A jövő évtől már máshogy nézhetünk a pénzügyeinkre és a bankunkra is. Az EU-ban 2018-tól új pénzügyi szolgáltatók léphetnek a piacra, amelyek gyorsabb, kényelmesebb és olcsóbb pénzügyi szolgáltatásokat nyújthatnak. Az átalakulásban – és „a szép új világban” – a kritikus pont a biztonság lesz, amire egy magyar megoldás nyújthat segítséget az európai bankoknak.

A minap publikálták azt az EU-s műszaki követelményrendszert (RTS), ami leírja, 2018-tól hogyan települhetnek rá az új szereplők (TPP-k: AISP és PISP) a bankok infrastruktúrájára. A bankok háttérbe szorulhatnak és még a felelősség is az övék lesz, ha visszaélésre kerül sor. A kritikus pont az új szereplők belépésével az ügyfelek beazonosítása lesz. A bankok számára az egyik megoldás a tanúsítványon alapuló elektronikus aláírás lehet, ami alapból teljesíti az előírt biztonsági követelményeket. A magyarok által fejlesztett megoldás, – a PassBy[ME] – megfelelő eszköz lehet az európai bankok számára a biztonságos ügyfélhitelesítéshez (SCA).

Mi fog történni egészen pontosan? És mit jelentenek az alábbi betűszavak: PSD2, TPP, AISP, PISP, RTS, SCA?

A PSD2, azaz a módosított Pénzforgalmi Irányelv hozzájárul a verseny fokozásához a pénzügyi szolgáltatások piacán. A PSD2 megteremti annak a lehetőségét, hogy új innovatív fizetési szolgáltatások és új szolgáltatók (ún. harmadik feles szolgáltatók) jelenhessenek meg a piacon. A harmadik feles szolgáltatók (TPP: Third Party Provider) – pl. fintech startupok – rátelepülhetnek a banki folyószámlavezető rendszerre és azt ellenőrzött keretek között használhatják pénzügyi szolgáltatások nyújtására. A PSD2 két típusú harmadik feles szolgáltatót különböztet meg: a Számlainformációs szolgáltatót (AISP – Account Information Service Provider) és a Fizetéskezdeményezési szolgáltatót (PISP – Payment Initiation Services Provider).

A PSD2 végrehajtásához számos részletszabályra van szükség. Az egyik legfontosabb részletszabály a biztonsági követelményeket meghatározó Erős ügyfélhitelesítésről szóló Szabályozástechnikai Szabvány, röviden: RTS (Regulatory Technical Standards). Meghatározza például, hogyan kapcsolódhat össze az AISP, PISP a bankokkal, hogyan férhet hozzá a TPP a banki folyószámlavezető rendszerhez, hogyan kell az ügyfelet azonosítani (SCA: Strong Customer Authentication) az új típusú pénzügyi szolgáltatások, új elektronikus fizetési megoldások használata során.

Az RTS meghatározó eleme az ún. Erős Ügyfélhitelesítés (SCA), ami az ügyfelek védelmét biztosítja a számlainformációs (AISP), valamint a fizetéskezdeményezési (PISP) szolgáltatásoknál. Ugyanakkor nem a TPP, hanem a bank feladata az SCA teljesítése, így ha visszaélésre kerül sor, akkor a felelősség első körben a bankot terheli.

Hogyan teljesülnek a RTS-ben megfogalmazott elvárások egy bizalmi szolgáltató által készített autentikációs rendszerben?

Ha az ügyfélazonosítás (SCA) folyamatába bizalmi szolgáltató kerül bevonásra, akkor bizonyos folyamatokat már nem szükséges auditálni, hiszen a bizalmi szolgáltató rendszeres, több szintű ellenőrzés alanya. Magas biztonsági szint, eIDAS és más jogszabályi megfelelőség is teljesül. A bizalmi szolgáltatói háttérrel kialakított rendszer együttes jellemzői biztosíthatják a legjobb kombinációt az RTS követelményeinek teljesítésében.

A PassBy[ME] szolgáltatás az RTS erős ügyfélhitelesítés, a fogyasztói felhatalmazás és a piaci szereplők egymás közötti azonosság és jogosultság igazolása kapcsán meghatározott követelményeinek maradéktalanul megfelel.

