A PSD2 irányelv napjainkban legtöbbet tárgyalt szakmai vitatémái az ügyfél azonosítás és a szolgáltatók közötti felelősségi viszonyok.
A szabályozás (Draft RTS on SCA) 2-faktoros ügyfélazonosítást ír elő alapszabályként, ahol az authentikáció módját a PSD2 alapján a hozzáférésre kötelezett bank határozza meg. A folyószámla vezető rendszer adataihoz hozzáférést kérő AISP vagy PISP szolgáltatónak pedig ezt a módot kell alkalmaznia a fogyasztó azonosítására. Ennek alapján a fogyasztó felé a felelősség is az övé.
Mi lehet a 2 faktor?
A 2-faktoros azonosítás során az alábbi három kategóriából kötelezően két kategóriát kell választania a banknak:
1. Inherence – a fogyasztó valamely biológiai azonosítására alkalmas elem, pl. ujjlenyomat, arcfelismerés vagy irisz szkenner
2. Knowledge – kizárólag a fogyasztó által ismert elem, pl. jelszó vagy biztonsági kérdés
3. Possession – a fogyasztó birtokában lévő információ, pl. telefon SIM kártya, bankkártya, token
(Az authentikációs elemeknek egymástól függetlennek kell lenniük, illetve az egyes elemekből generált authentikációs kód egyetlen tranzakcióra lehet érvényes (dynamic one time authentication code).
A 2-faktoros azonosítást alkalmazni kell:
- minden online, elektronikus fizetési tranzakció indításakor (pl. online kártyás fizetés, de ide tartozik a SEPA átutalás is és a PayPal használata is).
- Ismétlődő, rendszeres netbankon vagy mobilappon keresztüli csoportos beszedésnél vagy rendszeres átutalásoknál nem kell minden alkalommal alkalmazni a 2-faktoros azonosítást – elegendő a megbízás megadásakor.
A 2 faktoros azonosítás alóli kivételeket nem dönthetik el a bankok saját hatáskörben.
Ma ismert kivételek
- NFC-s fizetések, a napi 50 Euró (egy napon belül összesen 150 Euró) értékhatárig, távoli online fizetésnél a 10 Euró (napon belül összesen 100 Euró) értékhatárig.
- Un. “trusted beneficiary”, aki lehet egy kedvezményezett szolgáltató, aki a szabályozás életbe lépésekor már a fogyasztó csoportos beszedési listáján rajta volt, vagy PSD2 szerinti engedéllyel és az adott fogyasztó explicit felhatalmazásával bíró PISP szolgáltató. Bátrabb vélemények szerint a szabályozás jelenlegi értelmezése alapján akár a fogyasztó saját maga is összeállíthatja a saját “trusted” listáját, s amennyiben bankját / pénzügyi szolgáltatóját erre felhatalmazza, a listán szereplő cégek (kereskedők, partnerek, családtagok, stb.) felé irányuló tranzakcióknál el lehet tekinteni a 2-faktoros azonosítástól. (Ne felejtsük el: a meghatalmazás mindig 2-faktoros azonosítással történik, a kedvezmény utána él.)
- Az Európai Bankfelügyelet (EBA) az AISP, azaz a számlainformációkat összesítő szolgáltató adat lekérdezéseit kivette a 2-faktoros azonosítás hatálya alól azzal, hogy a legelső alkalommal, amikor a fogyasztó megbízza a szolgáltatót, akkor szükséges a 2-faktoros azonosítás. Ennek oka alapvetően az, hogy az AISP szolgáltató nem rendelkezik egyetlen pillanatban sem a fogyasztó pénzeszközei felett.
Lehetséges (mellék)hatások
Érdemes elgondolkodni azon, hogy mi lehet a “trusted beneficiary” intézményének piaci hatása – főként a kártyás vásárlások ügyfélélmény-romlása következményeként. Vajon a kártyás fizetések csökkenésére mit lépnek a kártyatársaságok? Elsők között lesznek, akik PISP szolgáltatási engedélyért folyamodnak?
Az online kereskedők érvelése szerint a 2-faktoros azonosítás az online vásárlások csökkenéséhez vezethet,
hiszen az azonosítás miatt megszűnik a “one-click” típusú vásárlás lehetősége a PSD2 bevezetésével. A check-out folyamat könnyedsége, gyorsasága sérül az azonosítási eljárás szigorításával, illetve az innovatív, bátrabb kereskedők piaci előnye is megszűnik a 2-faktoros azonosítás kötelezővé tételével.