Új világ jön a bankkártyáknál: a fizetések tömege tűnhet el egy szempillantás alatt

Az elektronikus fizetési piac európai szintű reformját, egységesítését készíti elő a PSD2 (Payment Services Directive) nevű szabályozás, egy EU-s irányelv, amelyet egy sor technikai részletszabály egészít ki. A PSD2 illetve a hazai jogrendbe ez alapján átültetett szabályok már hatályban vannak tavaly január óta, de az igazi reformnak számító egyes részei csak szeptember 14-én élesednek, ha egyáltalán élesednek.

A PSD2 röviden

Az irányelv a bankoknak kiélezettebb versenyt, a fintechcégeknek könnyebb, szabályozott piacra lépést hozhat. Az irányelv szerint engedélyt szerző úgynevezett külső vagy harmadik fél szolgáltatók (TPP-k) kétféle új szolgáltatást nyújthatnak:

• számlainformációs (AISP)

• és fizetéskezdeményezési (PISP) szolgáltatást.

A számlaaggregátorok szoftverén/appján keresztül egyszerre több számlát láthatunk, egy helyről intézhetjük pénzügyeinket, míg a fizetéskezdeményezési szolgáltatók mobilos vagy éppen online - a kártyatársaságokat az értékláncból kihagyó - pénzküldési megoldásokat fejleszthetnek. Utóbbira a legkézenfekvőbb példa a személyek közötti (mobil)fizetés, ami a pénzforgalom egyik leggyorsabban fejlődő területe.

Erős ügyfélhitelesítés - a legfontosabb részletszabály
Június elején a bankok megkongatták a vészharangot: az online fizetések negyede tűnik el abban az esetben, ha a tervezett szeptember 14-ei időpontban élesedik a PSD2-es szabályozás utolsó, egyben legfontosabb része: az erős ügyfélhitelesítés részletszabály.

Az erős ügyfélhitelesítésről szóló technikai kiegészítő részletszabály (Strong Costumer Authentication, azaz SCA RTS) meghatározza, milyen biztonságos kapcsolaton keresztül utazhatnak az adatok, hogyan kell a bankoknak az érzékeny adatokhoz hozzáférést adni és ki viseli a fizetési tranzakciók kockázatait. Az SCA gyakorlatilag minden fizetésekhez kötődő tranzakcióra, funkcióra vonatkozik: netbanki belépés, elektronikus banki átutalás indítás, fizikai és online kártyás fizetések, online tárcák, fintechek, tehát mind a "neo" mind az "ortodox" fizetési szolgáltatók és szolgáltatások érintettek.

Az SCA RTS szerint emellett a legtöbb 30 euró feletti tranzakcióhoz "legalább két egymástól független hitelesítő elemmel, megbízhatóan" kell azonosítani az ügyfelet. Ilyen független hitelesítő elem lehet például a felhasználó jelszava, és a felhasználó rendelkezésére bocsátott token. Ez az a kitétel, amelynek sok szolgáltató nem fog tudni megfelelni szeptember 14-én, ha nem történne változás.

A legnagyobb gond a szabályozással, hogy még ma sem teljesen világos, pontosan mely tranzakciókra vonatkozik az erős ügyfélhitelesítés szabály, és hogy hogyan lehet szabályszerűen kivitelezni, mikor kaphatnak felmentést az erős ügyfélhitelesítés alól. A fizetési láncban részt vevő cégek és szervezetek több szakértőjével is beszéltünk a témában, és még mindig vannak olyan pontok, amelyben az egyes szakértők is egymásnak ellentmondó információkkal rendelkeznek.

Hogyan kell azonosítani az ügyfelet?
Az azonosítás három főcsoportba sorolható elemmel működhet, ezek közül kell kettőt felhasználni a kártyás fizetéseknél online és offline környezetben is: 

• az azonosítás alapulhat a vásárló biometrikus jellemzőjén (ujjlenyomat, arcfelismerés),

• azonosítható a vásárló által birtokolt eszköz alapján (mobiltelefon, kártya vagy token)

• és általa ismert jelszón (pl. PIN-kód, egyedi jelszó).

Innentől a történet kétfelé ágazik: online és offline fizetésre.

Gondok az online fizetésnél
Az online kártyás fizetéseknél azért nehezebb a két faktort teljesíteni, mert a kártyaadatok ismeretét nem fogadja el a szabályozás egy faktornak, ugyanis ezeket ellophatják az ügyfelektől, és ha ezt elfogadnák, akkor lényegében véve semmi sem változna a korábbi szabályokhoz képest. (Offline fizetésekről később írunk).