Az alábbiakban összegyűjtöttük a legfontosabb vonatkozó cikkelyeket az RTS-ből a teljesülési kritériumokkal együtt. Bemutatjuk a bizalmi szolgáltató és a mellette dolgozó technológia együttes hatását.

4. cikkely 1. bekezdésének való megfelelés:

Elektronikus fizetés esetén első lépésként a folyószámlánkhoz kell hozzáférnünk, azaz a netbankban, vagy az appban hitelesítenünk magunkat. Az RTS alapesetben ún. erős, azaz 2-faktoros ügyfélhitelesítés alkalmazását írja elő akkor is, ha csak hozzá akarunk férni a folyószámlánkhoz, de akkor is ha elektronikusan szeretnénk fizetni. Három egymástól független faktorból a bankunk kiválaszthat kettőt, amelyek megadásával tudjuk magunkat igazolni. A három faktor:

  1. Ismereten alapuló elem, pl. jelszó vagy PIN kód.
  2. Birtokláson alapuló elem, pl. a kártya, vagy mobiltelefon.
  3. Az egyén fizikai tulajdonságát (biometria) azonosító elem, pl. ujjlenyomat, vagy írisz szkenner.

4. cikkely 2. bekezdés a,b,c pontjainak való megfelelés:

A PassBy[ME] technológia biztosítja, hogy a fenti 2 elem közül bármelyik megismerése esetén a másik elem nem található ki, azaz a mobiltelefon elvesztése esetén az arra kapott SMS-ből nem fejthető vissza a mobilbanki jelszavunk, mert a rendszer a sérülékeny SS7-es protokollt használó SMS-ek helyett az IoT világban bizonyító MQTT üzeneteket forgalmaz. Ugyanígy biztosítja, hogy a korábban megküldött egyszer használatos kódokból az aktuálisan generált kód nem fejthető vissza, azaz a szóban forgó fizetés nem valósulhat meg a korábbi autentikációs kódok ismeretében, továbbá a kód nem is hamisítható.

4. cikkely 3. bekezdésének való megfelelés:

Fontos, az elektronikus fizetés biztonságát erősítő követelmény, hogy amennyiben az autentikációs kód alapját képező 2-faktor bármelyikét tévesen adjuk meg, és így a kód generálása sem történik meg, akkor se legyen meghatározható, hogy melyik faktort adtuk meg helyesen, illetve melyiket tévesen. Erre azért van szükség, hogy rosszindulatú próbálkozás esetén biztonságban legyen a pénzünk. Az RTS még jobban nehezíti a csalás lehetőségét azzal, hogy egy bizonyos idő alatt maximálisan 5-ször próbálkozhatunk más jelszó, vagy akár ujjlenyomat megadásával. Ezt követően blokkolják a számlához való hozzáférést.

20. cikkelynek való megfelelés:

Az RTS a csalás elleni védelem terén is az eddigieknél szigorúbb követelményeket határoz meg. Bevezet egy csalásmonitoring rendszert, amelynek keretében a pénzügyi szolgáltatóknak rendszeresen jelenteniük kell az egyes fizetési módok, összeghatárok alapján a fraud eseteket. Ha egy szolgáltató mentesítést kap az erős ügyfélhitelesítés alól – tekintettel a minősített, auditált infrastruktúrája és az alkalmazott kockázatalapú hitelesítési rendszerére -, de meghatározott ideig az előírt fraud rátát nem tudja tartani, elveszíti a mentességét. A mentességet csak úgy szerezheti vissza, ha hitelesen be tudja bizonyítani, az infrastruktúrája megfelelő védelmet ad. A PSD2-nek megfelelő PassBy[ME] megoldás szolgáltatója egyben eIDAS-nak megfelelő bizalmi szolgáltató is.

24. cikkelynek való megfelelés:

Az eIDAS szerint tanúsított bizalmi szolgáltatások (minősített időbélyegzés, aláíró tanúsítvány) felhasználására épített PassBy[ME] szolgáltatás biztosítja, hogy a hitelesítéshez szükséges adatok csak egyetlen, a valódi fogyasztóhoz kerülnek biztonságos módon hozzárendelésre, azaz egy támadó nem ismerheti meg, nem tudhatja meg kilétét. Az RTS ugyanis előírja, hogy a fogyasztó személyes biztonsági adatait, a fizetésre használt eszköz adataival, és a szoftverrel együtt milyen biztonsági követelményeknek megfelelő környezetben kezelhetik a pénzügyi szolgáltatók.

