1. Mi a hír röviden?
2. Mi az a három dolog, amit érdemes megjegyezni?
- Csatlakozás és audit: a folyamatba épített eAláíráshoz a 7/2024. MK rendelet jelentős biztonsági osztályú auditja kell (legalább 90 pont), de csak az érintett rendszerekre – a már meglévő alap besorolású audit nem válik érvénytelenné, és már négy akkreditált auditor végezhet jelentős osztályú auditot.
- SASZ és Pmt.: az adatrögzítés szintjén egy DÁP e-azonosítás és egy SASZ-lekérdezés kiváltja a Pmt. ügyfél-átvilágításhoz szükséges teljes adatkört – a lakcím, sőt az aláíráskép is lekérdezhető -, de a teljes ügyfél-átvilágítás (élőség, PEP, tényleges tulajdonos) ennél több.
- Selfie és jövő: a DÁP eAzonosítás mellett is kötelező a selfie és élőségvizsgálat, mert az MNB a valós idejű jelenlétet külön elvárja; a folyamatba épített aláírás 2026.09.01-től hatályos, a teljesen offline azonosítás pedig 2026 végére várható.
3. Miért fontos a pénzügyi szektornak?
Folytatás élőben itt: TechShow X.
2026. október 14-15., Várkert Bazár. Itt azokat hallhatod a színpadon, akik már élesben építik az intelligens pénzügyek következő fejezetét.
A FinTechZone és a Comnica közös DÁP-webinársorozatának 5. része a pénzügyi szektor 2026-os felkészülési kérdéseire fókuszált: a SASZ gyakorlati használatára, a folyamatba illesztett DÁP eAláírás bevezetésére, valamint az ezekhez kapcsolódó audit- és megfelelési feladatokra.
A webinár után több olyan kérdés maradt nyitva, amelyek szolgáltatói, banki és biztosítói oldalról is fontos gyakorlati értelmezéseket érintenek. Alább 18 pontban tesszük közzé a kérdéseket és az összeállított válaszokat.
A kiberbiztonsági audit megléte az első körben belépési kritérium volt. A csatlakozási szabályzat az e-aláírás integrálásánál írja elő a 7/2024. MK rendelet jelentős biztonsági osztályának való megfelelést – legalább 90 pontos eredménnyel (100-as skálájú VMI-index szerinti megfelelőség) – azon rendszerek (EIR-ek) esetében, amelyek a szolgáltatásban részt vesznek.
A szabályzat nem a teljes kiberbiztonsági audit megismétlését várja el, hanem elegendő csak az e-aláírásban részt vevő rendszerekre jelentős biztonsági osztályú auditot kérni.
Ez nem jelenti azt, hogy az érintett rendszert a kiberbiztonsági auditban is jelentős osztályba kellene sorolni – a már lezárt, alap besorolású kiberbiztonsági audit ettől nem lesz érvénytelen. Jelenleg már négy akkreditált auditorszervezet képes jelentős biztonsági osztályban auditálni.
Ha egy szervezet ilyen helyzetben van (már rendelkezik alap besorolású audittal, és így szeretne csatlakozni), érdemes előzetesen egyeztetni és közösen áttekinteni, hogy pontosan a szükséges auditot kérje az auditortól.
Ezek jellemzően egyedi esetek – a csatlakozási feltételek később kerültek publikálásra, mint ahogy több DÁP-kötelezett az akkor még alap osztályú auditját elvégeztette.
Nem, mivel a keretrendszer a digitális folyamatokhoz biztosít technikai és biztonsági szolgáltatásokat, önmagában a csatlakozásnak nincs értelme, ha nincs olyan elektronikus ügyintézési pont, ahol ezeket igénybe lehet venni.
Ennek ellenére javasoljuk felvenni a kapcsolatot a DMÜ DSZF-fel, és jelezni ezt a tényt.
(3.) A 2027. decembertől induló EUDI Wallet érában a tagállami EUDI Wallet-okban lévő minősített e-aláírásokat (QES) is kötelező banki folyamatba integráltan biztosítani/elfogadni, vagy ilyen kötelezettség csak a magyar DÁP eAláírás keretrendszerre vonatkozóan áll fenn?
