Szeptember 14-én élesedik egy uniós jogszabály, a PSD2 (Revised Payment Services Directive), ami fenekestül fogja felforgatni a bankkártyás fizetéseket, a banki és a mindenféle pénzügyi szolgáltatások piacát. Ami az egészből az átlagembert első körben a leginkább érinteni fogja (sőt már most is érinti – erre rögtön visszatérünk) az az, hogy egy lépéssel bonyolultabb lesz online fizetni. Ugyanis szeptember 14-től alkalmazni kell a banki ügyfelek erős hitelesítését, aminek része a kétfaktoros azonosítás.

Jelenleg az azonosításhoz elég egy faktor, azaz az online fizetésekhez csak a bankkártyán szereplő adatokat kell megadni – akinek a kezében van a kártya, minden további nélkül bármennyit tud vele fizetni. Ez nyilván nem túl biztonságos, a fizikai fizetéseknél (legalábbis alapesetben ötezer forint fölött) ezért kell megadni a PIN kódot is – hiába talál vagy lop valaki egy bankkártyát, a PIN kód híján nem ér vele sokat.

Szeptember 14-től az online fizetéseknél az alábbi három kategóriába tartozó dolgok közül legalább kettővel rendelkeznie kell majd az azonosításhoz:

Magyarán szeptember 14-től az online vásárlások során nem lesz elég bepötyögni a kártyán szereplő adatokat (amiket a böngészők a kártya hátoldalán szereplő CVC-kód kivételével amúgy megjegyeznek, szóval pötyörészni se nagyon kell), azon felül valamilyen kóddal, esetleg ujjlenyomattal vagy hanggal is igazolni kell majd, hogy az ember tényleg az, akinek állítja magát.

A magyarországi bankok jelenleg arra rendezkednek be, hogy a minden egyes fizetéshez SMS-ben kiküldött, egyedi kóddal oldják meg a második faktort – derül ki a Portfoliónak adott válaszaikból. Az OTP például nemcsak közleményt adott ki, de netbankos felületén és minden fizetésnél is noszogatja az ügyfeleit, hogy aktiválják a kétfaktoros azonosítást, különben szeptember 14-től nem fognak tudni online fizetni.

Az SMS-kód nyilván jól megbonyolítja a fizetéseket, különösen, ha a kód ugyanarra az eszközre érkezik, mint amin az ember épp fizetni próbál (okostelefon): az SMS-alkalmazásban meg kell nézni, milyen kód jött, azt át kell pötyögni vagy másolni egy másik alkalmazásban megjelenő mezőbe. Bár az Európai Bankhatóság (EBA) állásfoglalása szerint az egyedi SMS-kód teljesíti a PSD2 előírásait, de azért komoly aggályok merültek fel ennek a megoldásnak a biztonságával kapcsolatban, hiszen a telefonszámokat a telefoncégek rendszereinek feltörésével át lehet irányítani más SIM kártyákra, így el lehet téríteni az SMS-eket is. A német bankok épp ezért elfele mozognak ettől a megoldástól.

Vélhetően a magyar bankok sem fognak sokáig az SMS-kódos azonosításnál maradni, az egyrészt ugye nem feltétlenül biztonságos, másrészt az ügyfeleknek is kényelmetlen. Márpedig a banknak is az az érdeke, hogy az ügyfél minél kényelmesebben és minél többet fizessen. A Takarék Csoport közölte is a portfolio.hu-val, hogy a „későbbiekben a kódokat kiváltó - mobilapplikáció segítségével használható - biometrikus azonosításra, illetve az egyes tranzakciók viselkedési alapon történő hitelesítésére” is készülnek. Ők egyébként állandó kódot, amolyan netes PIN-t is bevezetnek. A kétfaktoros azonosítás csak addig lesz macerás, amíg SMS-kódokkal kell bajlódni, ha elég lesz megérinteni a telefon ujjlenyomat-olvasóját, sőt elég lesz ránézni a telefonra fizetés közben (ami azért jellemzően előfordul ilyenkor) az arcfelismeréshez, minden sokkal olajozottabban fog menni. Mivel az ujjlenyomat-olvasók és az arcfelismerő szoftverek ma már szinte minden okostelefonban szériatartozéknak számítanak, csak idő kérdése, hogy a bankok leszámoljanak az SMS-kódokkal, vagy legalábbis elérhetővé tegyék a kényelmesebb azonosítási formákat. Ehhez persze fejlesztésekre van szükség, ami időbe és pénzbe kerül. Az sem gond, ha valaki épp nem mobiltelefont használ, a szolgáltatások platformok közti összekötése már megoldott, például az OTP webes netbankjába is be lehet lépni a telefonos applikációban leolvastatott ujjlenyomattal.

