Épp három hónap múlva, szeptember 14-től lesz kötelező a 2-faktoros hitelesítés az online fizetéseknél az Európai Gazdasági Övezetben, így Magyarországon is. A Módosított Pénzforgalmi Irányelv (PSD2) részeként bevezetésre kerül az erős ügyfél-hitelesítés (SCA), ami a felhasználók számára is érezhető változást jelent majd az eddig megszokott online fizetési folyamatokhoz képest. Így fizethetünk 3 hónap múlva az interneten.

Amikor az erős ügyfél-hitelesítés életbe lép, minden internetes bankkártyás fizetés esetén (is) kötelező lesz a 2-faktoros tranzakció jóváhagyás. Ennek hiányában a fizetési tranzakciót a felhasználó bankja el fogja utasítani. A fizetési folyamatok átalakulásával, a jövő fizetési megoldásaival részletesen is foglalkozunk majd 2019.10.15-én a PayTechShow-n.

Hogyan változik a fizetési folyamat?

Jelenleg a kártyás fizetési folyamat két lépésből áll: a fizetés engedélyezéséből (authorizáció) és a fizetési kártya (mögötti egyenleg) terheléséből. Ez a két lépcsős folyamat fog kiegészülni egy harmadik lépéssel, a hitelesítéssel.

Amíg a hitelesítés nem történik meg, addig a fizetés engedélyezésére sem kerül sor. Ennek a hitelesítésnek a célja a kártyával történő visszaélések megakadályozása, a felhasználó biztonságának növelése.

A hitelesítés 2-faktor megadásával történik majd, amelyek – a bank döntésétől függően az – alábbi 3 faktorból 2 lehet:

amit a felhasználó ismer, pl. jelszó,
amit a felhasználó birtokol, pl. mobiltelefonra, mobileszközre kapott jelkód,
ami a felhasználó biológiai tulajdonságain alapul, pl. ujjlenyomat, arc(felismerés), hang(felismerés).

Előjáték: Internetes biztonsági kód (3D Secure)

Függetlenül a PSD2-től, a hazai kártyabirtokosok egy része találkozhatott már a fizetési folyamat során hitelesítési eljárással, amikor az ún. internetes biztonsági kód (3D Secure Code) megadását kérték a bankkártyán található adatokon túl (kártyaszám, kártyán szereplő név, lejárati dátum, CVC).

A hitelesítés a kártyakibocsátó banknál rögzített mobiltelefonszámra küldött sms (egyszer használatos kód) megadásával történik a fizetési folyamatba beágyazott webes felületen keresztül azoknál a kereskedőknél, amelyek alkalmazták az internetes biztonsági kód szolgáltatást.

Magyarországon nem minden bank nyújtja a Mastercard, vagy Visa kártyákhoz az internetes biztonsági kód szolgáltatást és nem is feltétlenül jár automatikusan a kártyához a szolgáltatás. Jelenleg a Budapest Bank, CIB Bank, Erste Bank, K&H Bank, OTP Bank, Uncredit Bank, Cetelem Bank nyújtják a 3D Secure szolgáltatást.

Azon felhasználók számára, akik jelenleg is használják az internetes vásárlásaik során az internetes biztonsági kódot (3D Secure), az erős ügyfél-hitelesítéssel életbe lépő változások nem okoznak majd meglepetést.

A PSD2 erős ügyfél-hitelesítés „feloldása”: 3D Secure 2.0

Az interneten történő bankkártyás fizetésekre vonatkozó erős ügyfél-hitelesítésre a kártyatársaságok megoldása a 3D Secure 2.0 lesz, amivel a kibocsátó bankok teljesíthetik a PSD2 elvárásait. Tervezetten idén év végén lesz kötelező a szolgáltatás alkalmazása, ám jelenleg még nem elérhető.

A 3D Secure 2.0 megoldást kínál a korábbi verzió hiányosságaira és jobb ügyfélélményt biztosít majd a fizetési tranzakció hitelesítéséhez. Az új generációs megoldás sokkal több adatot ad majd át a kibocsátó banknak minden tranzakcióról, így a bankok még fejlettebb kockázatelemző megoldásokat alkalmazhatnak a fizetés engedélyezése során.

