在我们所有人有效地与我们的银行签署了“在任何情况下都不要将您的登录详细信息透露给任何其他人，否则”协议之后，这怎么可能？

Sofort AG 是一家德国公司，所以我将重点关注德国：有反垄断程序，因此，大多数银行更改了条款和条件以允许这样做（至少根据维基百科）。不过，该程序似乎并没有真正产生新的法律。

欧洲支付服务指令目前正在更新，然后还将涵盖第三方支付提供商 (TPP)，因此据我了解，它还将规范 Sofortüberweisung（此类服务的正确名称似乎是 Payment Initiation Services ）。另请参阅此处的英文解释。

除了用钱包投票，最终用户还能做什么？

好吧，您可以游说政客、撰写新闻文章、搜索和揭露安全漏洞等。或者您可以希望有有效的替代方案并使用它们。

安全

这里隐含的问题似乎是这是否安全。

• 它增加了一家可能搞砸的公司，从而降低了安全性（没有或很少有好处）。
• 您必须信任该公司（在这种情况下为 Sofort AG），因为如果他们愿意，他们也可以拿走您所有的钱（但这是有很多付款方式的情况，例如贝宝允许任何商店随机提取金额）。
• 它可能会增加没有经验的用户输入密码的意愿（“我这样做了很多次，以前从未发生过坏事”），从而增加网络钓鱼攻击的成功率和数量。

像 Sofort 这样的服务最大的问题是，由于您输入了您的银行详细信息，因此他们可以免于退款以及任何声称该交易是欺诈性的索赔。这降低了他们的业务成本，因为他们的欺诈行为为零（他们有责任为此付费）。然而，欺诈的责任落在您的客户身上。使用 Sofort 即表示您放弃了使用任何其他传统支付方式所拥有的权利。

算一算。决定你是否愿意冒险。如果它在线并且感觉不对……那就错了。

蒂姆的回答非常棒，在 2017 年仍然很重要，但忽略了一件重要的事情：隐私。

您必须信任该公司（在这种情况下为 Sofort AG），因为如果他们愿意，他们也可以拿走您所有的钱

风险存在，但可能很低——否则他们的整个商业模式就会崩溃。风险提供了认真对待安全性的强烈动机。

实际上，我向我的银行 (BNP Fortis Paribas) 询问了有关 Sofort（现为Klarna）的问题，评论与 OP 相同，他们并没有阻止我使用 Sofort，也没有嘲笑我分享我的登录详细信息……而是鼓励我联系 Sofort用我的问题代替（很像这个客户收到的回复）。蒂姆的陈述很好地解释了原因。

但您也必须相信 Sofort 会认真对待您的隐私。

Sofort 可以有效地访问您所有帐户的银行余额、您进行的所有交易 - 与您银行在线门户中可见的相同。这似乎取决于他们与各个银行的设置；如果银行没有 API，那么他们的数据保护政策规定：

“或者，我们的系统将通过您的网上银行服务的用户界面自动调用数据，就像您自己登录一样”。

即他们[可以]知道你赚了什么，你把钱花在哪里，你的现金消耗率是多少，你的储蓄或投资是什么。

我确信这些信息非常有价值。

如果您每 6 个月执行 1 次 Sofort 交易，至少对于我的银行而言，他们可以为每个客户收集连续的交易历史记录。

恕我直言，唯一对他们有用的是德国的隐私法是世界上最严格的法律之一......

他们的隐私政策没有提及他们正在收集的数据或他们如何处理这些数据；然而，更有趣的英国/英国数据保护政策更具体，似乎排除了我上面描述的用法。

除此以外，我们不会存储任何个人数据，特别是没有账户余额、交易数据、透支额度、账户列表、网上银行登录密码（如个人识别码）或交易验证码等确认码。

事情是，审计你的钱是否被盗很容易。验证公司是否遵守不收集这些数据的承诺是另一回事。所以一切都与信任有关。不信任他们？多花几欧元，并使用其他支付提供商。

由于要求提供用户登录详细信息，Sofort 在整个欧洲引起了很多关注和争议。2013 年，波兰金融监督委员会曾就向 Sofort 或 Trustly 等第三方提供客户付款详情发出警告（波兰语），但情况似乎更加微妙。

Sofort 有一个演示文稿，他们在其中回应了大多数指控 - 首先，他们对其服务相关的任何可能的欺诈行为承担全部责任（他们声称没有），其次，他们声称他们不存储任何凭据，而是实时使用它们。

在我看来，他们的商业模式和论点很有意义，但是仅仅为了检查账户余额和订购付款而获取用户凭据是一个数量级的过度杀伤力。这种模型只是违反了信息安全最基本的两个原则——“需要知道”和“最小特权”原则。这是一项围绕消费者银行业业务限制的工作，现在很少提供第三方 API 和授权协议，允许以适当的方式执行相同的功能。

该PSD2因为它引入了消费者银行部门的强制性API和禁止用户证书的存储（东西Sofort说，他们不这样做，但仍然）欧盟指令应该删除这种解决方法的需要。