2023.01.05.

Erre is készülniük kell a bankoknak. Változás az erős ügyfél-hitelesítés terén 2023-ban

Szerző:

Karácsonyi ajándékot kaptak a számlainformációs szolgáltatók. 2022. december 25-én hatályba lépett az erős ügyfél-hitelesítésről (SCA) szóló szabályozástechnikai szabvány (RTS) módosítása*, ami fontos, ügyfélélményt javító változásokat hoz a számlainformációs szolgáltatásokhoz kapcsolódóan. A módosított RTS egyrészt rendet tesz az erős ügyfél-hitelesítéshez kapcsolódóan kialakult eltérő gyakorlatokban, másrészt 90 napról 180 napra növeli azt az időszakot, amikor a szolgáltatók kötelesek ügyfeleik hozzájárulását újra bekérni annak érdekében, hogy a fizetési számlák tranzakciós adataihoz hozzáférjenek. A bankoknak legkésőbb 2023. július 25-től kell az erős ügyfél-hitelesítés (SCA) új szabályait alkalmazniuk.

Cél az innováció elősegítése és az ügyfélélmény növelése

A vonatkozó EU rendelet eddig is tartalmazott olyan kivétel szabályt, ami lehetőséget adott a pénzforgalmi szolgáltatóknak arra, hogy ne alkalmazzanak szigorú ügyfél-hitelesítést abban az esetben, ha a számlainformációs szolgáltatást igénybe vevő érzékeny fizetési adatok közzététele nélkül fér hozzá a fizetési számla egyenlegéhez és legutóbbi műveleteihez.

Ezzel a lehetőséggel a bankok akkor élhettek, ha az első hozzáféréskor és azt követően legalább 90 naponként szigorú ügyfél-hitelesítést alkalmaznak.

E kivétel alkalmazása eltérő gyakorlatokhoz vezetett. Egyes számlavezető pénzforgalmi szolgáltatók 90 naponta, mások rövidebb időközönként kérnek erős ügyfél-hitelesítést. Vannak olyan bankok is, amelyek egyáltalán nem alkalmazzák a kivételt, és minden egyes számlahozzáférés esetén erős ügyfél-hitelesítést kérnek.

Ezek az eltérések nehézségeket eredményeztek a számlainformációkat összesítő szolgáltatások használata során az ügyfelek számára, és hátrányosan érintették a számlainformációkat összesítő szolgáltatók (AISP) által kínált szolgáltatásokat.

Az európai jogalkotó végül úgy ítélte meg, nem indokolt, hogy a pénzforgalmi szolgáltatók szabadon eldönthessék, alkalmazzák-e az erős ügyfél-hitelesítést, és a kivétel alkalmazását kötelezővé tette – elgondolása szerint – olyan feltételek mellett, amelyek továbbra is biztosítják a pénzforgalmi szolgáltatást igénybe vevők adatainak biztonságát és védelmét.

Ugyanígy az ügyfélélményt negatívan befolyásoló tényezőnek ítélték az ügyfél-hozzájárulás kötelező megújítására korábban meghatározott 90 napos gyakoriságot és 180 napra emelték azt.

nyilt bankolas open banking

Kijött az MNB nyílt bankolást segítő ajánlása | 2021.07.20.

Az MNB júliusban elérhetővé tette a nyílt bankolás terjedését segítő „akadálymentesítő” ajánlást. Emellett zajlanak a bankoknál az API-vizsgálatok is – többek között – az Európai Bankhatóság felszólítására és az érintett hazai szereplők kérésére. Az ajánlás alkalmazását az MNB 2021. augusztus 1-től várja el a hazai bankoktól, a fizetési számlát vezető pénzforgalmi szolgáltatóktól.

Mit jelent a változás a gyakorlatban?

Abban nincs változás, hogy ha egy számlainformációs szolgáltató (AISP) az általa kínált megoldásban szeretne a fizetési számla adatainkhoz hozzáférni, akkor azt az első alkalommal csak úgy teheti meg, ha az ún. erős ügyfél-hitelesítés keretében a hozzájárulásunkat kéri.

Ezt követően a szolgáltató 180 napig – akár naponta – további erős ügyfél-hitelesítés nélkül lekérdezheti a számla egyenlegünket és az elmúlt 90 napban végrehajtott fizetési tranzakciók adatait.

