2023.01.05.

Erre is készülniük kell a bankoknak. Változás az erős ügyfél-hitelesítés terén 2023-ban

Kategóriák:

Open banking | Összes hír | PSD2 | Szabályozás

Karácsonyi ajándékot kaptak a számlainformációs szolgáltatók. 2022. december 25-én hatályba lépett az erős ügyfél-hitelesítésről (SCA) szóló szabályozástechnikai szabvány (RTS) módosítása*, ami fontos, ügyfélélményt javító változásokat hoz a számlainformációs szolgáltatásokhoz kapcsolódóan. A módosított RTS egyrészt rendet tesz az erős ügyfél-hitelesítéshez kapcsolódóan kialakult eltérő gyakorlatokban, másrészt 90 napról 180 napra növeli azt az időszakot, amikor a szolgáltatók kötelesek ügyfeleik hozzájárulását újra bekérni annak érdekében, hogy a fizetési számlák tranzakciós adataihoz hozzáférjenek. A bankoknak legkésőbb 2023. július 25-től kell az erős ügyfél-hitelesítés (SCA) új szabályait alkalmazniuk.

Cél az innováció elősegítése és az ügyfélélmény növelése

A vonatkozó EU rendelet eddig is tartalmazott olyan kivétel szabályt, ami lehetőséget adott a pénzforgalmi szolgáltatóknak arra, hogy ne alkalmazzanak szigorú ügyfél-hitelesítést abban az esetben, ha a számlainformációs szolgáltatást igénybe vevő érzékeny fizetési adatok közzététele nélkül fér hozzá a fizetési számla egyenlegéhez és legutóbbi műveleteihez.

Ezzel a lehetőséggel a bankok akkor élhettek, ha az első hozzáféréskor és azt követően legalább 90 naponként szigorú ügyfél-hitelesítést alkalmaznak.

E kivétel alkalmazása eltérő gyakorlatokhoz vezetett. Egyes számlavezető pénzforgalmi szolgáltatók 90 naponta, mások rövidebb időközönként kérnek erős ügyfél-hitelesítést. Vannak olyan bankok is, amelyek egyáltalán nem alkalmazzák a kivételt, és minden egyes számlahozzáférés esetén erős ügyfél-hitelesítést kérnek.

Ezek az eltérések nehézségeket eredményeztek a számlainformációkat összesítő szolgáltatások használata során az ügyfelek számára, és hátrányosan érintették a számlainformációkat összesítő szolgáltatók (AISP) által kínált szolgáltatásokat.

Az európai jogalkotó végül úgy ítélte meg, nem indokolt, hogy a pénzforgalmi szolgáltatók szabadon eldönthessék, alkalmazzák-e az erős ügyfél-hitelesítést, és a kivétel alkalmazását kötelezővé tette – elgondolása szerint – olyan feltételek mellett, amelyek továbbra is biztosítják a pénzforgalmi szolgáltatást igénybe vevők adatainak biztonságát és védelmét.

Ugyanígy az ügyfélélményt negatívan befolyásoló tényezőnek ítélték az ügyfél-hozzájárulás kötelező megújítására korábban meghatározott 90 napos gyakoriságot és 180 napra emelték azt.

Kijött az MNB nyílt bankolást segítő ajánlása | 2021.07.20.

Az MNB júliusban elérhetővé tette a nyílt bankolás terjedését segítő „akadálymentesítő” ajánlást. Emellett zajlanak a bankoknál az API-vizsgálatok is – többek között – az Európai Bankhatóság felszólítására és az érintett hazai szereplők kérésére. Az ajánlás alkalmazását az MNB 2021. augusztus 1-től várja el a hazai bankoktól, a fizetési számlát vezető pénzforgalmi szolgáltatóktól.

Mit jelent a változás a gyakorlatban?

Abban nincs változás, hogy ha egy számlainformációs szolgáltató (AISP) az általa kínált megoldásban szeretne a fizetési számla adatainkhoz hozzáférni, akkor azt az első alkalommal csak úgy teheti meg, ha az ún. erős ügyfél-hitelesítés keretében a hozzájárulásunkat kéri.

Ezt követően a szolgáltató 180 napig – akár naponta – további erős ügyfél-hitelesítés nélkül lekérdezheti a számla egyenlegünket és az elmúlt 90 napban végrehajtott fizetési tranzakciók adatait.

