Épp három hónap múlva, szeptember 14-től lesz kötelező a 2-faktoros hitelesítés az online fizetéseknél az Európai Gazdasági Övezetben, így Magyarországon is. A Módosított Pénzforgalmi Irányelv (PSD2) részeként bevezetésre kerül az erős ügyfél-hitelesítés (SCA), ami a felhasználók számára is érezhető változást jelent majd az eddig megszokott online fizetési folyamatokhoz képest. Így fizethetünk 3 hónap múlva az interneten.
Amikor az erős ügyfél-hitelesítés életbe lép, minden internetes bankkártyás fizetés esetén (is) kötelező lesz a 2-faktoros tranzakció jóváhagyás. Ennek hiányában a fizetési tranzakciót a felhasználó bankja el fogja utasítani. A fizetési folyamatok átalakulásával, a jövő fizetési megoldásaival részletesen is foglalkozunk majd 2019.10.15-én a PayTechShow-n.
Hogyan változik a fizetési folyamat?
Jelenleg a kártyás fizetési folyamat két lépésből áll: a fizetés engedélyezéséből (authorizáció) és a fizetési kártya (mögötti egyenleg) terheléséből. Ez a két lépcsős folyamat fog kiegészülni egy harmadik lépéssel, a hitelesítéssel.
Amíg a hitelesítés nem történik meg, addig a fizetés engedélyezésére sem kerül sor. Ennek a hitelesítésnek a célja a kártyával történő visszaélések megakadályozása, a felhasználó biztonságának növelése.
A hitelesítés 2-faktor megadásával történik majd, amelyek – a bank döntésétől függően az – alábbi 3 faktorból 2 lehet:
- amit a felhasználó ismer, pl. jelszó,
- amit a felhasználó birtokol, pl. mobiltelefonra, mobileszközre kapott jelkód,
- ami a felhasználó biológiai tulajdonságain alapul, pl. ujjlenyomat, arc(felismerés), hang(felismerés).
Előjáték: Internetes biztonsági kód (3D Secure)
Függetlenül a PSD2-től, a hazai kártyabirtokosok egy része találkozhatott már a fizetési folyamat során hitelesítési eljárással, amikor az ún. internetes biztonsági kód (3D Secure Code) megadását kérték a bankkártyán található adatokon túl (kártyaszám, kártyán szereplő név, lejárati dátum, CVC).
A hitelesítés a kártyakibocsátó banknál rögzített mobiltelefonszámra küldött sms (egyszer használatos kód) megadásával történik a fizetési folyamatba beágyazott webes felületen keresztül azoknál a kereskedőknél, amelyek alkalmazták az internetes biztonsági kód szolgáltatást.
Magyarországon nem minden bank nyújtja a Mastercard, vagy Visa kártyákhoz az internetes biztonsági kód szolgáltatást és nem is feltétlenül jár automatikusan a kártyához a szolgáltatás. Jelenleg a Budapest Bank, CIB Bank, Erste Bank, K&H Bank, OTP Bank, Uncredit Bank, Cetelem Bank nyújtják a 3D Secure szolgáltatást.
Azon felhasználók számára, akik jelenleg is használják az internetes vásárlásaik során az internetes biztonsági kódot (3D Secure), az erős ügyfél-hitelesítéssel életbe lépő változások nem okoznak majd meglepetést.
A PSD2 erős ügyfél-hitelesítés „feloldása”: 3D Secure 2.0
Az interneten történő bankkártyás fizetésekre vonatkozó erős ügyfél-hitelesítésre a kártyatársaságok megoldása a 3D Secure 2.0 lesz, amivel a kibocsátó bankok teljesíthetik a PSD2 elvárásait. Tervezetten idén év végén lesz kötelező a szolgáltatás alkalmazása, ám jelenleg még nem elérhető.
A 3D Secure 2.0 megoldást kínál a korábbi verzió hiányosságaira és jobb ügyfélélményt biztosít majd a fizetési tranzakció hitelesítéséhez. Az új generációs megoldás sokkal több adatot ad majd át a kibocsátó banknak minden tranzakcióról, így a bankok még fejlettebb kockázatelemző megoldásokat alkalmazhatnak a fizetés engedélyezése során.
