Az elektronikus kereskedők és a kártyakibocsátók 2 héttel ezelőtt megkongatták a vészharangot és írásban kérték az Európai Bankhatóságot, hogy tekintsen el a szeptember 14-ei, az erős ügyfél-hitelesítés és a távoli online fizetésekre vonatkozó külön követelmény bevezetésére vonatkozó határidőtől. Az EBA mérlegelte a piaci szereplők felkészültségét és ennek alapján a helyi pénzügyi hatóságokat felhatalmazta, hogy kivételkezelésben engedélyezzék az implementáció határidejének korlátozott idejű meghosszabbítását.

Szakértői becslések szerint 2019-ben a teljes európai e-kereskedelmi forgalom meghaladja a 620 milliárd eurót, melynek akár 30 %-át is elveszthetik az erős ügyfél-hitelesítés szeptember 14-ei bevezetése esetén – érvelnek az online áruházak és az elfogadó bankok.

A bankok körében ugyanis még napjainkban is bizonytalanság uralkodik, hogy mely technológiai megoldások felelnek meg „Az erős ügyfél-hitelesítés és a biztonságos kommunikációról szóló szabályozástechnikai szabvány” (RTS) előírásainak. Továbbá – különösen az e-kereskedelemben – az ügyfélbarát fizetési folyamatok kialakítására, a fogyasztók, vásárlók tájékoztatására, edukációjára is több időre van szüksége a szereplőknek.

Mindezt az Európai Bankhatóságnak szóló beadványban fogalmazta meg az Európai Bankszövetség és kérte a szeptember 14-ei határidő módosítását.

Az EBA tekintettel arra, hogy az erős ügyfél-hitelesítés bevezetése nem pénzügyi szolgáltatók számára (pl. e-kereskedők) is komoly kihívást jelent, a 2019. június 21-én kiadott nyilvános Véleményében felhatalmazta a helyi hatóságokat, hogy:

• a kibocsátók számára a jogszabálynak megfelelő erős ügyfél-hitelesítési megoldások bevezetésére,
• az elfogadók számára az SCA-nak megfelelő megoldások kereskedőik körében történő integrációjára

szükség esetén több időt biztosítsanak.

A megfelelési határidő hosszabbításának feltételei

Az engedélyezés kivételkezelési eljárásban egyedi alapon történik és az engedély a hatóság által meghatározott, korlátozott időre szólhat. A Bankhatóság a tagállami felkészültség mélyebb ismeretében határozza meg – az év során – a kiadható leghosszabb halasztási időtartamot.

A hatóságnak meg kell ismernie a kibocsátók jelenleg alkalmazott két-faktoros ügyfél-hitelesítési megoldásait. Amennyiben még nincs bevezetett megoldásuk, be kell kérnie és mérlegelnie a tervezett ügyfél-hitelesítési megoldás implementációs ütemtervét és a vállalt teljesítési határidőket.

Meg kell ismernie az elfogadók – az erős ügyfél-hitelesítési megoldások bevezetésében a kereskedők támogatására kidolgozott – akciótervét, valamint a megoldás implementációs ütemtervét és a vállalt teljesítési határidőket.

A hatóság bekérheti a fizetési szolgáltatóktól az ügyfeleik, valamint az online vásárlók tájékoztatására kidolgozott kommunikációs terveket.

Az RTS-nek megfelelő ügyfél-hitelesítési faktorok, eljárások

Az RTS hatálybalépése óta számos tisztázó, illetve konkrét technológiai megoldás jogszabályi megfelelőségére vonatkozó kérdést nyújtottak be a bankok és más piaci szereplők a Bankhatósághoz. Az Európai Bankhatóság a kiadott Véleményben ezért – az RTS elfogadását követően 2018. júniusában publikált értelmező állásfoglalásánál részletesebben – elemzi a jelenleg ismert hitelesítési eljárások jogszabályi megfelelését.

Az erős ügyfélhitelesítés elemeit az alábbi 3 lehetséges faktorból választhatják ki a fizetési szolgáltatók. A kiválasztott faktor szabályozási megfelelését az alkalmazott hitelesítési eljárás biztonságossága, pontossága határozza meg.

1. A felhasználó biológiai tulajdonságai

Az EBA álláspontja alapján a felhasználó fizikai valója mellett pszichológiai valójához tartozó biológiai tulajdonságai és viselkedési mintázatai is számításba vehetők az ügyfél-hitelesítésnél.

