A 2-faktoros ügyfél authentikáció általános előírását megfogalmazó EBA szabályozás tervezet (Draft RTS on Strong Customer Authentication) egyre nagyobb hullámokat kavar.

 

Az RTS jelenlegi formában történő bevezetése esetén:

  • a one-click jellegű innovatív fizetési módokat  (pl. Amazon one-click) ki kellene vezetni,
  • a regisztrált kártyás fizetések is jogszerűtlenné válnak és az
  • in-app fizetéseket sem lehetne csak 2-faktoros authentikációval, azaz lényegesen rosszabb ügyfélélménnyel teljesíteni.

Néhány napja 39 európai vállalat, intézmény  – telco, online kereskedők, e-kereskedelmi szövetségek, fintech startup-ok, kártyatársaságok, stb. – közös levelet írt az EBA-nek, melyben kifejtették, hogy az online fizetéseknél a fűnyíró elv szerint alkalmazott 10 euro egyszeri/100 euro napi maximális limit (ez az a limit, ameddig nem szükséges a 2-faktoros azonosítás) a checkout-nál a visszafordulási arányt jelentősen meg fogja növelni, azaz az e-commerce, internetes vásárlások visszaesését okozza. Megítélésük szerint különösen a kisebb online boltok járnának rosszul, ami egyáltalán nem szolgálja az EU céljait.

 

A levélírók véleménye szerint

– az EBA a PSD2 98. cikkelyét nem megfelelően értelmezi, s így nem alkalmazza az authentikáció kockázatalapú meghatározásának elvét (RBA = Risk Based Authentication). 

A levélben többek között arra hívták fel a Bizottság figyelmét, hogy a piacon léteznek bizonyítottan működő kockázatmenedzsment módszerek, melyek alkalmazásával ez a túlzó, a fogyasztók számára összességében nem előnyös intézkedés elkerülhető lenne. Továbbá, a felelősségi szabályok értelmében amúgy sem a fogyasztót érné a kár, ezért nem igazán jó hivatkozási alap a fogyasztóvédelem.

 

A levelet megelőzően a VISA megjelentette un. Position Paperét,

melyben az RBA  módszer hatékonysága, bevezetettsége mellett érvel.  A dokumentumban részletesen ismerteti az RBA alkalmazását, annak sikerességét és felhívja az EBA-t az RTS átgondolására.

 

A VISA tapasztalatai szerint az RBA alkalmazása 70%-al csökkenti a online fizetéseknél a visszafordulási arányt.

Az RTS kapcsán szakmai cikkekben már korábban is  felmerült az EBA alkalmasságának kérdése. Kételyek merültek fel, hiszen az EBA a bankszektort felügyelő hatóság, azaz ugyanazt a “mindsetet” képviseli mint a “legacy bankok”. A PSD2 implementálása viszont egy új mindset, a technológia vívmányaival való teljes komfortot igényel.

 

Az RTS végleges szövegét 2017. január 13-ig kellene az EBA-nek az EU Bizottsága felé letenni – kérdéses, hogy ilyen szintű viták mellett ez lehetséges-e.

Az EU Bizottsági elfogadást követően 18 hónap áll a piac rendelkezésére a felkészülésre – nyilvánvalóan ebben is csúszás várható.

 

Kérdés, hogy mi lesz a szabályozói javaslat januárban?

Addig még sokat olvashatunk a véleményekről, illetve az EBA  – és legújabban a Parlament – képviselőitől a témáról.