29. cikkelynek való megfelelés:

A pénzügyi szolgáltatók és a fizetési értékláncban érdekelt szereplők, azaz pl. az e-kereskedő is, az RTS értelmében kötelesek biztonságos, megfelelő kommunikációs interfészen keresztül kommunikálni. Továbbá kötelesek biztosítani, hogy a tranzakciók visszakövethetőek legyenek. Azaz olyan naplózási rendszert kell kialakítaniuk, amely tartalmazza a tranzakció részletes adatait, időbélyeget. A PassBy[ME] – mint aláíró és autentikációs – tanúsítványokat használó szolgáltatás az RTS ezen passzusának is teljes mértékben megfelel.

Felkészülés az RTS-re

Ütemezés:

  • 2017.10.31.: A Parlament elfogadta a PSD2 törvényjavaslatot.
  • 2017.11.13.: A törvény kihirdetésre került: 2017. évi CXLV törvény.
  • 2017.11.27.: Az Európai Bizottság jóváhagyta az erős ügyfél hitelesítésről szóló szabályozástechnikai szabványt (RTS).
  • 2018.02.28-ig: az Európai Parlamentnek és az Európai Tanácsnak a bizottsági jóváhagyást követően 3 hónapja van, hogy ellenőrizze szabályozást és jelezze, ha kifogása van.
  • 2018.03.31-ig: Amennyiben az Európai Parlament és az Európai Tanács nem él kifogással, akkor az Európai Unió hivatalos lapjában, az Official Journalban történő megjelenést követően 20 nap múlva, március végén lép hatályba az RTS.
  • 2019.09.30-ig: A piaci szereplőknek a felkészülésre az RTS kihirdetésétől számított 18 hónap áll rendelkezésükre.

Kiegészítések:

  • Az átmeneti időszakban, 2018.01.13. – 2019.09.30. között a harmadik feles szolgáltatók (TPP-k), pl. a fintech startupok a banki API-k helyett használhatják a screen scraping megoldást a banki adatok begyűjtésére az ügyfél netbankjából (az ügyfél felhatalmazását követően). Amennyiben visszaélésre kerül sor, akkor az az ügyfél felelőssége lesz.
  • Az átmeneti időszakot követően a screen scraping ún. fallback lehetőségként létezik, azaz amennyiben a TPP-k számára rendelkezésre bocsátott dedikált interfész meghatározott ideig nem megfelelően működik, akkor a TPP a szolgáltatás folyamatos nyújtása érdekében alkalmazhatja a screen scraping eljárást. A nem megfelelő működés egyik kritériuma például az, ha a dedikált interfész rosszabb elérhetőséget biztosít a TPP-nek, mint a fogyasztói közvetlen netbank elérés.
  • Az RTS előírja, hogy a bankok által alkalmazandó interfészt – akár dedikált, akár nem – 3 hónapig a bevezetést megelőzően élő piaci környezetben tesztelni szükséges, mely teszt során a TPP-k megismerhetik az interfész működését, képességét. A Bizottság támogatja, hogy a „megfelelő interfész” paramétereit a piaci szereplőkből álló szakmai csoport alakítsa ki.
  • A helyi hatóságok dönthetnek úgy is, hogy az átmeneti időszakot lerövidítik.
  • Véleményünk szerint az átmeneti felkészülési időszak Magyarországon rövidebb lehet az azonnali fizetési infrastruktúra 2019.07.01-jei indulása miatt. A PSD2 PISP és a magyarországi azonnali fizetési infrastruktúra közötti szinergiákat a két folyamat összehangolásával lehetne a legjobban kihasználni.

A bizalmi szolgáltatókról, a szükséges technológiáról, az RTS kritériumait teljesítő ügyfélazonosítási megoldásról a Microsec workshopjain további részletek ismerhetők meg. Ha érdekel a Microsec workshopja, akkor írj nekünk a hello kukac fintechzone.hu e-mail címre!

A Microsec megbízásából készített cikk.