A bankok után most a fizetési szolgáltatók is halasztást kérnek az európai szabályozóktól egy fontos, elsősorban az online fizetéseket érintő ügyben: azt indítványozzák, egységesen 18 hónappal halasszák el a PSD2-es erős ügyfélhitelesítési szabályozás életbe lépését, egyes szektoroknak pedig 36 hónapos haladékot adjanak. A bankok szerint az online fizetések negyede tűnhet el, ha nem kapnak haladékot a fizetési lánc szereplői. Magyarországon ezek szerint közel 300 milliárd forintnyi, több mint 200 millió darab kártyás fizetés válik végrehajthatatlanná.

Június elején a bankok megkongatták a vészharangot: az online fizetések negyede tűnik el abban az esetben, ha a tervezett szeptember 14-ei időpontban élesedik a PSD2-es szabályozás utolsó, egyben legfontosabb része: az erős ügyfélhitelesítés részletszabály. Az európai bankszektort tömörítő több szövetség az Európai Bizottsághoz és Európa legmagasabb szintű banki szabályozójához, vagyis az Európai Bankhatósághoz (EBA) fordult azzal, hogy kezeljék a szabályozás életbe lépésének kockázatait.

Magyarországon 2018-ban az online bankkártyás fizetések értéke 1167 milliárd forintra rúgott, és 834 millió ilyen tranzakciót hajtottak végre a Magyarországon kibocsátott kártyákkal a kártyabirtokosok.

2019.06.12 16:13 Megkongatták a vészharangot: brutális felfordulásra figyelmeztetnek a bankok a fizetéseknél

Az EBA pár nappal később meg is hozta erről szóló állásfoglalását: kivételes esetekben nemzeti hatáskörbe utalja a határidő hosszabbítását. Az érintett PSD2-es szabályozás alá eső szolgáltatóknak akkor adhatnak haladékot, ha azok elkészítik a PSD2-es megfelelésükre vonatkozó menetrendjüket, amelyet a nemzeti szabályozó elbírál, és ennek fényében korlátozott idejű hosszabbítást adhat. Jelenleg a leghosszabb adható haladékról még nem született döntés, ez később várható.

Most a fizetési cégek is reagáltak

Az ESPM (European Assotiation of Payment Service Providers for Merchants) nevű európai érdekvédelmi ernyőszervezet tömöríti azon fizetési szolgáltatókat, melynek tagjai kötik össze az online és offline kereskedőket a fizetési szolgáltatókkal, vagyis ők biztosítják az adatkapcsolatot a kártyatársaságok, bankok és kereskedők között. 67 tagja van a szövetségnek 16 országban, köztük találni magyar székhelyű szolgáltatót is, és tagja a szervezetnek az AmEx, a Visa és a Mastercard is. A szövetség most az alábbi állásfoglalást tette közzé:

• Az Európai Bankhatóság felismerte, hogy az erős ügyfélhitelesítési technikai részletszabályozás (RTS) hatalmas kihívás elé állította a fizetési piac szereplőit és lépéseket tesz az európai e-kereskedelmet érintő átfogó felfordulás elkerülése érdekében. (lásd fent: egyedi, nemzeti jogkörbe utasított döntés haladék adásáról)
• Az ESPM attól tart, ha az átállásra adott haladékot a nemzeti szabályozók határozzák meg, akkor az egy nagyon heterogén, nem egységes helyzetet eredményez az EU-n belül.
• Ezért az ESPM az EU-n belül egységes halasztást javasol: 18 hónapos halasztást kérnek általánosságban , és legfeljebb 36 hónapot egyes szektorokban (pl. utazási és vendéglátási szektorban) a megfelelésre, ezáltal biztosítva a harmonizált átállást.

Mi a baj a szabályozással?

Az erős ügyfélhitelesítésről szóló technikai kiegészítő részletszabály (RTS) meghatározza, milyen biztonságos kapcsolaton keresztül utazhatnak az adatok az ügyfél a bank és a fintechcég között, hogyan kell a bankoknak az érzékeny adatokhoz hozzáférést adni és ki viseli ennek kockázatait.

Az SCA RTS szerint emellett a legtöbb 30 euró feletti tranzakcióhoz „legalább két egymástól független hitelesítő elemmel, megbízhatóan” kell azonosítani az ügyfelet. Ilyen független hitelesítő elem lehet például a felhasználó jelszava, és a felhasználó rendelkezésére bocsátott token. Ez az a kitétel, amelynek sok szolgáltató nem fog tudni megfelelni szeptember 14-én, ha nem történne változás.

Az ESPM álláspontja szerint a jelenlegi információk szerint sok kereskedő és elfogadó nem tudja meghatározni, mely tranzakciókra vonatkozik az erős ügyfélhitelesítés. Ezért olyan tranzakciókat is elutasíthatnak, melyeket a szabályozó szándéka szerint nem is kellett volna. Például fehér listákra tehetők a megbízható szolgáltatók az alapján, hogy mennyi csalás történik náluk, illetve a „két egymástól független hitelesítő elem” témakörében is vannak még viták, hogy mit fogad el a szabályozó és mit nem egymásától független elemeknek.

Például az egyik lehetséges megoldás, hogy online fizetés esetében a bankkártyákra nem nyomtatják rá a CVC-kódot, és amikor így bocsátják ki újra a kártyákat, akkor azt külön, például egy papíron adják oda az ügyfélnek. Ha ezután adják meg a CVC kódot az online fizetésnél az ügyfelek, akkor a CVC-kód már egy külön megbízható elemnek számít, és ekkor már elegendő lenne egy sms-ben küldött egyszer használatos kód (3D secure 2.0) vagy az ügyfél által ismert jelszó/PIN-kóddal együtt az erős ügyfélhitelesítés teljesítéséhez. De kérdés, vajon mennyi idő kell egy banknak, hogy a teljes kártyaportfólióját lecserélje ezen a módon, és mennyi pénzbe kerül mindez nekik.

Még az MNB-nek sem minden világos egyelőre

Magyarországon az MNB a PSD2-es szabályozás nemzeti hatáskörű szabályozója. Július 3-án az MNB egy sajtótájékoztatón közölte:

Az uniós direktíva betartását nemzeti szinten felügyelő hatóságok közül van, amelyik már június elején egy 18 hónapos átmeneti időszak bevezetését pedzegette, például a brit FCA, és az ír jegybank is jelezte, hogy belemennének egy ilyen megoldásba.

2019.06.25 06:00 Két próbán már csúfosan elvérzett a magyar bankszektor – Érik a harmadik bukta?