Az Európai Parlamentig jutott az erős ügyfél authentikációról szóló RTS tervezet kapcsán kialakult piaci vita.
A 3 leginkább kritikus kérdéskört az EBA képviselője a parlamenti beszédében is kiemelte:
- Egyszerű authentikáció maximális értékhatára
- Folyószámla hozzáférés (“direct access”)
- Kivételek a 2-faktoros authentikáció alól
1./ Mi az az értékhatár, ameddig nem kell alkalmazni az erős ügyfél azonosítást?
Az RTS alapján online fizetésnél maximálisan 10 Euró egyszeri, napon belül pedig 100 Euró értékhatár felett szükséges a 2-faktoros authentikáció alkalmazása, míg az érintésnélküli fizetésnél 50/150 euró az értékhatár. A két értékhatár eltérése extra beruházásokat, bonyolultabb belső folyamatokat jelent a piaci szereplőknél, ezért többen kérték az értékhatárok egységesítését.
Azt gondoljuk, hogy az EBA ezen a ponton hajlamos lesz változtatni, azaz egységesíti az online és az érintésnélküli fizikai helyszínen történő fizetés esetén alkalmazandó értékhatárt.
2./ API / interfész és “direct access”
Több piaci szereplő úgy értelmezte az RTS-t, hogy az AISP és PISP szolgáltatók a bankok netbankjához közvetlenül és a nap 24 órájában, folyamatosan hozzáférhetnek, így a screenscraping is megfelel. A szabályozó szűrőjén ez várhatóan nem megy át: a PSD2 a screenscraping eljárást nem definiálja “direct access”-ként, ugyanakkor szabványos nyílt hozzáférésről beszél, mely szabványokat az EBA jogosult meghatározni.
Amellett is határozottan érvelt Andrea Enria, hogy a bankok jogosultak meghatározni azt az authentikációs metódust, amelyet a harmadik feles szolgáltatónak alkalmaznia kell a folyószámla hozzáféréshez. Egyéb, “közvetlen módszerekkel” nem jogosult a TPP hozzáférni az ügyfél banki folyószámlája adataihoz.
A szabályozói üzenet jelentősége elsősorban az, hogy a screenscraping nem lesz megengedett megoldás, az open API-n keresztül lehet csak a PSD2 alapján a számla adatokhoz hozzáférni.
Ezen a ponton nem várunk változást, nem is nagyon lehetséges, az irányelv determinálja.
3./ A 2-faktoros – erős – azonosítás alóli kivételek és az RBA, azaz Risk-Based Analysis alkalmazása
Az EBA egyértelmű álláspontja, hogy a PSD2 97 (1) cikkelye kimondta, a 2-faktoros azonosítás általános alkalmazását online, elektronikus fizetéseknél, az RTS ettől el nem térhet. Azaz, véleményük szerint az RBA technika és módszer alkalmazása az authentikációs folyamat egyszerűsítésére nem e szabályozás tárgya. Az RBA a Bankhatóság szerint az ügyfélauthentikáció kiegészítő, rásegítő eszköze.
Ha ebben a kérdésben nem változtat az álláspontján az EBA, az az online áruházaknak jelentős veszteséget jelent, illetve a fogyasztók is károsodnak az e-kereskedelemben már egyre inkább terjedő innovatív fizetési módok megnehezedése miatt.
A VISA pl. a UK viszonylatában akár 50 %-os visszafordulási arányt is jósol, amennyiben a szabályozás a jelenleg tervezett marad.
Az EBA a parlamenti meghallgatáson bejelentette, hogy várhatóan egy hónapot csúszik – 2017 februárjára – az RTS beadása a Bizottsághoz.
A piaccal a következő kommunikáció a mintegy 260 érintett kérdés áttekintő táblájának illetve a kérdésekre adandó EBA álláspont (az észrevételek több mint 2000 oldal terjedelemben az EBA honlapján olvashatóak) publikálása lesz.
Ekkor fogjuk látni, hogy a piaci érvelésekhez hogyan áll a szabályozó.
A Bizottságnak az RTS megfelelés vizsgálatára 3 hónap áll rendelkezésére, azaz valamikor május körül lehet elfogadott RTS.
A nagy kérdés: mit nyer vagy veszít a piac és a fogyasztó azzal, ha az EBA nem változtat álláspontján?
Egyelőre úgy tűnik, időt nyertek a szereplők arra, hogy a szabályozót meggyőzzék, illetve, hogy ha a 2-faktoros azonosításnál nem nyernek, megtalálják, hogy hol lehet még a piaci / fogyasztói érdekeket érvényesíteni.
