Az MNB Pénzügyi Stabilitási Tanácsa 12 hónappal elhalasztotta az új pénzforgalmi irányelv (PSD2) bankkártyával végzett online fizetési műveletekre vonatkozó erős-ügyfélhitelesítési rendelkezéseinek bevezetését. A felhasználóknak ez a gyakorlatban azt jelenti, hogy még egy évig lehet magyar bankkártyával online vásárolni anélkül, hogy SMS-ben kapott kódot is be kelljen írnunk a fizetésnél.
Másik két fontos változás életbe lép 2019. szeptember 14-től:
- minden ötödik érintés nélküli vásárláskor meg kell adnunk a PIN kódunkat,
- csak kétfaktoros azonosítást követően léphetünk be a netbankunkba.
Mit jelent az erős ügyfél-hitelesítés?
Az erős ügyfél-hitelesítés során két módon is azonosítanunk kell magunkat. A PSD2 irányelv megkülönbözteti az:
- ismereten alapuló (pl. jelszó amit csak mi ismerünk),
- birtokláson alapuló (pl. egy mobiltelefon),
- csak ránk jellemző (biometrikus, pl. ujjlenyomat) azonosítást.
A PSD2 szerinti erős ügyfél-hitelesítés akkor történik meg, ha a fenti elemek közül legalább kettő azonosítás megvalósul a művelet jóváhagyása előtt.
Milyen változásokat hoz a PSD2?
- Online vásárlás esetén az erős ügyfél-hitelesítés keretében a fizetés csak az SMS-ben vagy mobilbankon keresztül kapott internetes biztonsági kód megadásával jöhet létre. Ehhez a számlavezető banknál kell regisztrálnunk egy mobiltelefonszámot, amin elérhetőek vagyunk. Magyarországon már sok helyen alkalmazzák, például ha online veszünk vonatjegyet, vagy pénzt töltünk fel a Revolut kártyánkra. Kötelező 2020. szeptember 14-től lesz.
Érdekes kérdés, hogy mi történik majd, ha az EU-n kívül szeretnénk online fizetni, például amikor Kínából rendelünk valamit. Ebben az esetben a biztonság a bankok felelőssége, és ahol nem lesz lehetőség az erős azonosításra, ott elég lesz a kártyaadatokat megadni, mint eddig. Elviekben ha nem biztosítja a kereskedő az erős faktoros azonosítást, a bankunk dönthet úgy, hogy nem engedélyezi a tranzakciót.
- Kötelező a kétfaktoros azonosítás az internetbankba való belépéshez. Tehát nem elég csak a jelszó, kell utána vagy egy SMS vagy egy jóváhagyás a mobilbank applikációban. Ez 2019. szeptember 14-től kötelező.
- Meg kell adnunk a PIN kódunkat a POS terminálon minden egymást követő ötödik érintőkártyás limit alatti érintéses fizetés után. Tehát hiába vannak a vásárlások 5 000 Ft alatt, minden ötödiknél kell a PIN kód. Akkor is meg kell adni a PIN kódot, ha az egymást követő PIN nélküli érintéses fizetések összértéke meghaladja a 150 eurót. Ez is 2019. szeptember 14-től kötelező.
A PIN kód nélküli érintéses limitek országonként változnak, Magyarországon 5000 Ft, de Ausztriában például 25 euro, Szlovéniában viszont csak 15 (a cikk íráskor érvényes árfolyamon 8 200 illetve 5 000 Ft). Mindig annak az országnak a limitje érvényes, ahol a kártyát használjuk. Magyarországon ez a limit 5 000 Ft.
Nyílt bankolás
Az európai uniós irányelv kötelezi a számlavezető bankokat nyílt hozzáférést biztosító technikai csatornák létrehozására, melyekkel harmadik feles szolgáltatók is hozzáférhetnek az ügyfelek számlaadataihoz (AISP), illetve onnan tranzakciókat is indíthatnak (PISP). Természetesen minden esetben szükséges az ügyfél hozzájárulása a hozzáféréshez és a tranzakció indításához. A PSD2 bevezetése utáni lehetőségekről ebben a cikkben írtunk bővebben.
A PSD2 az egész Európai Unióra érvényes, minden pénzintézetnek kötelező bevezetni. A magyar pénzforgalmi szolgáltatók egy év türelmi időszakot kaptak az informatikai fejlesztések befejezésére az MNB 2019. szeptember 10-i döntésével.