2016.11.24.

Ügyfélazonosítás a PSD2 után

A PSD2 irányelv napjainkban legtöbbet tárgyalt szakmai vitatémái az ügyfél azonosítás és a szolgáltatók közötti felelősségi viszonyok.

A szabályozás (Draft RTS on SCA) 2-faktoros ügyfélazonosítást ír elő alapszabályként, ahol az authentikáció módját a PSD2 alapján a hozzáférésre kötelezett bank határozza meg. A folyószámla vezető rendszer adataihoz hozzáférést kérő AISP vagy PISP szolgáltatónak pedig ezt a módot kell alkalmaznia a fogyasztó azonosítására. Ennek alapján a fogyasztó felé a felelősség is az övé.

Mi lehet a 2 faktor?

A 2-faktoros azonosítás során az alábbi három kategóriából kötelezően két kategóriát kell választania a banknak:

1. Inherence – a fogyasztó valamely biológiai azonosítására alkalmas elem, pl. ujjlenyomat, arcfelismerés vagy irisz szkenner

2. Knowledge – kizárólag a fogyasztó által ismert elem, pl. jelszó vagy biztonsági kérdés

3. Possession – a fogyasztó birtokában lévő információ, pl. telefon SIM kártya, bankkártya, token

(Az authentikációs elemeknek egymástól függetlennek kell lenniük, illetve az egyes elemekből generált authentikációs kód egyetlen tranzakcióra lehet érvényes (dynamic one time authentication code).

A 2-faktoros azonosítást alkalmazni kell:

minden online, elektronikus fizetési tranzakció indításakor (pl. online kártyás fizetés, de ide tartozik a SEPA átutalás is és a PayPal használata is).
Ismétlődő, rendszeres netbankon vagy mobilappon keresztüli csoportos beszedésnél vagy rendszeres átutalásoknál nem kell minden alkalommal alkalmazni a 2-faktoros azonosítást – elegendő a megbízás megadásakor.

A 2 faktoros azonosítás alóli kivételeket nem dönthetik el a bankok saját hatáskörben.

Ma ismert kivételek

NFC-s fizetések, a napi 50 Euró (egy napon belül összesen 150 Euró) értékhatárig, távoli online fizetésnél a 10 Euró (napon belül összesen 100 Euró) értékhatárig.
Un. “trusted beneficiary”, aki lehet egy kedvezményezett szolgáltató, aki a szabályozás életbe lépésekor már a fogyasztó csoportos beszedési listáján rajta volt, vagy PSD2 szerinti engedéllyel és az adott fogyasztó explicit felhatalmazásával bíró PISP szolgáltató. Bátrabb vélemények szerint a szabályozás jelenlegi értelmezése alapján akár a fogyasztó saját maga is összeállíthatja a saját “trusted” listáját, s amennyiben bankját / pénzügyi szolgáltatóját erre felhatalmazza, a listán szereplő cégek (kereskedők, partnerek, családtagok, stb.) felé irányuló tranzakcióknál el lehet tekinteni a 2-faktoros azonosítástól. (Ne felejtsük el: a meghatalmazás mindig 2-faktoros azonosítással történik, a kedvezmény utána él.)
Az Európai Bankfelügyelet (EBA) az AISP, azaz a számlainformációkat összesítő szolgáltató adat lekérdezéseit kivette a 2-faktoros azonosítás hatálya alól azzal, hogy a legelső alkalommal, amikor a fogyasztó megbízza a szolgáltatót, akkor szükséges a 2-faktoros azonosítás. Ennek oka alapvetően az, hogy az AISP szolgáltató nem rendelkezik egyetlen pillanatban sem a fogyasztó pénzeszközei felett.

Lehetséges (mellék)hatások

Érdemes elgondolkodni azon, hogy mi lehet a “trusted beneficiary” intézményének piaci hatása – főként a kártyás vásárlások ügyfélélmény-romlása következményeként. Vajon a kártyás fizetések csökkenésére mit lépnek a kártyatársaságok? Elsők között lesznek, akik PISP szolgáltatási engedélyért folyamodnak?

Az online kereskedők érvelése szerint a 2-faktoros azonosítás az online vásárlások csökkenéséhez vezethet,

hiszen az azonosítás miatt megszűnik a “one-click” típusú vásárlás lehetősége a PSD2 bevezetésével. A check-out folyamat könnyedsége, gyorsasága sérül az azonosítási eljárás szigorításával, illetve az innovatív, bátrabb kereskedők piaci előnye is megszűnik a 2-faktoros azonosítás kötelezővé tételével.

Címkék:

digital bank | mobile bank | PSD2 | regtech | regulation

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description