bankkartya pos terminal nfc mobilfizetes
Üzlet

PSD2 – Új korszak kezdődött?

Dávid Attila, Rowanhill Digital
Mindjárt meg is válaszolom a címben szereplő kérdést: igen is, meg nem is. Több mint másféléves fejlesztést és felkészülést követően, szeptember 14-én életbe léptek az európai uniós, PSD2-nek nevezett pénzforgalmi irányelv nyílt bankolással (open banking) és erős ügyfélhitelesítéssel (strong customer authentication – SCA) kapcsolatos rendelkezései. Nézzük meg röviden mi változott, és egyelőre mi nem!

A PSD2-nek a legalapvetőbb célja, hogy minden eddiginél kedvezőbb környezetet teremtsen a digitális pénzügyi szolgáltatások fejlődéséhez és versenyéhez, ezáltal nyíltan támogassa az új szolgáltatók belépését a pénzügyi piacokra.

Nyílt bankolás – nyílnak az új interfészek

Néhány nappal az indulás után úgy tűnik, hogy a legnagyobb hazai szereplők túlnyomó többsége határidőre élesbe állította azokat a fejlesztéseit, amelyek révén a pénzforgalmi szolgáltatók (bankok) ügyfelei külső szolgáltatók (Third Party Provider – TPP) számára is engedélyezhetik a fizetési számláikhoz történő hozzáférést. A PSD2-nek ugyanis az talán a legfontosabb vívmánya, hogy a bankoknak biztosítaniuk kell, hogy az ügyfeleik számlainformációs és fizetéskezdeményezési szolgáltatók igénybevételével is hozzáférhessenek a számlaadataikhoz (egyenleginformáció és számlatörténet), valamint az arra megfelelő engedéllyel rendelkező szolgáltató esetében átutalásokat is kezdeményezhessenek – és ez itt egy fontos kitétel – az internetbankon keresztül is elérhető számláikról. Tehát, ha valakinek van olyan számlája, amelyet internetbanki kapcsolaton keresztül nem ér el (pl. egy megtakarítási számla), akkor azt a számláját az új szolgáltatókon keresztül sem fogja tudni kezelni.

Mivel a nyílt bankolást biztosító interfészek kiszolgálása többnyire újonnan élesbe állított banki rendszerekkel történik, a bankoknak fokozott figyelmet kell fordítaniuk ügyfeleik adatainak védelmére. A külső szereplők megjelenése is erre kell, hogy sarkallja a bankok információbiztonsági szakembereit, hiszen a bankok ezzel a lépéssel egy egészen más világba nyitottak kaput, és minden bizonnyal eleinte szokatlan lesz számukra, hogy immár nem a zárt kis belső rendszereikben kell majd megfelelniük a felügyeleti elvárásoknak, az ügyféligényeknek és a magas szintű információbiztonsági követelményeknek.

Az új banki API-khoz (application programming interface – szabványos csatlakozási felület) kapcsolódva, a TPP-k számára a felhasználók erős ügyfélhitelesítéssel adhatnak majd engedélyt a hozzáférésre, amelyet adott esetben bármikor vissza is vonhatnak. Fontos, hogy a hozzáférés csak az ügyfél egyedi engedélyével lehetséges, az EBA (European Banking Authority) regisztráció és engedély megléte automatikusan nem hatalmazza fel a TPP-t, hogy banki számlákról információt kérjen vagy fizetést indítson annak terhére. Az EBA regiszter szerint Magyarországon már három ilyen TPP rendelkezik a szükséges engedélyekkel, így minden bizonnyal ezen szolgáltatók lesznek azok, amelyek elsőként kapcsolódnak majd a bankok nyílt interfészeihez. Kérdés: elegendő-e ennyi új szolgáltató, és vajon ténylegesen mikor fognak megjelenni az ügyfelek számára is elérhető, új szolgáltatásokkal? Egyelőre nem látszik az öldöklő verseny, de bízzunk benne, hogy tényleg az ügyfelek, vagyis a mi kegyeinkért fognak majd küzdeni a piac szereplői, és végre megfordulhat az a rossz tendencia, hogy az EU-ban Magyarországon az egyik legdrágább a bankolás. Szóval úgy tűnik, a bankok elindították az új API-kat, hogy ténylegesen működnek is, azt majd a TPP-k új szolgáltatásainak megjelenése fogja megmutatni.

Erős ügyfélhitelesítés (SCA) – tudni nem elég

Az előzőekben már esett szó az erős ügyfélhitelesítésről, a TPP-knek adott felhatalmazás kapcsán, de tulajdonképpen miről is van szó? Az online bankszámla-hozzáférések (internetbank, mobilbank) és a bankkártyás fizetési műveletek esetében változik, szigorodik, hogy a bank hogyan azonosítja az ügyfelét. Eddig általában elegendő lehetett egy felhasználónév/jelszó páros a belépéshez, illetve bankkártya használat esetében az 5000 Ft alatti érintéses fizetéseknél nem kellett PIN kódot megadni, valamint az internetes vásárlásoknál elegendő volt a bankkártyán szereplő adatok (kártyaszám, lejárat, ellenőrzőkód) ismerete. Az első két esetben ez mostantól kevés lesz.

Az online bankolási szolgáltatásokba mostantól kizárólag erős ügyfélhitelesítést követően lehet belépni, ami a legtöbb esetben egy sms-ben kapott ellenőrzőkód megfelelő helyre történő beírását jelenti. Ehhez nyilván az szükséges, hogy a bank rendelkezzen az ügyfele elérhetőségével, de erre az utóbbi időben számos kampányban felhívták az ügyfelek figyelmét.