Senkinek sem áll érdekében, hogy tönkre tegye az elektronikus fizetési piacot, ezért jó esélye van annak, hogy a fizetési lánc szereplői haladékot kapnak - mondta lapunknak az egyik általunk megkérdezett, a fizetési piacot jól ismerő szakértő.
A piac ugyanakkor hiába bízhat joggal egy halasztásban, jelenleg több forrásból is úgy tudjuk, mindenki az eredeti határidőre készül. Az OTP például az oldalán nemrég óta arról tájékoztat, bevezetik ügyfeleik számára az egyszer használatos, SMS-ben küldött kódot, mellyel teljesítik az SCA-ban támasztott feltételeket. Ez valószínűleg azt jelenti, 3D secure 2.0-ás azonosítást vezetnek be.

Más bankoknál már korábban is volt ehhez hasonló, 3D secure 1.0 -ás SMS-kód, amit viszont egy újabb, 2.0-ás változatra kell majd updatelniük, ha meg akarna felelni a szabályozásnak. Úgy tudjuk, a "régi" 3D secure kód önmagában nem lenne elég a PSD2-es két faktor teljesítéséhez, csak egy faktort váltanának ki ezzel. 
A Big Fish nevű gateway szolgáltató az egyik legnagyobb olyan szereplő a piacon, amely alapvetően az e-kereskedőket köti össze a fizetési szolgáltatókkal egy platformon keresztül, Magyarországon számos e-kereskedőnek ők biztosítják az online fizetést. Egy egységes rendszert fejlesztettek, ami mögé bekötik az összes fizetési szolgáltatót, és így csak ezt az egy rendszert kell a kereskedőknek bekötni egy adott webáruház mögé.

Horváth Attila, a a BIG FISH Payment Gateway ügyvezető igazgatója lapunknak elmondta, két hónappal az indulás előtt néhány nagy szolgáltatón kívül nincs a kezükben olyan fejlesztési dokumentáció, amely megmondja, hogy pontosan hogyan kell átalakítani a rendszert ahhoz, hogy megfeleljen az SCA-nak. A 3D secure 2.0 új adatmezők bekérést teszi lehetővé a kereskedőtől, és ha ezeket a kereskedő átadja, akkor az a csalásfelderítést olyan szinten tudja támogatni, hogy már nem kell ezen felül újabb kód a vásárláshoz.

A MasterCardtól, Visától megkapott információk alapján leszűkítették azt az adatkört, amit az e-kereskedőnek az SCA szerint át kell adni a fizetési szolgáltatónak. A teljes adatkör kb. 300 adatmezőt tartalmaz, ezt a különböző szereplőknek kell összegyűjteniük, ebből a kereskedőknek mintegy 50 adatmezőt kell összeszedniük. Most ott tartanak, hogy a kereskedőktől begyűjtik a lehetséges adatokat, majd ezt transzformálják olyan formába, amit már át tudnak adni a fizetési szolgáltatóknak. Elvileg a dokumentáció ezekben a napokban/hetekben érkezhet meg tőlük, de a kereskedőknél is még rengeteg fejlesztési feladatot kell elvégezni.

A szakértő szerint a legrosszabb alternatíva, ha azt mondja a kereskedő, hogy ha ennyire bonyolult lett a kártyás fizetés, akkor lekapcsolja, és helyette csak az átutalásos fizetést választhatják elektronikus opcióként. Emiatt valószínűleg rengeteg fizetés meghiúsulna, és sokan a készpénzes, esetleg fizikai bankkártyás utánvétet is választhatnák az elektronikus fizetés helyett.

Másképpen is megoldható a két faktor teljesítése, például az egyik lehetséges általános megoldás, hogy a bankkártyákra nem nyomtatják rá a CVC-kódot, és amikor így bocsátják ki újra a kártyákat, akkor azt külön, például egy papíron adják oda az ügyfélnek. Ha ezután adják meg a CVC kódot az online fizetésnél az ügyfelek, akkor a CVC-kód már egy külön megbízható elemnek számít, és ekkor már elegendő lenne egy sms-ben küldött egyszer használatos kóddal, 3D secure 1.0-ás kóddal együtt az erős ügyfélhitelesítés teljesítéséhez. De kérdés, vajon mennyi idő kellene egy banknak, hogy a teljes kártyaportfólióját lecserélje ezen a módon, és mennyi pénzbe kerülne mindez nekik.