Azaz a hozzájárulásunk megerősítését a szolgáltatónak már csak félévente kell majd kérnie, legyen a számlánk bármely banknál.

A bankok 2023. július 25. után két esetben alkalmazhatnak erős ügyfél-hitelesítést a 180 napos újrahitelesítési határidőn belül a számlainformációk lekérdezése során:

ha a pénzforgalmi szolgáltatás igénybevevője közvetlenül fér hozzá a számlainformációkhoz. Ez a gyakorlatban azt az esetet jelenti, amikor belépünk a mobilbank vagy netbank alkalmazásba.
Illetve az ügyfelek adatainak biztonsága és védelme érdekében a bank abban az esetben is kérheti az erős ügyfél-hitelesítést a számlainformációs szolgáltatótól, ha “nem engedélyezett vagy csalárd módon történő hozzáféréssel összefüggő, objektíven indokolható és kellően bizonyított okok megalapozzák.” Ez a gyakorlatban akkor fordulhat elő, ha a számlavezető pénzforgalmi szolgáltató olyan tranzakció monitoring és csalásmegelőző rendszert használ, amely képes a jogosulatlan vagy csalárd hozzáférés fokozott kockázatát feltárni. Ebben az esetben elvárás a bankok felé, hogy az ilyen eseteket megfelelően dokumentálják és az illetékes nemzeti hatóság – itthon az MNB – kérésére megfelelően indokolják az erős ügyfél-hitelesítés alkalmazásának okait.

Más utat követnek az angolok

Más utat választott az Egyesült Királyság pénzügyi felügyelete, az FCA (Financial Conduct Authority), amely az erős ügyfél-hitelesítéshez kapcsolódóan olyan módosítást vezetett be, amely szolgáltatásélmény szempontjából további könnyebbséget hozhat azon ügyfelek számára, akik több bankkal is kapcsolatban állnak – bár a mentesség alkalmazását nem tette kötelezővé a bankok számára.

A briteknél a számlainformációs szolgáltatóknak továbbra is 90 naponta kezdeményezniük kell az ügyfél-hozzájárulások megerősítését, ezt azonban elegendő a saját szolgáltatásuk viszonylatában megtenni.

A gyakorlatban ez azt jelenti, hogy ha a számlainformációs szolgáltatás igénybevevője több fizetési számlával is rendelkezik és ezeket összekötötte a számlainformációs szolgáltató megoldásával, akkor a hozzájárulás megerősítése egy “körben” elvégezhető.

Azaz a felhasználónak nem kell minden egyes bankjánál a hozzájárulását megerősítenie. Fontos kitétel, hogy ez a mentesség csak akkor használható fel a számlainformációs szolgáltató részéről, ha a számlavezető bank rendelkezik olyan tranzakciófigyelő rendszerrel, amely lehetővé teszi a jogosulatlan vagy csalárd számlahozzáférések észlelését.

Egy másik érdekes módosítás az Egyesült Királyságban a hitelesítés módjához kapcsolódik. Az erős ügyfél-hitelesítés során a hitelesítésnek kettő, vagy több olyan elemen kell alapulnia, amelyek az “ismeret”, a “birtoklás” és a “biológiai tulajdonság” kategóriába sorolhatók.

Az FCA a biológiai tulajdonság kategóriájának egy olyan tágabb verzióját fogadta el, amely lehetővé teszi alternatív technológiák bevonását az erős ügyfél-hitelesítés folyamatába.

Ilyen technológia lehet az adatalapú viselkedéselemzést nyújtó megoldások, amellyel költési mintázatokat lehet az ügyfelekhez kapcsolni.

Az Európai Bankhatóság véleménye az erős ügyfél-hitelesítésről, a megoldásokról és a szeptemberi határidőről | 2019.06.24.

Az erős ügyfélhitelesítés elemeit az alábbi 3 lehetséges faktorból választhatják ki a fizetési szolgáltatók. A kiválasztott faktor szabályozási megfelelését az alkalmazott hitelesítési eljárás biztonságossága, pontossága határozza meg.

* Forrás: az (EU) 2018/389 felhatalmazáson alapuló rendeletben meghatározott szabályozástechnikai standardoknak a számlahozzáférésre vonatkozó 90 napos kivétel tekintetében történő módosításáról

Címlapfotó forrása: stock.adobe.com | Licenc: FinTech Group Kft.

Címkék:

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description