Fizikai elfogadóhelyeken (áruház, étterem, taxi stb.) történő kártyás fizetésnél abban az esetben, ha az egymást követő 5000 Ft alatti, tehát PIN nélküli érintéses fizetések összértéke meghaladja a 150 eurót (ez alkalmasint 50 ezer Ft, tehát legalább 11 vásárlás), akkor az adott tranzakció esetében is meg kell adni a PIN kódot. A szolgáltató dönthet úgy, hogy egy másik számlálót alkalmaz, és minden ötödik ilyen fizetést követően kéri be a PIN kódot. Összességében az ügyfél az egészből annyit fog érzékelni, hogy néha olyan esetekben is kér majd a POS terminál PIN kódot, amiknél korábban nem. A számlálót minden PIN megadás nullázza, tehát pl. egy ATM-es készpénzfelvétel is. De mi a helyzet a jelenleg erősen felfutóban lévő mobilfizetésekkel, pl. a Magyarországra idén berobbanó Apple Pay-jel? Nos, szerencsére itt a fizetés jóváhagyása minden esetben a mobileszközön végrehajtott azonosítással történik (pl. Face ID vagy Touch ID), ami kiváltja a PIN megadást, és ez eleget tesz az SCA kritériumainak, így itt marad minden a már megszokott módon.

Internetes vásárlás – 12 hónap haladék

A PSD2 az internetes vásárlások esetében is bevezeti az erős ügyfélhitelesítést. Meghatározza, hogy három típusú faktorból (ismeret, birtoklás, tulajdonság) legalább két különböző típusút kell alkalmazni a hitelesítés során. Mik lehetnek ilyen tényezők? Pl. ismeret alapú: valamilyen azonosítókód, birtoklás alapú: maga az eszköz, amin az online fizetési művelet zajlik és tulajdonság alapú: valamilyen biometrikus jellemző (pl. ujjlenyomat- vagy arcfelismerés). Itt jött azonban egy csavar, az EBA állásfoglalása alapján az eddig használt azonosítási tényező, vagyis a bankkártyán feltüntetett adatok semmilyen faktornak nem minősülnek ezentúl. Erre válaszul a legtöbb szolgáltatónak mindjárt legalább két új faktor bevezetésén kellett elkezdeni dolgozniuk. Általános jelenség szerte Európában, nemcsak Magyarországon, hogy a szolgáltatók nem készültek el határidőre az ide vonatkozó fejlesztéseikkel. Ennek számos oka van, de valószínűleg az a legmarkánsabb, hogy a határidő megállapításakor nem vették kellő súllyal figyelembe, hogy a változás nemcsak a szolgáltatók rendszereit érinti, de az összes online elfogadó működését is meg kell változtatni, továbbá minden érintett kártyabirtokos előzetes együttműködése is szükséges (mobiltelefonszám megadása). Szerencsére ezt idejében felismerte a piac, és így még volt lehetőség arra, hogy a szabályozóknál elérjék az SCA kötelező bevezetésének elhalasztását, legalább az online fizetések tekintetében. Nálunk az MNB hozta meg a döntést, amit a múlt héten tettek közzé, és így a fejlesztési folyamatok időigényére való tekintettel további 12 hónap felkészülési időt engedélyeztek a szolgáltatók számára az internetes bankkártyás tranzakciókhoz kapcsolódó erős ügyfélhitelesítés bevezetésére. Ezek alapján az internetes vásárlási tranzakciók folyamata egyelőre nem változik.

2020 – az ügyfél a nyertes

Kíváncsian várjuk hát, mit hoz 2020. Állítólag márciusban elszabadul a verseny, amiben az ügyfelek kerülnek a középpontba mind a hagyományos banki szolgáltatók, mind a fintech innovátorok, a telekommunikációs cégek és a techóriások célkeresztjében, és jelszavaik lesznek: azonnali fizetés, PSD2 és PAD.

A szerzőről:
Dávid Attila, a RowanHill Digital senior szakértője, aki főleg a fizetési technológiák innovációjában szerzett tapasztalatot az elmúlt több mint 10 évben. Az OTP Bank színeiben részt vett többek között a contactless bankkártyás fizetés hazai meghonosításában, az első magyar Mobiltárca alkalmazás megalkotásában. Ezek után mély ismeretek szerzett a prepaid kártyák világában, majd több pénzintézetnél segítette a kártyás háttérrendszerek megújítását. Legutóbb pedig, ismét az OTP-nél, vezette az Apple Pay bevezetését valamint az internetes kártyás fizetések biztonságosabbá tételét célzó, PSD2 szerinti erős ügyfélhitelesítés megvalósítását.

Alteo klub
20191003_0003_MOR
Frankfurti tőzsde
Coaching
Boris Johnson szavazas brexit dontes parlament1500
Népszerű
Friss hírek TÖBB FRISS HÍR
Online előadás
Befektetési termékek a magas hozam reményében.
A tőzsdei tankönyv
Az alapoktól a trendkövető kereskedési stratégiákig kísér a könyv.
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Ügyvédek

A legjobb ügyvédek egy helyen

Infostart.hu

Junior elemző/elemző

Junior elemző/elemző

Szerkesztő-újságíró

Szerkesztő-újságíró
2019. november 6.
Portfolio Private Health Forum 2019
2019. november 7.
Energy Investment Forum 2019
2019. november 14.
Portfolio Banking Technology 2019
2019. november 20.
Office Stage - Út a hatékony irodához
Alteo klub