Június elején a bankok megkongatták a vészharangot: az online fizetések negyede tűnik el abban az esetben, ha a tervezett szeptember 14-ei időpontban élesedik a PSD2-es szabályozás utolsó, egyben legfontosabb része: az erős ügyfélhitelesítés részletszabály. Az európai bankszektort tömörítő több szövetség az Európai Bizottsághoz és Európa legmagasabb szintű banki szabályozójához, vagyis az Európai Bankhatósághoz (EBA) fordult azzal, hogy kezeljék a szabályozás életbe lépésének kockázatait.
Akkori állásfoglalásuk szerint ha nem történik változás, vagyis nem kapnak haladékot, akkor az online fizetések kb. negyede jogszabály szerint végrehajthatatlanná válik, aminek komoly gazdasági hatásai lehetnek.
Magyarországon 2018-ban az online bankkártyás fizetések értéke 1167 milliárd forintra rúgott, és 834 millió ilyen tranzakciót hajtottak végre a Magyarországon kibocsátott kártyákkal a kártyabirtokosok.Vagyis ha a tranzakciók negyede érintett az ügyben, akkor évente mintegy 291 milliárd forintnyi, 208 milliónyi bankkártyás tranzakció válhat végrehajthatatlanná.
Most a fizetési cégek is reagáltak
Az ESPM (European Assotiation of Payment Service Providers for Merchants) nevű európai érdekvédelmi ernyőszervezet tömöríti azon fizetési szolgáltatókat, melynek tagjai kötik össze az online és offline kereskedőket a fizetési szolgáltatókkal, vagyis ők biztosítják az adatkapcsolatot a kártyatársaságok, bankok és kereskedők között. 67 tagja van a szövetségnek 16 országban, köztük találni magyar székhelyű szolgáltatót is, és tagja a szervezetnek az AmEx, a Visa és a Mastercard is. A szövetség most az alábbi állásfoglalást tette közzé:- Az Európai Bankhatóság felismerte, hogy az erős ügyfélhitelesítési technikai részletszabályozás (RTS) hatalmas kihívás elé állította a fizetési piac szereplőit és lépéseket tesz az európai e-kereskedelmet érintő átfogó felfordulás elkerülése érdekében. (lásd fent: egyedi, nemzeti jogkörbe utasított döntés haladék adásáról)
- Az ESPM attól tart, ha az átállásra adott haladékot a nemzeti szabályozók határozzák meg, akkor az egy nagyon heterogén, nem egységes helyzetet eredményez az EU-n belül.
- Ezért az ESPM az EU-n belül egységes halasztást javasol: 18 hónapos halasztást kérnek általánosságban , és legfeljebb 36 hónapot egyes szektorokban (pl. utazási és vendéglátási szektorban) a megfelelésre, ezáltal biztosítva a harmonizált átállást.
Mi a baj a szabályozással?
Az erős ügyfélhitelesítésről szóló technikai kiegészítő részletszabály (RTS) meghatározza, milyen biztonságos kapcsolaton keresztül utazhatnak az adatok az ügyfél a bank és a fintechcég között, hogyan kell a bankoknak az érzékeny adatokhoz hozzáférést adni és ki viseli ennek kockázatait.Az SCA RTS szerint emellett a legtöbb 30 euró feletti tranzakcióhoz "legalább két egymástól független hitelesítő elemmel, megbízhatóan" kell azonosítani az ügyfelet. Ilyen független hitelesítő elem lehet például a felhasználó jelszava, és a felhasználó rendelkezésére bocsátott token. Ez az a kitétel, amelynek sok szolgáltató nem fog tudni megfelelni szeptember 14-én, ha nem történne változás.
A legnagyobb gond, hogy az sem teljesen világos, pontosan mely tranzakciókra vonatkozik az erős ügyfélhitelesítés szabály, és hogy hogyan lehet szabályszerűen kivitelezni.
Az ESPM álláspontja szerint a jelenlegi információk szerint sok kereskedő és elfogadó nem tudja meghatározni, mely tranzakciókra vonatkozik az erős ügyfélhitelesítés. Ezért olyan tranzakciókat is elutasíthatnak, melyeket a szabályozó szándéka szerint nem is kellett volna. Például fehér listákra tehetők a megbízható szolgáltatók az alapján, hogy mennyi csalás történik náluk, illetve a "két egymástól független hitelesítő elem" témakörében is vannak még viták, hogy mit fogad el a szabályozó és mit nem egymásától független elemeknek.Például az egyik lehetséges megoldás, hogy online fizetés esetében a bankkártyákra nem nyomtatják rá a CVC-kódot, és amikor így bocsátják ki újra a kártyákat, akkor azt külön, például egy papíron adják oda az ügyfélnek. Ha ezután adják meg a CVC kódot az online fizetésnél az ügyfelek, akkor a CVC-kód már egy külön megbízható elemnek számít, és ekkor már elegendő lenne egy sms-ben küldött egyszer használatos kód (3D secure 2.0) vagy az ügyfél által ismert jelszó/PIN-kóddal együtt az erős ügyfélhitelesítés teljesítéséhez. De kérdés, vajon mennyi idő kell egy banknak, hogy a teljes kártyaportfólióját lecserélje ezen a módon, és mennyi pénzbe kerül mindez nekik.
Még az MNB-nek sem minden világos egyelőre
Magyarországon az MNB a PSD2-es szabályozás nemzeti hatáskörű szabályozója. Július 3-án az MNB egy sajtótájékoztatón közölte:Homályos, de úgy néz ki, hogy a szabályozás határideje nem változik, minden marad a régiben, de a felügyeleteknek rugalmasan nemzeti hatáskörbe utalja az EBA azt, hogy mely szereplőknek milyen haladékot adnak és miben. Még idén közzétesznek egy végdátumot, ha a felügyelet alkalmazna egyfajta rugalmasságot, azt legkésőbb meddig teheti. Az MNB hamarosan dönt arról, mit is kezdhet a felügyelet Magyarországon ebben a kérdésben.
Az uniós direktíva betartását nemzeti szinten felügyelő hatóságok közül van, amelyik már június elején egy 18 hónapos átmeneti időszak bevezetését pedzegette, például a brit FCA, és az ír jegybank is jelezte, hogy belemennének egy ilyen megoldásba.