A 3D Secure 2.0 kihasználja az okostelefónia nyújtotta lehetőségeket is és alapoz az igen magas okostelefon ellátottságra. A kártyabirtokosok a fizetési tranzakciók hitelesítését a kártyakibocsátó bank mobilbanki alkalmazásán keresztül is elvégezhetik majd. Jelszavak és sms-ben kiküldött egyszer használatos jelkódok helyett elegendő lesz az ujjlenyomatukat használni a hitelesítéshez.
A 2-faktoros hitelesítés során választhatjuk a „Hitelesítés a kártyakibocsátó szolgáltató alkalmazásán keresztül” opciót – amennyiben erre kártyakibocsátó bankunk (vagy szolgáltatónk, pl. Revolut, TransferWise) mobilalkalmazása alkalmas. Magyarországon a 20 legnagyobb bankból csupán 11-nek alkalmas a mobilbanki alkalmazása a biometrikus alapú hitelesítésre – derül ki a témában hamarosan publikálásra kerülő hazai white paper-t előkészítő felmérésből. (Részletek hamarosan a FinTechZone.hu oldalon.)
Ugyanakkor a PSD2 meghatároz olyan fizetési tranzakciókat is (kivételeket), amelyek esetén nem lesz szükség a 2-faktoros hitelesítésre, pl.: alacsony kockázatú ugyanazon partnernek rendszeresen fizetendő azonos összegű díjak – előfizetések – esetén.
Ezekben az esetekben az ügyfelek ugyanúgy fizethetnek majd az interneten keresztül, mint jelenleg, de a fizető kapukat (payment gateway) erre külön fel kell készíteni (ami a fizetési szolgáltatást nyújtók feladata lesz).
Kapcsolódó cikk:
- Ugrásszerűen nőhet a biometrikus azonosítás szerepe, 2019.05.09.
Halasztást kérnek a bankok
A 3D Secure 2.0-ára való átállás az Európai Gazdasági Övezetben működő kártyakibocsátó bankoknál várhatóan a következő hónapokban megtörténik, ám hazai kártyatársasági források pár hete már jelezték, az átállás több időt vehet igénybe, így akár 18 hónapos csúszás is elképzelhető lesz. Részben ezt erősíti meg a Financial Times minap megjelent „Banks warn EU rules will scupper a quarter of online payments” c. cikke, amelyben azt írják:
„Európa nagy bankjai szerint az online fizetések egynegyedét nem lehet majd teljesíteni szeptembertől (az erős ügyfél-hitelesítés életbe lépésétől) a felkészülés hiányosságai miatt, ezért több időt kérnek.”
A PSD2 értelmében az erős ügyfél-hitelesítés hiánya miatt a fizetési tranzakciók visszautasításra kerülnek 2019. szeptember 14-től. Ha a bankok nem készülnek el határidőre, akkor
„az e-kereskedelemben akár 30%-os tranzakció visszaesés is bekövetkezhet”
– írja a Financial Times.
Az Európai Bankhatóság a héten ülésezett a felmerült aggályokkal kapcsolatban, ám arról még nincs hír, változtatnak-e az erős ügyfél-hitelesítés indulásának feltételein.
Hogy áll Magyarország a számok tükrében?
- A 20 legnagyobb hazai bankból jelenleg 18 rendelkezik olyan ügyfél-hitelesítési képességgel, amely teljesítheti a 2-faktoros eljárást.
- A 3D Secure 1.0 szolgáltatást jelenleg 6 bank nyújt Magyarországon.
- A mobilbanki applikációk közül mindössze 11 alkalmas a biometrikus hitelesítésre.
- A felnőtt magyar lakosság 15%-a használ mobilbanki alkalmazást.
Összességében a hazai bankok elméletileg képesek lehetnek teljesíteni az erős ügyfél-hitelesítéssel kapcsolatos elvárásokat, így
a hazai elektronikus kereskedőknek nem kell forgalomkiesésre számítaniuk a bankkártyás fizetések esetleges visszautasítása miatt.
A fizetési piac átalakulásáról, az új fizetési megoldások terjedéséről és az azokban rejlő lehetőségekről bővebb információkat az érdeklődők 2019.10.15-én a PayTechShow-n kaphatnak.