die Allgemeinen Geschäftsbedingungen des Instituts das von mir kritisierte Vorgehen rechtfertigen verweist die Bank auf einen Passus, in dem es heißt:
„Die ING hat das Recht, den Umfang der über das Internet- und Telebanking abwickelbaren Geschäftsvorgänge sowie die Art und Weise der Nutzung des Internet- und Telebanking unter Berücksichtigung der berechtigten Belange des Kunden jederzeit zu verändern oder von weiteren Auflagen abhängig zu machen.“
Die Frage ist in diesem Fall, ob meine berechtigten Belange angemessen berücksichtigt werden, wenn ich genötigt werde, ein Zusatzgerät zu kaufen, weil die Bank ohne nachvollziehbare Begründung ein eingeführtes und gebräuchliches Zugangsverfahren abschaltet.
Zur weiteren Begründung der Entscheidung führt die Bank aus, diesmal ohne das irreführende Argument der Nichtvereinbarkeit mit PSD2 zu bemühen:
- Das mTAN-Verfahren sei ein bewährtes Verfahren, aber in die Jahre gekommen.
- Es werde immer weniger genutzt. 90 Prozent der Neukunden hätten sich schon vor Abschaltung von mTAN für die App entschieden.
- Die App sei für die Kunden bequemer.
- Das mTAN-Verfahren sei auf das Mobilfunknetz angewiesen, das nicht immer stabil ist.
Mit Verlaub, keine sehr eindrucksvolle Liste von Argumenten. Das Argument mit den (wenigen) Neukunden, von denen sich die meisten für die App entschieden, lenkt von der Frage ab, wie viele der (sehr viel mehr) Bestandskunden das mTAN-Verfahren nutzen und nutzen wollen. Eine SMS kommt auch mit etwas Verzögerung durch, wenn das Mobilfunknetz mal hakt. Die wenigen, die in einem Ort mit ganz schlechter Mobilfunkabdeckung leben, müssen das Verfahren ja nicht nutzen. Ob sie die App bequemer und besser finden, könnte die ING getrost den Kunden zur Beurteilung überlassen. Wenn Zwang ausgeübt und mit falschen Argumenten hantiert wird, weckt das Zweifel.
Ich hatte außerdem nachgefragt, inwiefern die App als Zugangsverfahren sicher und PSD2-kompatibel ist, wo PSD2 doch die Nutzung zweier unabhängiger Geräte zur Verifizierung der Kundenidentität verlangt. Im O-Ton der ING aus der E-Mail-Antwort auf meine erste Anfrage hieß das (Fettung durch mich):
„Seit September 2019 (PSD2) muss beim Girokonto der Log-in ins Internetbanking mit einem sogenannten 2. Faktor bestätigt werden. Der 2. Faktor muss ein unabhängiges Gerät sein – ein Smartphone oder Tablet mit unserer Banking to go App oder unser photoTAN-Generator.“
Das ist jetzt plötzlich doch ganz anders. In der brieflichen Antwort auf meine Nachfrage heißt es:
„Die App hat zwar keine physische Kanaltrennung, dafür aber eine technische. D.h. sämtliche Kommunikation läuft (natürlich verschlüsselt) über 2 voneinander unabhängige Kanäle. Dabei erfüllt die App auch die Vorgabe der EU-Richtlinie PSD2, den Zugriff mit mindestens 2 Faktoren abzusichern: Wissen (Ihre mobilePIN), Besitz (Ihr registriertes Smartphone/Tablet), Inhärenz (Fingerabdruck). Es muss also nicht zwangsläufig ein zweites Endgerät involviert sein.“
Vermutlich stimmt das, und die erste Antwort mit dem unabhängigen Gerät war falsch, was für mich aber nur noch einmal zeigt, wie schwer sich die Bank tut, Argumente für die kundenfeindliche Abschaltung von mTAN aufzutreiben, sodass sie sich ständig in Widersprüche verwickelt.
Man teilt mir auch erneut mit, dass ich über Telefonbanking weiterhin auch ohne App und Zusatzgerät Zugang zu meinem Konto habe. Eine attraktive Option ist das nicht.
Ich habe übrigens auch ein Konto bei der comdirect. Dort nutze ich nach wie vor das mTAN-Verfahren. Es gibt noch ein paar mehr Banken – auch große -, die das Verfahren weiterhin anbieten. Ich habe gehört, auch bei der Deutschen Bank sei das so. Ich habe das aber nicht nachgeprüft.
Nachträge | 26.7.: Ein Leser schreibt, er habe einen TAN-Generator (Kobil Optimus, für 15€)
bei der Postbank erworben, der sowohl bei der Postbank als auch bei diversen Konten
die im „Fiducia & GAD“-System ihr Online-Banking betreiben (also Volksbanken und
Raiffeisenbanken) funktioniere. Der photoTAN-Generator der ING ist aber nach meinem Verständnis institutsspezifisch. | 30.7.: Die Norisbank verwende auch noch das mTAN-System wurde mir von Leserinnenseite mitgeteilt.