Egy másik megoldás lehet a biometrikus azonosítás hozzáadása a fizetéshez: például a mobilra kapott push-üzenetre kattintva arcfelismeréssel vagy ujjlenyomat olvasással szintén kipipálhatnak egy újabb faktort. Ahogy azonban fentebb is jeleztük, még nagy a homály, hogy hogyan fogják megoldani, pláne szeptemberig a két faktor teljesítését a fizetési szolgáltatók.

Fehér lista
Az erős ügyfélhitelesítés részletszabály engedélyez egy white listinget (fehér lista), ami úgy működik majd, hogy ha az ügyfél jelöli, hogy a kereskedőt megbízhatónak tartja, akkor ebben a relációban nem fogják kérni az erős ügyfélhitelesítést. Ennek bevezetése azonban szintén fejlesztést igényel a webáruházaknál, ki kell ezt a funkciót vezetni az ügyfél front endjére, majd ezt az információt el kell küldeni a fizetési szolgáltatónak is. Ugyanakkor Horváth Attila szerint ennek bevezetése később várható csak, első körben az égetőbb problémákkal fognak foglalkozni a fizetési lánc szereplői.

Horváth Attila ezzel kapcsolatban elmondta, a fehérlistázás, sőt az egész erős hitelesítés "ki is szervezhető", itt lehet nagy szerepe a fintecheknek, illetve a Simple, Barion, PayPal, AmazonPay, ApplePay, GooglePay, Revolut, Curve stb. típusú tárcáknak, ahová a kártyák amúgy is mentve, tokenizálva vannak, hogy ők, megfelelő UX-szel, a saját mobiltelefonos applikációjukkal átvehetik a fehérlista vezető, illetve hitelesítő (biometria, stb.) funkciókat. Így a "tárcásodás" egy logikus következménye lehet a szabályozásnak.

Viszlát, egyklikkes vásárlás?
Ma egy sor olyan online fizetési megoldás létezik, amikor a kártyaadatokat valamilyen módon tárolják, és egy gombnyomásra teljesül a tranzakció, például a Díjneten is így fizethetünk, vagy több közmű szolgáltatónál és e-kereskedőnél.

Jelen állás szerint ezeknél a fizetéseknél is erős ügyfélhitelesítést kell majd alkalmazni, azaz itt is újra azonosítanunk kell majd magunkat, hiába szoktuk meg, hogy eddig csak egyetlen klikkel teljesültek a fizetéseink. Szerencsére a szeptember 14-ig már tokenizált kártyákat (vagyis amelyeket már elmentettük az adott szolgáltatónál) erősen hitelesítettnek tekinti a szabályozó, így, amíg azok a kártyák le nem járnak, a kereskedőknek nem szükséges a jelenlegi mentett kártya portfóliójukat "kidobni" és újra bekérni.

Fehér listás kereskedő estén és abban az esetben sem kell alkalmazni az erős ügyfélhitelesítést, ha a kereskedő elég nagy szereplő ahhoz, hogy tudatosan átvállalja a kockázatot, és azt mondja a banknak, hogy a UX érdekében nála ne hitelesítsenek. Viszont ekkor ő viseli az esetleges lopott kártyás tranzakciók következményeit.

Az erős ügyfélhitelesítést csak az első alkalommal kell elvégezni azoknál az előfizetés típusú mentett kártyás tranzakcióknál, amikor időközönként ugyanakkora összeget fizetünk be egy szolgáltatónak. Ezeket a tranzakciókat a kereskedő indítja, így logikus is, hogy nem kell újra elvégezni az azonosítást.

Itt jelentős probléma az is, hogy jelenleg a fizetési szolgáltatók túlnyomó többségénél a kétféle folyamat (kereskedő által indított és vásárló által indított fizetés) közös műszaki megoldást használ, viszont ezután szét kell választani, hogy az egyes tranzakciókról egyértelműen el lehessen dönteni, melyik csoportba tartoznak, és ennek megfelelően lehessen hívni, vagy nem hívni a hitelesítési folyamatot.

Offline fizetés
Az offline fizetéseknél az EMV-chipes bankkártyás fizetés nem változik, a szabályozó kvázi elismeri, hogy túl drága lenne chipes kártyákat nagy tömegben hamisítani, ezért elfogadja a chipes kártyák fizikai birtoklását egy faktornak, és egy PIN-kódot másodiknak.