A jelenleg ismert és használt biológiai tulajdonság alapú faktorok közül – az EBA Vélemény alapján – megfelelő lehet (nem teljes lista):

• ujjlenyomat vizsgálata,
• hangfelismerés,
• véna szkennelése,
• kéz és arc elemzés,
• retina és írisz szkennelése,
• billentyűzet használati mintázata (pl. ütés erősség),
• pulzus vagy a felhasználót egyértelműen azonosító testmozgás mintázata, valamint
• a felhasználó eszközhasználata (pl. az eszköz dőlésszöge használat közben).

2. Birtoklás alapú faktorok

A birtoklás nem csak fizikai, hanem virtuális eszközök (pl. egy alkalmazás letöltése) birtoklását is jelentheti. Egy eszköz akkor alkalmas a felhasználó hitelesítésre, ha megbízhatóan igazolható a birtoklás ténye pl. az adott eszközön dinamikus hitelesítő kulcs generálásával vagy fogadásával.

Az EBA által elfogadhatónak tartott birtoklás alapú faktorok:

• Az eszközön generált vagy fogadott, egyszer használatos jelszó (OTP). vagy aláírás.
• Leolvasható QR kóddal igazolt kártya vagy eszköz.
• Mobil alkalmazások, webes böngészők, nyilvános vagy magán kulcsok átadásán (digitális aláírás) alapuló eljárások abban az esetben, amennyiben az alkalmazás és az eszköz között egyedi kapcsolat jön létre. (pl. a készülék biztonsági tároló elemén – secure element – tárolt kulcsok révén)
• Dinamikus – a kártya felületén meg nem jelenített – biztonsági kóddal ellátott kártya.

Az EBA véleménye alapján a szabályozás birtoklás alapú hitelesítési faktorokkal szemben megfogalmazott követelményeit nem teljesítik pl. a kártya felületére nyomtatott, a kártya adatait tartalmazó jelenleg ismert megoldások.

3. Tudás alapú hitelesítési faktor

Az EBA értelmezésében a szabályozási követelményeket kielégíthetik:

• jelszó,
• PIN kód,
• jelmondat,
• kérdésekre, feladványokra adott válasz,
• megtanult képernyőmozdulat,
• a kártya biztonsági kódja, amennyiben azt a kártyától elkülönítve juttatja el a szolgáltató a felhasználóhoz – mint ahogy pl. egy új kártya PIN kódját.

A kártyára nyomtatott kártya adatok, valamint a felhasználónév és az email cím nem tekinthető tudásalapú hitelesítési faktornak.

A szabályozás (a PSD2 és az RTS) alapján a fenti három faktorból bármely kettőt kiválaszthatja a fizetési szolgáltató. A 2 faktort úgy kell kiválasztania, hogy azok egymástól függetlenek legyenek, azaz az egyik faktor megismerése esetén abból a másik ne legyen kikövetkeztethető. Továbbá a szolgáltató olyan eljárást köteles kialakítani, amely biztosítja, hogy az egyik faktor megsértése, feltörése nem eredményezheti a másik faktor kompromittálódását.

A hatályos szabályozás a távoli elektronikus fizetésekre – pl. a webshopok weboldalán történő online fizetéseknél – a 2 faktoros hitelesítésen túl az adott tranzakciót a felhasználóval dinamikusan összekapcsoló eljárás kialakítását írja elő. A gyakorlatban ilyen – egyre jobban terjedő megoldás a 3D Secure 2.0. Az EBA ennek kapcsán is állást foglalt.

Az e-kereskedelemben az EBA támogatja a 3D Secure 2.0 eljárást

A piacon jelenleg is használt 3D Secure 1.0 kommunikációs protokoll – a Bankhatóság Véleménye alapján – a PSD2 követelményeit nem elégíti ki teljes mértékben, pl. nem tudja kezelni az SCA alóli mentességeket. Az EBA ugyanakkor megfelelőnek tartja a 3D Secure 2.0 vagy afeletti protokollok használatát és bátorítja a szolgáltatókat annak implementálására.

A technológia előnyei:

• A 3D Secure 2.0 bevezetésével a fizetési tranzakció biztonsága növelhető a vásárlói élmény javítása mellett.
• A korábbi – 3D Secure 1.0 – eljáráshoz képest 85 %-kal gyorsabb tranzakciós idő.
• A 3D Secure 2.0 eljárást bevezető kereskedőknél fraud esetén a kártyakibocsátó bank viseli a felelősséget és téríti meg a fogyasztónak okozott kárt.
• Az alkalmazott kommunikációs csatornán a korábbinál akár 10x több információ is eljuthat kibocsátó bankhoz, amely ezeket az adatokat felhasználhatja többek között kockázatalapú szolgáltatások kidolgozására (pl. áruhitel).

A fizetési piac átalakulásáról, az új fizetési megoldások terjedéséről és az azokban rejlő lehetőségekről bővebb információkat az érdeklődők 2019.10.15-én a PayTechShow-n kaphatnak.