A 2-faktoros ügyfél authentikáció általános előírását megfogalmazó EBA szabályozás tervezet (Draft RTS on Strong Customer Authentication) egyre nagyobb hullámokat kavar.
Az RTS jelenlegi formában történő bevezetése esetén:
- a one-click jellegű innovatív fizetési módokat (pl. Amazon one-click) ki kellene vezetni,
- a regisztrált kártyás fizetések is jogszerűtlenné válnak és az
- in-app fizetéseket sem lehetne csak 2-faktoros authentikációval, azaz lényegesen rosszabb ügyfélélménnyel teljesíteni.
Néhány napja 39 európai vállalat, intézmény – telco, online kereskedők, e-kereskedelmi szövetségek, fintech startup-ok, kártyatársaságok, stb. – közös levelet írt az EBA-nek, melyben kifejtették, hogy az online fizetéseknél a fűnyíró elv szerint alkalmazott 10 euro egyszeri/100 euro napi maximális limit (ez az a limit, ameddig nem szükséges a 2-faktoros azonosítás) a checkout-nál a visszafordulási arányt jelentősen meg fogja növelni, azaz az e-commerce, internetes vásárlások visszaesését okozza. Megítélésük szerint különösen a kisebb online boltok járnának rosszul, ami egyáltalán nem szolgálja az EU céljait.
A levélírók véleménye szerint
– az EBA a PSD2 98. cikkelyét nem megfelelően értelmezi, s így nem alkalmazza az authentikáció kockázatalapú meghatározásának elvét (RBA = Risk Based Authentication).
A levélben többek között arra hívták fel a Bizottság figyelmét, hogy a piacon léteznek bizonyítottan működő kockázatmenedzsment módszerek, melyek alkalmazásával ez a túlzó, a fogyasztók számára összességében nem előnyös intézkedés elkerülhető lenne. Továbbá, a felelősségi szabályok értelmében amúgy sem a fogyasztót érné a kár, ezért nem igazán jó hivatkozási alap a fogyasztóvédelem.
A levelet megelőzően a VISA megjelentette un. Position Paperét,
melyben az RBA módszer hatékonysága, bevezetettsége mellett érvel. A dokumentumban részletesen ismerteti az RBA alkalmazását, annak sikerességét és felhívja az EBA-t az RTS átgondolására.
A VISA tapasztalatai szerint az RBA alkalmazása 70%-al csökkenti a online fizetéseknél a visszafordulási arányt.
Az RTS kapcsán szakmai cikkekben már korábban is felmerült az EBA alkalmasságának kérdése. Kételyek merültek fel, hiszen az EBA a bankszektort felügyelő hatóság, azaz ugyanazt a „mindsetet” képviseli mint a „legacy bankok”. A PSD2 implementálása viszont egy új mindset, a technológia vívmányaival való teljes komfortot igényel.
Az RTS végleges szövegét 2017. január 13-ig kellene az EBA-nek az EU Bizottsága felé letenni – kérdéses, hogy ilyen szintű viták mellett ez lehetséges-e.
Az EU Bizottsági elfogadást követően 18 hónap áll a piac rendelkezésére a felkészülésre – nyilvánvalóan ebben is csúszás várható.
Kérdés, hogy mi lesz a szabályozói javaslat januárban?
Addig még sokat olvashatunk a véleményekről, illetve az EBA – és legújabban a Parlament – képviselőitől a témáról.