Az Európai Bankhatóság véleménye az erős ügyfél-hitelesítésről, a megoldásokról és a szeptemberi határidőről

írta | 2019.06.24. | Banki és fintech hírek, Összes hír, PSD2

fintechshow fintech digitalis transzformacio

Az elektronikus kereskedők és a kártyakibocsátók 2 héttel ezelőtt megkongatták a vészharangot és írásban kérték az Európai Bankhatóságot, hogy tekintsen el a szeptember 14-ei, az erős ügyfél-hitelesítés és a távoli online fizetésekre vonatkozó külön követelmény bevezetésére vonatkozó határidőtől. Az EBA mérlegelte a piaci szereplők felkészültségét és ennek alapján a helyi pénzügyi hatóságokat felhatalmazta, hogy kivételkezelésben engedélyezzék az implementáció határidejének korlátozott idejű meghosszabbítását.

Szakértői becslések szerint 2019-ben a teljes európai e-kereskedelmi forgalom meghaladja a 620 milliárd eurót, melynek akár 30 %-át is elveszthetik az erős ügyfél-hitelesítés szeptember 14-ei bevezetése esetén – érvelnek az online áruházak és az elfogadó bankok.

A bankok körében ugyanis még napjainkban is bizonytalanság uralkodik, hogy mely technológiai megoldások felelnek meg „Az erős ügyfél-hitelesítés és a biztonságos kommunikációról szóló szabályozástechnikai szabvány” (RTS) előírásainak. Továbbá – különösen az e-kereskedelemben – az ügyfélbarát fizetési folyamatok kialakítására, a fogyasztók, vásárlók tájékoztatására, edukációjára is több időre van szüksége a szereplőknek.

Mindezt az Európai Bankhatóságnak szóló beadványban fogalmazta meg az Európai Bankszövetség és kérte a szeptember 14-ei határidő módosítását.

Erős ügyfél-hitelesítés bevezetése 2019. szeptember 14-ig

A Módosított Pénzforgalmi Irányelv (PSD2) általános szabályként minden online elérhető bankszámláról indított elektronikus fizetési tranzakcióra előírta a 2-faktoros ügyfél-hitelesítés kötelező alkalmazását. A végrehajtás részletszabályait „Az erős ügyfél-hitelesítés és a biztonságos kommunikációról szóló szabályozástechnikai szabvány”-ban (RTS) rögzítette a szabályozó.

A távoli online fizetések esetén – tipikusan az e-kereskedelemben – a tranzakciók biztonságának növelése érdekében további követelményt (dynamic linking=dinamikus összekapcsolás) fogalmazott meg. A követelményeknek való megfelelésre 18 hónap felkészülési időt biztosított a szabályozás (2019. szeptember 14-ig).

Az EBA tekintettel arra, hogy az erős ügyfél-hitelesítés bevezetése nem pénzügyi szolgáltatók számára (pl. e-kereskedők) is komoly kihívást jelent, a 2019. június 21-én kiadott nyilvános Véleményében felhatalmazta a helyi hatóságokat, hogy:

  • a kibocsátók számára a jogszabálynak megfelelő erős ügyfél-hitelesítési megoldások bevezetésére,
  • az elfogadók számára az SCA-nak megfelelő megoldások kereskedőik körében történő integrációjára

szükség esetén több időt biztosítsanak.

A megfelelési határidő hosszabbításának feltételei

Az engedélyezés kivételkezelési eljárásban egyedi alapon történik és az engedély a hatóság által meghatározott, korlátozott időre szólhat. A Bankhatóság a tagállami felkészültség mélyebb ismeretében határozza meg – az év során – a kiadható leghosszabb halasztási időtartamot.

A hatóságnak meg kell ismernie a kibocsátók jelenleg alkalmazott két-faktoros ügyfél-hitelesítési megoldásait. Amennyiben még nincs bevezetett megoldásuk, be kell kérnie és mérlegelnie a tervezett ügyfél-hitelesítési megoldás implementációs ütemtervét és a vállalt teljesítési határidőket.

Meg kell ismernie az elfogadók – az erős ügyfél-hitelesítési megoldások bevezetésében a kereskedők támogatására kidolgozott – akciótervét, valamint a megoldás implementációs ütemtervét és a vállalt teljesítési határidőket.

A hatóság bekérheti a fizetési szolgáltatóktól az ügyfeleik, valamint az online vásárlók tájékoztatására kidolgozott kommunikációs terveket.

Az RTS-nek megfelelő ügyfél-hitelesítési faktorok, eljárások

Az RTS hatálybalépése óta számos tisztázó, illetve konkrét technológiai megoldás jogszabályi megfelelőségére vonatkozó kérdést nyújtottak be a bankok és más piaci szereplők a Bankhatósághoz. Az Európai Bankhatóság a kiadott Véleményben ezért – az RTS elfogadását követően 2018. júniusában publikált értelmező állásfoglalásánál részletesebben – elemzi a jelenleg ismert hitelesítési eljárások jogszabályi megfelelését.

Az erős ügyfélhitelesítés elemeit az alábbi 3 lehetséges faktorból választhatják ki a fizetési szolgáltatók. A kiválasztott faktor szabályozási megfelelését az alkalmazott hitelesítési eljárás biztonságossága, pontossága határozza meg.

1. A felhasználó biológiai tulajdonságai

Az EBA álláspontja alapján a felhasználó fizikai valója mellett pszichológiai valójához tartozó biológiai tulajdonságai és viselkedési mintázatai is számításba vehetők az ügyfél-hitelesítésnél.

A jelenleg ismert és használt biológiai tulajdonság alapú faktorok közül – az EBA Vélemény alapján – megfelelő lehet (nem teljes lista):

  • ujjlenyomat vizsgálata,
  • hangfelismerés,
  • véna szkennelése,
  • kéz és arc elemzés,
  • retina és írisz szkennelése,
  • billentyűzet használati mintázata (pl. ütés erősség),
  • pulzus vagy a felhasználót egyértelműen azonosító testmozgás mintázata, valamint
  • a felhasználó eszközhasználata (pl. az eszköz dőlésszöge használat közben).

2. Birtoklás alapú faktorok

A birtoklás nem csak fizikai, hanem virtuális eszközök (pl. egy alkalmazás letöltése) birtoklását is jelentheti. Egy eszköz akkor alkalmas a felhasználó hitelesítésre, ha megbízhatóan igazolható a birtoklás ténye pl. az adott eszközön dinamikus hitelesítő kulcs generálásával vagy fogadásával.

Az EBA által elfogadhatónak tartott birtoklás alapú faktorok:

  • Az eszközön generált vagy fogadott, egyszer használatos jelszó (OTP). vagy aláírás.
  • Leolvasható QR kóddal igazolt kártya vagy eszköz.
  • Mobil alkalmazások, webes böngészők, nyilvános vagy magán kulcsok átadásán (digitális aláírás) alapuló eljárások abban az esetben, amennyiben az alkalmazás és az eszköz között egyedi kapcsolat jön létre. (pl. a készülék biztonsági tároló elemén – secure element – tárolt kulcsok révén)
  • Dinamikus – a kártya felületén meg nem jelenített – biztonsági kóddal ellátott kártya.

Az EBA véleménye alapján a szabályozás birtoklás alapú hitelesítési faktorokkal szemben megfogalmazott követelményeit nem teljesítik pl. a kártya felületére nyomtatott, a kártya adatait tartalmazó jelenleg ismert megoldások.

3. Tudás alapú hitelesítési faktor

Az EBA értelmezésében a szabályozási követelményeket kielégíthetik:

  • jelszó,
  • PIN kód,
  • jelmondat,
  • kérdésekre, feladványokra adott válasz,
  • megtanult képernyőmozdulat,
  • a kártya biztonsági kódja, amennyiben azt a kártyától elkülönítve juttatja el a szolgáltató a felhasználóhoz – mint ahogy pl. egy új kártya PIN kódját.

A kártyára nyomtatott kártya adatok, valamint a felhasználónév és az email cím nem tekinthető tudásalapú hitelesítési faktornak.

