Épp három hónap múlva, szeptember 14-től lesz kötelező a 2-faktoros hitelesítés az online fizetéseknél az Európai Gazdasági Övezetben, így Magyarországon is. A Módosított Pénzforgalmi Irányelv (PSD2) részeként bevezetésre kerül az erős ügyfél-hitelesítés (SCA), ami a felhasználók számára is érezhető változást jelent majd az eddig megszokott online fizetési folyamatokhoz képest. Így fizethetünk 3 hónap múlva az interneten.

Amikor az erős ügyfél-hitelesítés életbe lép, minden internetes bankkártyás fizetés esetén (is) kötelező lesz a 2-faktoros tranzakció jóváhagyás. Ennek hiányában a fizetési tranzakciót a felhasználó bankja el fogja utasítani. A fizetési folyamatok átalakulásával, a jövő fizetési megoldásaival részletesen is foglalkozunk majd 2019.10.15-én a PayTechShow-n.

Hogyan változik a fizetési folyamat?

Jelenleg a kártyás fizetési folyamat két lépésből áll: a fizetés engedélyezéséből (authorizáció) és a fizetési kártya (mögötti egyenleg) terheléséből. Ez a két lépcsős folyamat fog kiegészülni egy harmadik lépéssel, a hitelesítéssel.

Amíg a hitelesítés nem történik meg, addig a fizetés engedélyezésére sem kerül sor. Ennek a hitelesítésnek a célja a kártyával történő visszaélések megakadályozása, a felhasználó biztonságának növelése.

A hitelesítés 2-faktor megadásával történik majd, amelyek – a bank döntésétől függően az – alábbi 3 faktorból 2 lehet:

  • amit a felhasználó ismer, pl. jelszó,
  • amit a felhasználó birtokol, pl. mobiltelefonra, mobileszközre kapott jelkód,
  • ami a felhasználó biológiai tulajdonságain alapul, pl. ujjlenyomat, arc(felismerés), hang(felismerés).

Előjáték: Internetes biztonsági kód (3D Secure)

Függetlenül a PSD2-től, a hazai kártyabirtokosok egy része találkozhatott már a fizetési folyamat során hitelesítési eljárással, amikor az ún. internetes biztonsági kód (3D Secure Code) megadását kérték a bankkártyán található adatokon túl (kártyaszám, kártyán szereplő név, lejárati dátum, CVC).

A hitelesítés a kártyakibocsátó banknál rögzített mobiltelefonszámra küldött sms (egyszer használatos kód) megadásával történik a fizetési folyamatba beágyazott webes felületen keresztül azoknál a kereskedőknél, amelyek alkalmazták az internetes biztonsági kód szolgáltatást.

Magyarországon nem minden bank nyújtja a Mastercard, vagy Visa kártyákhoz az internetes biztonsági kód szolgáltatást és nem is feltétlenül jár automatikusan a kártyához a szolgáltatás. Jelenleg a Budapest Bank, CIB Bank, Erste Bank, K&H Bank, OTP Bank, Uncredit Bank, Cetelem Bank nyújtják a 3D Secure szolgáltatást.

Azon felhasználók számára, akik jelenleg is használják az internetes vásárlásaik során az internetes biztonsági kódot (3D Secure), az erős ügyfél-hitelesítéssel életbe lépő változások nem okoznak majd meglepetést.

A PSD2 erős-ügyfélhitelesítés „feloldása”: 3D Secure 2.0

Az interneten történő bankkártyás fizetésekre vonatkozó erős ügyfél-hitelesítésre a kártyatársaságok megoldása a 3D Secure 2.0 lesz, amivel a kibocsátó bankok teljesíthetik a PSD2 elvárásait. Tervezetten idén év végén lesz kötelező a szolgáltatás alkalmazása, ám jelenleg még nem elérhető.

A 3D Secure 2.0 megoldást kínál a korábbi verzió hiányosságaira és jobb ügyfélélményt biztosít majd a fizetési tranzakció hitelesítéséhez. Az új generációs megoldás sokkal több adatot ad majd át a kibocsátó banknak minden tranzakcióról, így a bankok még fejlettebb kockázatelemző megoldásokat alkalmazhatnak a fizetés engedélyezése során.