Azaz a hozzájárulásunk megerősítését a szolgáltatónak már csak félévente kell majd kérnie, legyen a számlánk bármely banknál.

A bankok 2023. július 25. után két esetben alkalmazhatnak erős ügyfél-hitelesítést a 180 napos újrahitelesítési határidőn belül a számlainformációk lekérdezése során:

  • ha a pénzforgalmi szolgáltatás igénybevevője közvetlenül fér hozzá a számlainformációkhoz. Ez a gyakorlatban azt az esetet jelenti, amikor belépünk a mobilbank vagy netbank alkalmazásba.
  • Illetve az ügyfelek adatainak biztonsága és védelme érdekében a bank abban az esetben is kérheti az erős ügyfél-hitelesítést a számlainformációs szolgáltatótól, ha nem engedélyezett vagy csalárd módon történő hozzáféréssel összefüggő, objektíven indokolható és kellően bizonyított okok megalapozzák.” Ez a gyakorlatban akkor fordulhat elő, ha a számlavezető pénzforgalmi szolgáltató olyan tranzakció monitoring és csalásmegelőző rendszert használ, amely képes a jogosulatlan vagy csalárd hozzáférés fokozott kockázatát feltárni. Ebben az esetben elvárás a bankok felé, hogy az ilyen eseteket megfelelően dokumentálják és az illetékes nemzeti hatóság – itthon az MNB – kérésére megfelelően indokolják az erős ügyfél-hitelesítés alkalmazásának okait.

Más utat követnek az angolok

Más utat választott az Egyesült Királyság pénzügyi felügyelete, az FCA (Financial Conduct Authority), amely az erős ügyfél-hitelesítéshez kapcsolódóan olyan módosítást vezetett be, amely szolgáltatásélmény szempontjából további könnyebbséget hozhat azon ügyfelek számára, akik több bankkal is kapcsolatban állnak – bár a mentesség alkalmazását nem tette kötelezővé a bankok számára.

A briteknél a számlainformációs szolgáltatóknak továbbra is 90 naponta kezdeményezniük kell az ügyfél-hozzájárulások megerősítését, ezt azonban elegendő a saját szolgáltatásuk viszonylatában megtenni.

A gyakorlatban ez azt jelenti, hogy ha a számlainformációs szolgáltatás igénybevevője több fizetési számlával is rendelkezik és ezeket összekötötte a számlainformációs szolgáltató megoldásával, akkor a hozzájárulás megerősítése egy “körben” elvégezhető.

Azaz a felhasználónak nem kell minden egyes bankjánál a hozzájárulását megerősítenie. Fontos kitétel, hogy ez a mentesség csak akkor használható fel a számlainformációs szolgáltató részéről, ha a számlavezető bank rendelkezik olyan tranzakciófigyelő rendszerrel, amely lehetővé teszi a jogosulatlan vagy csalárd számlahozzáférések észlelését.

Egy másik érdekes módosítás az Egyesült Királyságban a hitelesítés módjához kapcsolódik. Az erős ügyfél-hitelesítés során a hitelesítésnek kettő, vagy több olyan elemen kell alapulnia, amelyek az “ismeret”, a “birtoklás” és a “biológiai tulajdonság” kategóriába sorolhatók.

Az FCA a biológiai tulajdonság kategóriájának egy olyan tágabb verzióját fogadta el, amely lehetővé teszi alternatív technológiák bevonását az erős ügyfél-hitelesítés folyamatába.

Ilyen technológia lehet az adatalapú viselkedéselemzést nyújtó megoldások, amellyel költési mintázatokat lehet az ügyfelekhez kapcsolni.

apple card bankkartya

Az Európai Bankhatóság véleménye az erős ügyfél-hitelesítésről, a megoldásokról és a szeptemberi határidőről | 2019.06.24.

Az erős ügyfélhitelesítés elemeit az alábbi 3 lehetséges faktorból választhatják ki a fizetési szolgáltatók. A kiválasztott faktor szabályozási megfelelését az alkalmazott hitelesítési eljárás biztonságossága, pontossága határozza meg.

Címkék: