SAJTÓKÖZELMÉNY
Legkésőbb 2021. január elsejétől valamennyi hazai pénzintézetnek be kell vezetnie az erős ügyfél-hitelesítést az internetes vásárlási tranzakciók biztonságának erősítése érdekében. Az átállást az Európai Unió pénzforgalmi irányelve (PSD2) írja elő. Eszerint a netes vásárlásokkor az eddigi adatok - bankkártya szám, név, lejárat, ellenőrző (cvc2/cvv2) kód – megadása már nem lesz elég. Szükség lesz egy olyan azonosításra, amely kapcsán egyértelműsíthető, hogy az adott tranzakciót valóban a kártyabirtokos indította, s nem pusztán a kártya adataival kíván visszaélni valaki. Erre az ügyfél aktív közreműködését kívánó újabb azonosítási lépés adhat garanciát.
Hogyan működik a többlépcsős azonosítás?
Több pénzintézet már sikerrel alkalmazza a többlépcsős azonosítást, így lehetnek olyan ügyfelek, akiknek nem kell új szabályokat alkalmazni január elsejétől. Azonban az ügyfelek jelentős részétől némi felkészülést kíván az előírás. A folyamat bankonként eltérő, sokféle lehet. Az erős ügyfél-hitelesítési folyamat során az egyik megoldás, hogy a bankkártya alapadatok megadása után a kártyabirtokos a fizetés megerősítéséhez a kibocsátó bank által üzenetben megküldött, illetve további, az ügyfél által ismert adatokat ad meg. Az erős ügyfélazonosításhoz tehát szükséges lehet a bankkártyás és ügyfél adatokon kívül egy, a fizetési felületen megnyíló új ablakba beírandó egyszer használatos kód használatára is. De ugyanúgy megfelelhet az azonosítási feltételeknek, ha a bank a mobiltelefonon keresztül jelszavas (pl. mobil PIN-kód), vagy biometrikus (ujjlenyomat, írisz) azonosítást kér az ügyféltől a tranzakció végrehajtására. Van olyan hitelintézet, amely mobilbanki vagy egyéb applikációt von be a tranzakció jóváhagyásába. Ha az azonosítás sikeres, a fizetési tranzakció teljesül. A többlépcsős azonosításnak köszönhetően a jövőben az online térben még biztonságosabbá válik a bankkártyás fizetés.
Az internetes vásárlások biztonsága terén Magyarország egyébként kimagaslóan jól teljesít: a 2019-ben lebonyolított több mint 146 millió internetes vásárlás esetén 1 millió tranzakcióból csupán 33 darab volt netes csalással érintett. A visszaélések értékét tekintve 0,017 % a csalási kitettség. Amelyhez még tudni kell, hogy a Magyar Nemzeti Bank adatai szerint az összes fraud kár mindössze 7 százalékát kellett a kártyabirtokosoknak viselniük valamilyen súlyosan gondatlan magatartás miatt, míg a költségek 93 százalékát a fogyasztóvédelmi elvek alapján a bankszektor fizette meg. Az online és kártyás biztonság terén hazánk évről-évre a legjobbak között, dobogós helyen végez az Európai Unióban.
Mi történik, ha nem sikeres az azonosítás?
Abban az esetben, ha az azonosítás nem sikeres, vagy nem történik meg, a fizetési szolgáltatónak el kell majd utasítania a tranzakció végrehajtását. A fentiek miatt fontos, hogy az év hátralévő részében minden kártyabirtokos ügyfél tegyen eleget a bankja azon – általában több csatornán keresztül is eljuttatott – felhívásának, hogy adja meg, illetve ellenőrizze az erős ügyfél-hitelesítéshez szükséges, a hitelintézetnél regisztrált adatait (pl. mobiltelefonszám). Előfordulhat tehát, hogy a szolgáltató a korábban már berögzített adatok (például telefonos kódok) frissítését, vagy egy alkalmazás letöltését kéri az új biztonsági folyamathoz. Emiatt kiemelten fontos, hogy a letöltés előtt az ügyfél győződjön meg, hogy a banki felületet használja. Továbbra sem kérnek a szolgáltatók PIN kódot vagy egyéb érzékeny adatot az azonosításhoz.
Minden tranzakcióra vonatkozik a többlépcsős azonosítás?
Az Európai Unió előírásai szerint az EU-n belüli hitelintézettel szerződött internetes kereskedőknek és szolgáltatóknak lesz kötelező erős ügyfél-hitelesítést alkalmazniuk a bankkártyás vásárlásoknál 2021. január elsejétől. Ugyanakkor a magyar szabályozás értelemszerűen csak a magyar webshopok üzemeltetőivel szemben tudja elvárásként megfogalmazni, hogy bankkártya elfogadó bankjukkal dolgozzanak azon, hogy januártól az internetes kereskedők honlapjainak fizető felülete is alkalmas legyen a szigorú ügyfél-hitelesítésre. Miután a tagállamokban működő kereskedők felkészültsége eltérő lehet, előfordulhat olyan helyzet, amikor európai cég által üzemeltetett webshopból hiúsul meg a vásárlás azért, mert a fizető felület nem alkalmas a többlépcsős azonosításra. A fizetési folyamat több szereplős, a hiba ilyenkor nem a magyar banknál van, hiszen neki az ügyféladatok védelme érdekében kötelezően végre kell hajtania a tranzakció letiltását.
Az Európai Unió határain kívüli (pl. kínai, amerikai) webshopok üzemeltetőinek – egyelőre – nem kötelező az erős ügyfél-hitelesítés biztosítása, így az ottani áruházakban indított fizetési tranzakciók jóváhagyásához a korábban megszokott adatok megadása elegendő.
Ha az erős ügyfél-hitelesítéssel kapcsolatban további információt szeretne, érdemes elsőként a kártyakibocsátó bankja holnapján tájékozódni, kérdés esetén a bank ügyfélszolgálatait megkeresni.