Szerencsére a PSD2 szabályai szerint sem kell majd minden fizetést kétfaktorosan azonosítani. A rendszeres, azonos fél felé történő, azonos összegű fizetéseket elég lesz egyszer jóvá hagyni – ilyenek például az előfizetések. Szóval nem kell majd minden egyes hónapban újra és újra engedélyezni egy Netflix- vagy Spotify-előfizetés teljesítését. Erre sajnos nem lesz mód, ha a fizetendő összeg változik, például a közüzemi számlák esetében. Azonban a PSD2 értelmében az ügyfelek egyes partnereket fehér listára tehetnek majd, a feléjük történő fizetéseket alapesetben nem kell minden alkalommal igazolni, azonban a pénzügyi szolgáltatók bármikor kérhetik az azonosítás megismétlését a fehérlistás fizetések esetében is – mondjuk ha valamiért gyanúsnak értékelik az adott fizetést.

Az erős ügyfél-hitelesítésre nemcsak azért van szükség, mert most az online fizetések nem elég biztonságosak, hanem mert szeptember 14-től beindul a fizetési piac liberalizálása. Ez azt jelenti, hogy a bankoknak hozzáférhetővé kell tenniük a rendszereiket és az adataikat harmadik felek számára. Ezek belépésével nőnek a kockázatok, ez (is) indokolja a fizetések szigorúbb azonosítását.

Szeptember közepétől a bankoknak hozzáférést kell biztosítaniuk egyrészt a számlainformációkhoz, másrészt lehetővé kell tenniük, hogy harmadik felek is kezdeményezhessenek fizetéseket az ügyfeleik nevében – természetesen csak ha egy adott ügyfél ehhez hozzájárul. A gyakorlatban ez azt jelenti, hogy külső szolgáltatók is láthatják majd a banki ügyfelek adatait, illetve ráfejleszthetnek a bankok rendszereire. Például jelenleg csak a bank saját fejlesztésű mobilos alkalmazásában lehet megnézni, mennyi pénz van az ember számláján, és csak a bank alkalmazásából lehet átutalást indítani. Ha az alkalmazás vacak, átláthatatlan, csúnya – az ügyfél így járt, legfeljebb akkor használhat más appot, ha bankot vált. Szeptember 14-től külső szolgáltatók is fejleszthetnek esetleg sokkal szebb, sokkal jobb mobilappot, ami hozzáfér a bank rendszeréhez, és az ügyfél utasítására akár fizetéseket is kezdeményezhet.

Az új szolgáltatóknak természetesen egy sor követelménynek meg kell felelniük, regisztrálniuk kell magukat, a pénzforgalmi rendszer megnyitása nem jelenti, hogy vadnyugati állapotok következnek. Az új, harmadik fél szolgáltatók is adatközlési kötelezettséggel tartoznak majd a felügyeleti szervek (Magyarországon a jegybank) felé, és azok ellenőrzése alatt fognak működni. Ráadásul az új irányelv még szélesebb körű adatközlésre kötelezi mind a régi, mind az új szereplőket. A jegybank szigorú felügyeletet ígér, nem szeretnék ugyanis, ha sérülne a lakosság digitális pénzügyi szolgáltatásokba vetett bizalma.

Magyarországról eddig három külső szolgáltató vállalat regisztrálta magát a jegybanknál és az Európai Bankhatóságnál, mindhárom számlainformációs szolgáltatóként – vagyis az ügyfeleik banki adatait láthatják majd, de fizetéseket nem kezdeményezhetnek a nevükben. Egyikük, az aggreg8.io önmeghatározása szerint egy „online felületen elérhető alkalmazás, melynek segítségével a felhasználó a bankszámláinak tranzakciótörténetét egy felületre képes leszinkronizálni, ezáltal gyorsan és egyszerűen képes képbe kerülni pénzügyi helyzetével”. Magyarán ha valakinek több számlája van, vagy az egy háztartásban élőknek van több számlájuk akár több banknál, egy felületen láthatják, melyik hogy áll. Erre a mostani zárt, külső szereplők által nem hozzáférhető banki rendszerek mellett nincs mód.