Az NFC-s kártyás fizetés esetében annyi változik, hogy időnként 5 ezer forint alatti fizetéseknél is meg kell adnunk a PIN-kódunkat. Ennek oka, hogy ne lehessen korlátlanul PIN-kód beírása nélkül használni az érintéses kártyás fizetést, ezért bizonyos összegen vagy tranzakciószámon felül bekéri a kódot a terminál. Ha viszont közben 5 ezer forint felett is vásárolunk, és beírjuk a kódot, a "számláló" újraindul, így elképzelhető, hogy 5 ezer alatt csak nagyon ritkán kér kódot a terminál.

A mágnescsíkos kártyák esetében viszont már kellene egy új faktor, de ez a Magyarországon kibocsátott kártyáknál már nem igazán fordulhat elő, a teljes chipesítés évekkel korábban megtörtént itthon. Ettől függetlenül Európában ez is issue, nem világos, kell-e a POS-terminálok működésén emiatt változtatni.

Lesz-e halasztás?
Az európai bankszektort tömörítő több szövetség az Európai Bizottsághoz és Európa legmagasabb szintű banki szabályozójához, vagyis az Európai Bankhatósághoz (EBA) fordult azzal, hogy kezeljék a szabályozás életbe lépésének kockázatait.

Korábbi állásfoglalásuk szerint ha nem történik változás, vagyis nem kapnak haladékot, akkor az online fizetések kb. negyede jogszabály szerint végrehajthatatlanná válik, aminek komoly gazdasági hatásai lehetnek. Vagyis ha a tranzakciók negyede érintett az ügyben, akkor évente mintegy 291 milliárd forintnyi, 208 milliónyi bankkártyás tranzakció válhat végrehajthatatlanná. 

Az EBA pár nappal a jelzés után később meg is hozta erről szóló állásfoglalását: kivételes esetekben nemzeti hatáskörbe utalja a határidő hosszabbítását. Az érintett PSD2-es szabályozás alá eső szolgáltatóknak akkor adhatnak haladékot, ha azok elkészítik a PSD2-es megfelelésükre vonatkozó menetrendjüket, amelyet a nemzeti szabályozó elbírál, és ennek fényében korlátozott idejű hosszabbítást adhat. Jelenleg a leghosszabb adható haladékról még nem született döntés, ez később várható.

Nem sokkal később az ESPM (European Assotiation of Payment Service Providers for Merchants) nevű európai érdekvédelmi ernyőszervezet is megszólalt az ügyben, ez a szervezet tömöríti azon fizetési szolgáltatókat, melynek tagjai kötik össze az online és offline kereskedőket a fizetési szolgáltatókkal, vagyis ők biztosítják az adatkapcsolatot a kártyatársaságok, bankok és kereskedők között. 67 tagja van a szövetségnek 16 országban, köztük találni magyar székhelyű szolgáltatót is, és tagja a szervezetnek az AmEx, a Visa és a Mastercard is. A szövetség most az alábbi állásfoglalást tette közzé:

• Az Európai Bankhatóság felismerte, hogy az erős ügyfélhitelesítési technikai részletszabályozás (RTS) hatalmas kihívás elé állította a fizetési piac szereplőit és lépéseket tesz az európai e-kereskedelmet érintő átfogó felfordulás elkerülése érdekében. (lásd fent: egyedi, nemzeti jogkörbe utasított döntés haladék adásáról)

• Az ESPM attól tart, ha az átállásra adott haladékot a nemzeti szabályozók határozzák meg, akkor az egy nagyon heterogén, nem egységes helyzetet eredményez az EU-n belül.

• Ezért az ESPM az EU-n belül egységes halasztást javasol: 18 hónapos halasztást kérnek általánosságban , és legfeljebb 36 hónapot egyes szektorokban (pl. utazási és vendéglátási szektorban) a megfelelésre, ezáltal biztosítva a harmonizált átállást.

Az ESPM álláspontja szerint a jelenlegi információk szerint sok kereskedő és elfogadó nem tudja meghatározni, mely tranzakciókra vonatkozik az erős ügyfélhitelesítés. Ezért olyan tranzakciókat is elutasíthatnak, melyeket a szabályozó szándéka szerint nem is kellett volna.

Fotó: Pexels