A szabályozás (a PSD2 és az RTS) alapján a fenti három faktorból bármely kettőt kiválaszthatja a fizetési szolgáltató. A 2 faktort úgy kell kiválasztania, hogy azok egymástól függetlenek legyenek, azaz az egyik faktor megismerése esetén abból a másik ne legyen kikövetkeztethető. Továbbá a szolgáltató olyan eljárást köteles kialakítani, amely biztosítja, hogy az egyik faktor megsértése, feltörése nem eredményezheti a másik faktor kompromittálódását.

A hatályos szabályozás a távoli elektronikus fizetésekre – pl. a webshopok weboldalán történő online fizetéseknél – a 2 faktoros hitelesítésen túl az adott tranzakciót a felhasználóval dinamikusan összekapcsoló eljárás kialakítását írja elő. A gyakorlatban ilyen – egyre jobban terjedő megoldás a 3D Secure 2.0. Az EBA ennek kapcsán is állást foglalt.

Az e-kereskedelemben az EBA támogatja a 3D Secure 2.0 eljárást

A piacon jelenleg is használt 3D Secure 1.0 kommunikációs protokoll – a Bankhatóság Véleménye alapján – a PSD2 követelményeit nem elégíti ki teljes mértékben, pl. nem tudja kezelni az SCA alóli mentességeket. Az EBA ugyanakkor megfelelőnek tartja a 3D Secure 2.0 vagy afeletti protokollok használatát és bátorítja a szolgáltatókat annak implementálására.

A technológia előnyei:

  • A 3D Secure 2.0 bevezetésével a fizetési tranzakció biztonsága növelhető a vásárlói élmény javítása mellett.
  • A korábbi – 3D Secure 1.0 – eljáráshoz képest 85 %-kal gyorsabb tranzakciós idő.
  • A 3D Secure 2.0 eljárást bevezető kereskedőknél fraud esetén a kártyakibocsátó bank viseli a felelősséget és téríti meg a fogyasztónak okozott kárt.
  • Az alkalmazott kommunikációs csatornán a korábbinál akár 10x több információ is eljuthat kibocsátó bankhoz, amely ezeket az adatokat felhasználhatja többek között kockázatalapú szolgáltatások kidolgozására (pl. áruhitel).

A fizetési piac átalakulásáról, az új fizetési megoldások terjedéséről és az azokban rejlő lehetőségekről bővebb információkat az érdeklődők 2019.10.15-én a PayTechShow-n kaphatnak.

fintechshow fintech digitalis transzformacio

fintechshow fintech digitalis transzformacio

Itt követhetsz minket:

NÉMETH MONIKA

NÉMETH MONIKA

A Magyar Telekomnál szabályozással, majd “smart” projektekkel foglakozott. A pénzügyi szektorban végmenő digitális transzformáció kísértetiesen hasonlít a telko iparág átalakulására, így korábbi tapasztalatait most a digi pénzügyek világában hasznosítja. Ha ma lenne óvodás, akkor a PSD2 lenne belevarrva a takarójába. A #regtech trendeket és megoldásokat is vizsgálja a szabályozói kihívások mellett. #banktech #regtechguru
A FinTechZone.hu kiadója a FinTech Group Kft.

FINTECHSHOW 5.0

fintechshow fintech digitalis transzformacio
FinTech seregszemle, pitch verseny és jövőbemutató előadások az idén 5 éves FinTechShow-n. Górcső alatt a digitális pénzügyi transzformáció új irányai. FinTechShow: (m)érték a digitális pénzügyekben.

ELEKTRONIKUS FIZETÉSI TÉRKÉP

“elektronikus fizetesi terkep
Betekintést adunk az elektronikus fizetési piac átalakulásába, az új fizetési megoldások világába.

GPE softPOS

softpos gpe bankkartya elfogadas mobilon globalpayments
Androidos mobilod van? Töltsd le a GPE softPOS alkalmazást és fogadj egyszerűen érintés nélküli fizetéseket közvetlenül az okostelefonodon keresztül!

HUNFINTECH 20/20

“HUNFINTECH FINTECH BOOK
A Magyar FinTech Book: A 20 legígéretesebb magyar fintech.

Azonnali Fizetési Megoldások

“simplepay azonnali fizetési kiadvanyok
Új lehetőségek az elektronikus fizetésben. Azonnali fizetési megoldások kereskedőknek, bankoknak, technikai aggregátoroknak.