Ha úgy tetszik, a bank mint hagyományos pénzügyi szolgáltató bekerül a motorháztető alá, a motorhoz pedig más is építhet karosszériát – beleértve persze magát a bankot. Jogszabályalkotói és hatósági részről az az elképzelés, hogy a sokkal nyíltabb verseny miatt az ügyfelek egyrészt több és jobb szolgáltatásból választhatnak majd, ráadásul a verseny a szolgáltatások árát is le fogja verni. Az sem elhanyagolható szempont, hogy a pénzügyi szolgáltatások az elmúlt években egyre inkább átköltöztek a digitális térbe, ahol a bankok hagyományosan nem mozognak otthonosan, a piacra most beengedett informatikai cégek viszont igen.

Az elképzelések szerint a számlainformációkhoz való szabadabb hozzáférésnek köszönhetően egy sor szolgáltatás (például a hitelbírálat, mert nem kell minden banktól bekérni az adatokat) leegyszerűsödhet és felgyorsulhat, sőt új termékek jelenhetnek meg a piacon, az ügyfelek személyre szabottabb szolgáltatásokhoz férhetnek hozzá.

Minderre rátesz majd egy lapáttal, ha 2020 tavaszán elindul az azonnali fizetés – illetve az ügyfelek számára is elérhető lesz, mert tesztüzemben már működik. Az azonnali fizetési rendszernek (amiben a tranzakciók késedelem nélkül, azonnal átmennek és elég lesz akár csak egy telefonszámot megadni) egyébként július 1-én el kellett volna indulnia, de ezt 2020. március 2-ára halasztották. Néhány (de nagy ügyfélkörrel rendelkező) pénzintézet nem haladt a megfelelő ütemben a szükséges fejlesztésekkel, és nem akartak úgy indulni, hogy az azonnali fizetés csak a pénzügyi rendszer egy részében érhető el, ezért döntöttek a halasztás mellett.

A jegybankban mindenesetre nagy az optimizmus az új időszámítással kapcsolatban, a jegybank a tech cégek, telekommunikációs vállalatok megjelenésétől még keményebb versenyre, és így magasabb színvonalú szolgáltatásokra számít. „Háborús helyzet alakul majd ki az ügyfelekért, teljesen át fog alakulni a pénzforgalmi iparág” – mondta Bartha Lajos az MNB ügyvezető igazgatója a pénzforgalmi rendszerről szóló friss jelentés bemutatóján. Az (ügyfelek számára) idilli jövőt ezzel az ábrával illusztrálta:

Addig azért még várhatók bukkanók, a szeptember 14-ei határidőre nagy valószínűséggel nem fog tudni elkészülni a fizetési lánc minden tagja az előírt fejlesztésekkel (nemcsak a bankoknak, hanem a kártyatársaságoknak és a kártyaelfogadóknak is van bőven tennivalójuk). A határidőt már nem lehet kitolni, az Európai Bankhatóság ezért felhatalmazta a tagállami hatóságokat (vagyis Magyarországon az MNB-t), hogy eseti alapon türelmi időt adjanak egyes szereplőknek, de még az is lehet, hogy egységes türelmi időt vezetnek be.

Szóval egyelőre nem világos, tényleg élesednek-e a PSD2-es követelmények szeptember 14-én, illetve hogy minden szereplő egyszerre kezdi-e el alkalmazni őket – írja a jegybanktól, a Bankszövetségtől és a kereskedelmi bankoktól kapott válaszok alapján a Portfolio. Ezzel az a gond adódhat, hogy ha egy bank által kibocsátott bankkártyánál már elvárás az erős ügyfél-hitelesítés, de a kártyát elfogadó szereplő (például kereskedő) még nem alkalmazza, akkor a tranzakciót elutasítják, vagyis az ügyfél nem tud fizetni. Ilyenkor megoldás lehet, hogy ugyan elfogadják a fizetést, de ha csalás történt, akkor a pénzügyi felelősséget annak kell vállalnia, aki miatt nem alkalmazták az erős hitelesítést.

Kapcsolódó: Mától új pénzforgalmi szabályok lépnek életbe - ezek a bankkártya-tulajdonosokat érintő változások