Elfogadni már most is kell minden minősített elektronikus aláírást. Más tárcákban biztosított minősített elektronikus aláírásokat nem kell folyamatba építeni, mert a tárcáknak biztosítaniuk kell majd, hogy más piaci minősített aláírásokat is létre lehessen hozni velük.
A szervezetek részére még nem elérhető, egyelőre a DÁP appban érhető csak el ez az adat az állampolgárnak. A foglalkoztatási adat a NAV-tól fog jönni.
A panelbeszélgetésben elhangzott, hogy az aláíráskép is lekérdezhető a SASZ-ból, így ezzel is támogatható a Pmt.-átvilágítási kötelezettség.
Itt külön kell választani azt, hogy offline térben (pl. személyes ügyfélszolgálaton) történő azonosításra gondolunk, de biztosított az online kapcsolat (állampolgár és az RP is rendelkezik internetkapcsolattal), vagy pedig teljesen offline technológia (pl. Bluetooth).
Előbbi esetben a jelenlegi technológiával már most is biztosított, utóbbinál várhatóan 2026 év vége.
(7.) Tudomásunk szerint a SASZ kizárólag DÁP ID-vel érhető el. Hogyan lehet például az arcképhez jutni PMT-kötelezett szervezetek számára azon ügyfelek esetén, akik nem rendelkeznek DÁP ID-vel? A 4T remek megoldás lenne.
4T-s megoldásunk jelenleg nincs, vizsgáljuk ennek a lehetőségét/szükségességét.
Lakcím adatok egyrészt lekérhetők a HAASZ segítségével, a lakcímkártya egyedi azonosítója lekérdezhető.
Ezen kívül a DÁP keretalkalmazásban elérhető hiteles lakcímadatok (hiteles PDF) teljes egészében ki tudják váltani a lakcímet igazoló hatósági igazolvány bemutatását (sőt, erre tekintettel már nem is kötelező az állampolgárnak fizikai lakcímkártyával rendelkezni).
A DÁP app felmutatása viszont hiteles igazolásra nem alkalmas.
A foglalkoztatási adatok várhatóak, jövedelemadatok egyelőre nem.
Az adatrögzítés tekintetében a válasz IGEN: egy DÁP e-azonosítással (e-azonosítási tranzakcióval) és egy SASZ-lekérdezéssel a Pmt. ügyfél-átvilágításhoz szükséges teljes adatkör megszerezhető – éppen ez volt a SASZ célja, hogy kiegészítse azt, ami az azonosításnál még hiányzik (így nincs szükség pl. OCR-es kiolvasásra).
Fontos kiegészítés: az ügyfél-átvilágítás több, mint az azonosítás (élőségvizsgálat, PEP / kiemelt közszereplő, tényleges tulajdonos vizsgálata stb.), ezért a válasz szűken, az adatkör / adatrögzítés tekintetében igen.
Csak az azonos funkciót betöltő szolgáltatása mellett vagy helyett kell biztosítani a DÁP keretszolgáltatásokat (azonosítás és aláírás).
Jelenleg a SASZ csak a DÁP ügyfeleknek érhető el, de látjuk az igényét a 4T alapú bekérdezésre is, vizsgáljuk ennek a lehetőségét és megvalósítását.
Ez szerepel a rendeletben:
33. § (1) A szolgáltató a közvetett elektronikus ügyfél-átvilágítást
a) Központi Azonosítási Ügynök (a továbbiakban: KAÜ szolgáltatás) igénybevételével,
b) elektronikus tárolóelemet tartalmazó, személyazonosság igazolására alkalmas hatósági igazolványból az ügyfél azonosításra alkalmas, hiteles természetes azonosító adatok kiolvasásával,
c) a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (a továbbiakban: Dáptv.) 46. § (1) bekezdés a) pontja szerinti eAzonosítás igénybevételével vagy
d) egyéb módon, a 38. § szerinti korlátozásra figyelemmel
végzi el.
(2) A szolgáltató az (1) bekezdés c) pontja szerinti eAzonosítással végzi a közvetett elektronikus ügyfél-átvilágítást, ha az ügyfél a Dáptv. szerinti elektronikus azonosítási szolgáltatással azonosítja magát.
