Kundmachung
4notify Schweiz · Eidgenössische Verlautbarung
AMTLICH · FINMA · SIX · TWINT
Kundmachung Nr.
KMG-CH-001
Datum
2026-05-27
Status
In Kraft
Kategorie
Banken und Zahlungen

Starke Kundenauthentifizierung und Instant Payments: OTP-Zustellung an die Schweizer Banken über Swisscom, Sunrise und Salt

Schweizer Finanzinstitute verarbeiten täglich Millionen von Authentifizierungen — über die SIX-Interbank-Schiene, Instant Payments und TWINT (im Besitz der Banken). Jede Überweisung und jede E-Banking-Bestätigung verlangt einen zweiten Faktor. 4notify stellt Einmalcodes mit P50 < 4 Sekunden über die direkten Tier-1-Verbindungen zu Swisscom, Sunrise und Salt zu. Der Code trifft ein, bevor sich das Zeitfenster schliesst.

SMSPushE-Mail
Vorspann

Art. 1 — Gestützt auf das Bundesgesetz über die Banken und Sparkassen (Bankengesetz, BankG) und die Rundschreiben der Eidgenössischen Finanzmarktaufsicht FINMA zu operationellen Risiken und elektronischem Vertriebskanal wird die vorliegende Kundmachung über die Zustellung von Einmalcodes der starken Kundenauthentifizierung über die Schweizer Mobilfunknetze erlassen.

Rechtsgrundlage
Bankengesetz (BankG, SR 952.0)

Rechtsrahmen für Banken und ihre Pflicht zur Absicherung elektronischer Vertriebskanäle.

FINMA-Rundschreiben 2008/21 — Operationelle Risiken

Anforderungen an die Sicherheit elektronischer Kundenschnittstellen und an die Authentifizierung.

Verordnung über die Finanzmarktinfrastrukturen (FinfraV)

Betrieb der SIX-Zahlungsschiene und der Instant-Payments-Abwicklung in der Schweiz.

Umsetzung
01

Meldung beim BAKOM + Tier-1-Anbindung

4notify unterhält direkte Tier-1-Verbindungen zu allen drei Netzen und ist beim BAKOM als anerkannter Messaging-Anbieter für Authentifizierungsverkehr registriert.

02

Das OTP entsteht im HSM der Bank

Der Einmalcode wird im Sicherheitsmodul der Bank erzeugt; 4notify erhält ausschliesslich den Hash und die Telefonnummer.

03

60-Sekunden-Fenster + Fallback-Kette

Die SMS wird in unter 60 Sekunden zugestellt; bleibt der DLR aus, folgen Push und danach E-Mail. Grey-Route-Verzögerungen werden vermieden.

04

Revisionssichere Aufbewahrung zehn Jahre

Jede Zustellung wird signiert und zehn Jahre aufbewahrt — im Einklang mit den Aufbewahrungspflichten gemäss FINMA und Geldwäschereibestimmungen.

Zustellumschlag
json
{
  "event": "bank.instant.otp",
  "institut_id": "CH-XXXX",
  "transaktion_id": "TX-2026-05-27-948210",
  "betrag": 1450.00,
  "waehrung": "CHF",
  "zustellung": {
    "kanal": "sms",
    "fallback": ["push", "email"],
    "fenster_sekunden": 60,
    "vorlage": "sca_otp_ch_v3"
  },
  "revisions_signatur": "https://4notify.net/sig/bank/948210"
}
Beispielnachricht
SMS

UBS: Ihr Code zur Bestätigung der Zahlung von CHF 1'450.00 an M. Frei lautet 482193. Gültig 5 Min. Teilen Sie ihn mit niemandem.

Compliance-Checkliste
  • BAKOM-Meldung als anerkannter Zustellanbieter gültig
  • Direkte Tier-1-Anbindung an Swisscom, Sunrise und Salt aktiv
  • OTP mit P50 ≤ 4 Sekunden quartalsweise gemessen
  • Revisionssichere Aufbewahrung über zehn Jahre dokumentiert
Der 4notify-Unterschied

4notify ist der einzige A2P-Anbieter mit gleichzeitiger direkter Tier-1-Anbindung an Swisscom, Sunrise und Salt sowie signierter, zehnjähriger Revisionsaufbewahrung für die Zustellung der starken Kundenauthentifizierung gemäss FINMA-Rundschreiben.

Häufige Fragen
Stellt 4notify direkt an die Schweizer Banken zu oder über einen Aggregator?

Direkte Tier-1-Verbindung zu Swisscom, Sunrise und Salt. Für Authentifizierungsverkehr setzen wir keine Grey-Route-Aggregation ein.

Zählt eine Push-Benachrichtigung als zweiter Faktor?

Ja — der an die App gebundene Push ist ein anerkannter Besitzfaktor. Da die App jedoch keinen dauerhaften Datenträger garantiert, kombinieren wir sie stets mit SMS oder E-Mail.

Erlassen
4notify Abteilung Betrieb
2026-05-27 · KMG-CH-001

Kostenlos starten

14 Tage, ohne Kreditkarte. Support auf Deutsch unter der Woche.

Weitere Einträge dieser Ausgabe