A 3D Secure 2.0 kihasználja az okostelefónia nyújtotta lehetőségeket is és alapoz az igen magas okostelefon ellátottságra. A kártyabirtokosok a fizetési tranzakciók hitelesítését a kártyakibocsátó bank mobilbanki alkalmazásán keresztül is elvégezhetik majd. Jelszavak és sms-ben kiküldött egyszer használatos jelkódok helyett elegendő lesz az ujjlenyomatukat használni a hitelesítéshez.

A 2-faktoros hitelesítés során választhatjuk a „Hitelesítés a kártyakibocsátó szolgáltató alkalmazásán keresztül” opciót – amennyiben erre kártyakibocsátó bankunk (vagy szolgáltatónk, pl. Revolut, TransferWise) mobilalkalmazása alkalmas. Magyarországon a 20 legnagyobb bankból csupán 11-nek alkalmas a mobilbanki alkalmazása a biometrikus alapú hitelesítésre – derül ki a témában hamarosan publikálásra kerülő hazai white paper-t előkészítő felmérésből. (Részletek hamarosan a FinTechZone.hu oldalon.)

Ugyanakkor a PSD2 meghatároz olyan fizetési tranzakciókat is (kivételeket), amelyek esetén nem lesz szükség a 2-faktoros hitelesítésre, pl.: alacsony kockázatú ugyanazon partnernek rendszeresen fizetendő azonos összegű díjak – előfizetések – esetén.

Ezekben az esetekben az ügyfelek ugyanúgy fizethetnek majd az interneten keresztül, mint jelenleg, de a fizető kapukat (payment gateway) erre külön fel kell készíteni (ami a fizetési szolgáltatást nyújtók feladata lesz).

PAYTECHSHOW

Azonnali fizetés, mobilfizetés, Apple Pay lehetőségei, kihívásai a kereskedők, a pénzügyi szolgáltatók és a lakosság szemszögéből. Workshopok, megoldások, Payment Design Sprint 2019.10.15-én a PAYTECHSHOW-n.

Halasztást kérnek a bankok

A 3D Secure 2.0-ára való átállás az Európai Gazdasági Övezetben működő kártyakibocsátó bankoknál várhatóan a következő hónapokban megtörténik, ám hazai kártyatársasági források pár hete már jelezték, az átállás több időt vehet igénybe, így akár 18 hónapos csúszás is elképzelhető lesz. Részben ezt erősíti meg a Financial Times minap megjelent „Banks warn EU rules will scupper a quarter of online payments” c. cikke, amelyben azt írják:

„Európa nagy bankjai szerint az online fizetések egynegyedét nem lehet majd teljesíteni szeptembertől (az erős ügyfél-hitelesítés életbe lépésétől) a felkészülés hiányosságai miatt, ezért több időt kérnek.”

A PSD2 értelmében az erős ügyfél-hitelesítés hiánya miatt a fizetési tranzakciók visszautasításra kerülnek 2019. szeptember 14-től. Ha a bankok nem készülnek el határidőre, akkor

„az e-kereskedelemben akár 30%-os tranzakció visszaesés is bekövetkezhet”

– írja a Financial Times.

Az Európai Bankhatóság a héten ülésezett a felmerült aggályokkal kapcsolatban, ám arról még nincs hír, változtatnak-e az erős ügyfél-hitelesítés indulásának feltételein.

Hogy áll Magyarország a számok tükrében?

  • A 20 legnagyobb hazai bankból jelenleg 18 rendelkezik olyan ügyfél-hitelesítési képességgel, amely teljesítheti a 2-faktoros eljárást.
  • A 3D Secure 1.0 szolgáltatást jelenleg 6 bank nyújt Magyarországon.
  • A mobilbanki applikációk közül mindössze 11 alkalmas a biometrikus hitelesítésre.
  • A felnőtt magyar lakosság 15%-a használ mobilbanki alkalmazást.

Összességében a hazai bankok elméletileg képesek lehetnek teljesíteni az erős ügyfél-hitelesítéssel kapcsolatos elvárásokat, így

a hazai elektronikus kereskedőknek nem kell forgalomkiesésre számítaniuk a bankkártyás fizetések esetleges visszautasítása miatt.

A fizetési piac átalakulásáról, az új fizetési megoldások terjedéséről és az azokban rejlő lehetőségekről bővebb információkat az érdeklődők 2019.10.15-én a PayTechShow-n kaphatnak.