Ha rendelkezésre áll a DÁP ID, akkor igen, de jellemzően ehhez szükséges legalább egyszer eAzonosítás. Itt nem támogatunk olyan megoldást, hogy pl. az ügyfél „kézzel” rögzítse a DÁP ID-t.
Ez MNB-elvárás: meg kell győződni arról, hogy a folyamat végén valóban az ügyfél van jelen és élőben használja az eszközt.
Az auditált hírközlő eszköz az ügyfél saját mobilkészülékének kameráján keresztül fényképet (és rövid videót) készít a végfelhasználóról, és ezt összehasonlítják a SASZ-ból (vagy más központi rendszerből) lekért arcképpel. Így igazolható az élőség, és az, hogy ugyanaz a személy teszi meg a nyilatkozatokat, aki a DÁP-azonosítást végezte; egyúttal ez véd a deepfake és hasonló visszaélések ellen is.
A külön arckép készítésének tehát biztonsági / élőség-ellenőrzési oka van.
A kérdésre a legjobb választ a FinTechZone és a Comnica közös webinársorozatának 2025. márciusi részében maga az MNB adta meg.
A FinTechZone és a Comnica közös webinárján az MNB informatikai felügyeleti főosztályvezetője megerősítette, hogy a DÁP-szerinti eAzonosítás a személyek azonosításának egyik modern módja, de nem jelenti a teljes ügyfél-átvilágítás kiváltását.
Ennek jogszabályi alapja is egyértelmű: a Pmt. rendelkezik arról, hogy a DÁP szerinti elektronikus azonosítás önmagában csak a személyazonosítási és lakcím-igazolási előírásokra alkalmazható, nem a teljes ügyfél-átvilágításra.
A selfie és élőségvizsgálat szükségességét az MNB a következőképpen indokolta:
A pénzügyi szektor – a pénzmosás, a terrorizmusfinanszírozás, a csalás és az identitáslopás kockázatainak való fokozott kitettsége, valamint az ügyfelek számára hosszú távon jelentős kötelezettségekkel járó pénzügyi döntések súlya miatt – különösen magas kockázati besorolású területnek minősül, amely indokolja az azonosítási folyamat minden elemének maximális szigorát.
Erre tekintettel az MNB alapvető elvárása, hogy az ügyfél-átvilágítás keretében – ideértve az auditált elektronikus hírközlő eszköz útján lefolytatott azonosítási eljárást is – a személyazonosság igazolásán túl ellenőrzésre kerüljön, hogy a távoli ügyfél valós, élő személy, aki az azonosítás időpontjában személyesen és valós időben jelen van.
A liveness-check és a deepfake-ellenőrzés beépítése azért szükséges, hogy kiküszöböljék az ügyfél „élő” jelenlétével kapcsolatos bizonytalanságokat – különösen a „szelfis” eljárásoknál, ahol nincs folyamatos ügyintézői kapcsolat.
Összefoglalva tehát: a webinársorozatunk korábbi részében az MNB képviselője által elhangzottak szakmai szempontból teljes mértékben alátámasztják azt az álláspontot, hogy a DÁP eAzonosítás magas biztonsági szintje ellenére sem válthatja ki a valós idejű jelenlét igazolását szolgáló selfie- és élőségvizsgálatot, mivel a két elem egymást kiegészítő, nem pedig helyettesítő funkciót tölt be az ügyfél-átvilágítási folyamatban.
(17.) Nem integráltan ugyan, de – köteles lesz a bank elfogadni az EUDI Wallet-ban lévő tagállami v. más piaci e-aláírást saját szerződéskötési folyamataiban, igaz? Itt miként történik a külföldi aláírás ellenőrzése (milyen azonosító alapján)?
A minősített azonosítás ellenőrzése esetén azt kell vizsgálni, hogy QTSP-től származik-e a tanúsítvány. Mindegy, hogy külföldi vagy sem.
(18.) Ez a folyamatba építés – folyamatba épített aláírás – 2026.09.01-től hatályos is?
Igen, hatályos.
A DÁP-webinár 5. részének teljes felvétele elérhető a webinár landing oldalán, valamint a Comnica YouTube csatornájá.