A 3D Secure 2.0 kihasználja az okostelefónia nyújtotta lehetőségeket is és alapoz az igen magas okostelefon ellátottságra. A kártyabirtokosok a fizetési tranzakciók hitelesítését a kártyakibocsátó bank mobilbanki alkalmazásán keresztül is elvégezhetik majd. Jelszavak és sms-ben kiküldött egyszer használatos jelkódok helyett elegendő lesz az ujjlenyomatukat használni a hitelesítéshez.

A 2-faktoros hitelesítés során választhatjuk a „Hitelesítés a kártyakibocsátó szolgáltató alkalmazásán keresztül” opciót – amennyiben erre kártyakibocsátó bankunk (vagy szolgáltatónk, pl. Revolut, TransferWise) mobilalkalmazása alkalmas. Magyarországon a 20 legnagyobb bankból csupán 11-nek alkalmas a mobilbanki alkalmazása a biometrikus alapú hitelesítésre – derül ki a témában hamarosan publikálásra kerülő hazai white paper-t előkészítő felmérésből. (Részletek hamarosan a FinTechZone.hu oldalon.)

Ugyanakkor a PSD2 meghatároz olyan fizetési tranzakciókat is (kivételeket), amelyek esetén nem lesz szükség a 2-faktoros hitelesítésre, pl.: alacsony kockázatú ugyanazon partnernek rendszeresen fizetendő azonos összegű díjak – előfizetések – esetén.

Ezekben az esetekben az ügyfelek ugyanúgy fizethetnek majd az interneten keresztül, mint jelenleg, de a fizető kapukat (payment gateway) erre külön fel kell készíteni (ami a fizetési szolgáltatást nyújtók feladata lesz).

Kapcsolódó cikk:

Ugrásszerűen nőhet a biometrikus azonosítás szerepe, 2019.05.09.

Halasztást kérnek a bankok

A 3D Secure 2.0-ára való átállás az Európai Gazdasági Övezetben működő kártyakibocsátó bankoknál várhatóan a következő hónapokban megtörténik, ám hazai kártyatársasági források pár hete már jelezték, az átállás több időt vehet igénybe, így akár 18 hónapos csúszás is elképzelhető lesz. Részben ezt erősíti meg a Financial Times minap megjelent „Banks warn EU rules will scupper a quarter of online payments” c. cikke, amelyben azt írják:

„Európa nagy bankjai szerint az online fizetések egynegyedét nem lehet majd teljesíteni szeptembertől (az erős ügyfél-hitelesítés életbe lépésétől) a felkészülés hiányosságai miatt, ezért több időt kérnek.”

A PSD2 értelmében az erős ügyfél-hitelesítés hiánya miatt a fizetési tranzakciók visszautasításra kerülnek 2019. szeptember 14-től. Ha a bankok nem készülnek el határidőre, akkor

„az e-kereskedelemben akár 30%-os tranzakció visszaesés is bekövetkezhet”

– írja a Financial Times.

Az Európai Bankhatóság a héten ülésezett a felmerült aggályokkal kapcsolatban, ám arról még nincs hír, változtatnak-e az erős ügyfél-hitelesítés indulásának feltételein.

Hogy áll Magyarország a számok tükrében?

A 20 legnagyobb hazai bankból jelenleg 18 rendelkezik olyan ügyfél-hitelesítési képességgel, amely teljesítheti a 2-faktoros eljárást.
A 3D Secure 1.0 szolgáltatást jelenleg 6 bank nyújt Magyarországon.
A mobilbanki applikációk közül mindössze 11 alkalmas a biometrikus hitelesítésre.
A felnőtt magyar lakosság 15%-a használ mobilbanki alkalmazást.

Összességében a hazai bankok elméletileg képesek lehetnek teljesíteni az erős ügyfél-hitelesítéssel kapcsolatos elvárásokat, így

a hazai elektronikus kereskedőknek nem kell forgalomkiesésre számítaniuk a bankkártyás fizetések esetleges visszautasítása miatt.

A fizetési piac átalakulásáról, az új fizetési megoldások terjedéséről és az azokban rejlő lehetőségekről bővebb információkat az érdeklődők 2019.10.15-én a PayTechShow-n kaphatnak.

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

Így fizetünk 3 hónap múlva az interneten. Jön az erős ügyfél-hitelesítés

Hogyan változik a fizetési folyamat?

Előjáték: Internetes biztonsági kód (3D Secure)

A PSD2 erős ügyfél-hitelesítés „feloldása”: 3D Secure 2.0

Halasztást kérnek a bankok

Hogy áll Magyarország a számok tükrében?