Az Európai Parlamentig jutott az erős ügyfél authentikációról szóló RTS tervezet kapcsán kialakult piaci vita.

A 3 leginkább kritikus kérdéskört az EBA képviselője a parlamenti beszédében is kiemelte:

  1. Egyszerű authentikáció maximális értékhatára
  2. Folyószámla hozzáférés (“direct access”)
  3. Kivételek a 2-faktoros authentikáció alól

 

1./ Mi az az értékhatár, ameddig nem kell alkalmazni az erős ügyfél azonosítást?

Az RTS alapján online fizetésnél maximálisan 10 Euró egyszeri, napon belül pedig 100 Euró értékhatár felett szükséges a 2-faktoros authentikáció alkalmazása, míg az érintésnélküli fizetésnél 50/150 euró az értékhatár.  A két értékhatár eltérése extra beruházásokat, bonyolultabb belső folyamatokat jelent a  piaci szereplőknél, ezért többen kérték az értékhatárok egységesítését.

Azt gondoljuk, hogy az EBA ezen a ponton hajlamos lesz változtatni, azaz egységesíti az online és az érintésnélküli fizikai helyszínen történő fizetés esetén alkalmazandó értékhatárt.

 

2./ API / interfész és “direct access”

Több piaci szereplő úgy értelmezte az RTS-t, hogy az AISP és PISP szolgáltatók a bankok netbankjához közvetlenül és a nap 24 órájában, folyamatosan hozzáférhetnek, így a screenscraping is megfelel.  A szabályozó szűrőjén ez várhatóan nem megy át:  a PSD2 a screenscraping eljárást  nem definiálja “direct access”-ként, ugyanakkor szabványos nyílt hozzáférésről beszél, mely szabványokat az EBA jogosult meghatározni.

Amellett is határozottan érvelt Andrea Enria, hogy a bankok jogosultak meghatározni azt az authentikációs metódust, amelyet a harmadik feles szolgáltatónak alkalmaznia kell a folyószámla hozzáféréshez. Egyéb, “közvetlen módszerekkel” nem jogosult a TPP hozzáférni az ügyfél banki folyószámlája adataihoz.

 

A szabályozói üzenet jelentősége elsősorban az, hogy a screenscraping nem lesz megengedett megoldás, az open API-n keresztül lehet csak a PSD2 alapján a számla adatokhoz hozzáférni.

Ezen a ponton nem várunk változást, nem is nagyon lehetséges, az irányelv determinálja.

 

3./ A 2-faktoros – erős –  azonosítás alóli kivételek és az RBA, azaz Risk-Based Analysis alkalmazása

Az EBA egyértelmű álláspontja, hogy a PSD2 97 (1) cikkelye kimondta, a 2-faktoros azonosítás általános alkalmazását online, elektronikus fizetéseknél, az RTS ettől el nem térhet. Azaz, véleményük szerint az RBA technika és módszer alkalmazása az authentikációs folyamat egyszerűsítésére nem e szabályozás tárgya. Az RBA a Bankhatóság szerint az ügyfélauthentikáció kiegészítő, rásegítő eszköze.

Ha ebben a kérdésben nem változtat az álláspontján az EBA, az az online áruházaknak jelentős veszteséget jelent, illetve a fogyasztók is károsodnak az e-kereskedelemben már egyre inkább terjedő innovatív fizetési módok megnehezedése miatt.

 

A VISA pl. a UK viszonylatában akár 50 %-os visszafordulási arányt is jósol, amennyiben a szabályozás a jelenleg tervezett marad.

Az EBA a parlamenti meghallgatáson bejelentette, hogy várhatóan egy hónapot csúszik – 2017 februárjára – az RTS beadása a Bizottsághoz.

A piaccal a következő kommunikáció a mintegy 260 érintett kérdés áttekintő táblájának  illetve a kérdésekre adandó EBA álláspont (az észrevételek több mint 2000 oldal terjedelemben az EBA honlapján olvashatóak)  publikálása lesz.

Ekkor fogjuk látni, hogy a piaci érvelésekhez hogyan áll a szabályozó.

A Bizottságnak az RTS megfelelés vizsgálatára 3 hónap áll rendelkezésére, azaz valamikor május körül lehet elfogadott RTS.

 

A nagy kérdés: mit nyer vagy veszít a piac és a fogyasztó azzal, ha az EBA nem változtat álláspontján?

 

Egyelőre úgy tűnik, időt nyertek a szereplők arra, hogy a szabályozót meggyőzzék, illetve, hogy ha a 2-faktoros azonosításnál nem nyernek, megtalálják, hogy hol lehet még a piaci / fogyasztói érdekeket érvényesíteni.