A magyar piacon már most megjelentek olyan új szolgáltatások, amelyekkel például a cégek kimenő számláik és a bankszámláikon történő jóváírások automatikusan szinkronizálódnak, vagy amelyek automatizált menedzsment riportok készítését biztosítják, illetőleg amelynek felülete lehetővé teszi egy ügyfél valamennyi bevétele és kiadásai automatikus kategorizálását azáltal, hogy valamennyi banknál vezetett bankszámla adatát összehangolja. A jövőben viszont óriási változásokra lehet számítani, az eddigi szabályozás ugyanis megváltozik, jelentős teret nyitva a technológiai megoldások számára.
Az Európai Parlament és a Tanács 2015. november 25-én fogadta el a belső piaci pénzforgalmi szolgáltatásokról szóló irányelvét (Payment Services Directive, „PSD2”), amely lehetővé teszi a pénzforgalmi szolgáltatások piacán a FinTech cégek megjelenését és térhódítását. A PSD2 célja, hogy megnyissa az uniós pénzforgalmi piacot az innovatív pénzügyi-technológiai szektor, azaz a FinTech cégek előtt, mégpedig azzal, hogy a bankoknak meghatározott terjedelemben hozzáférést kell biztosítaniuk harmadik feleknek az átutalási és számlavezetési rendszereikhez az irányelv szerinti követelményeknek megfelelő cégeknek – magyarázza dr. Párkányi Rita, a KCG Partners jogi szakértője.
A nyílt bankolás megjelenése
2018. január 14-től már alkalmazandóak a PSD2 egyes rendelkezései. Így például az ügyfélvédelmi szabályok, melynek megfelelően a bankkártyák letiltása díjmentessé vált, a bankkártya visszaélés esetén ügyfelek kárviselése csökkent, gyorsult a deviza átutalási megbízások teljesítése, illetve a változások következtében új pénzforgalmi szolgáltatók és szolgáltatások jelentek meg (pl. azonnali fizetés indítása QR kóddal vagy okostelefonnal történő fizetés).
Ugyanakkor 2019. szeptember 14-től alkalmazandóak a PSD2-nek azon szabálya, mely szerint a pénzintézeteknek lehetőséget kell biztosítaniuk arra, hogy harmadik felek az ügyfélszámlákhoz hozzáférjenek, mely a nyílt bankolás elengedhetetlen feltétele. Továbbá, a talán legtöbb vitát kiváltó ún. „erős ügyfél-hitelesítés” részletszabályai is most fognak hatályba lépni. Ez utóbbi meghatározza, hogy az egyes pénzügyi szolgáltatásokat nyújtó piaci szereplők milyen biztonsági intézkedéseket kötelesek alkalmazni az elektronikus fizetések során (pl. banki átutalás, kártyás fizetések), az online fizetési számlákhoz (pl. internet bank) való hozzáférés során, illetve bármely olyan online művelet esetén, amely fizetéssel kapcsolatos csalásokra és más visszaélésekre adhat módot (ilyen lehet pl. az ügyfél fizetési kártyához tartozó limitmódosítása).
Az új követelményekre történő felkészüléssel a piaci szereplők (bankok, fizetési szolgáltatók és az e-kereskedők) Európa szerte késésben vannak és a határidő meghosszabbításért lobbiznak. Az uniós irányelv hatályba lépése nemcsak pénzügyi, technikai és szervezési nehézségeket vet fel a piaci szereplők számára, hanem adatvédelmi kérdések is nehezítik a nekik történő megfelelést. - emeli ki dr. Párkányi Rita.
Változások az online fizetésnél
A Fintech megoldások mellett az ügyfélazonosítás is kardinális kérdés a PSD2-nél. Az erős ügyfél-hitelesítés során a szolgáltatónak a legtöbb tranzakciókhoz legalább két egymástól független hitelesítő elemmel, megbízhatóan kell azonosítani az ügyfelet. Az azonosítás során köteles az alábbi három elem közül legalább kettőt felhasználni: „ismeret” (csak a szolgáltatást igénybe vevő által ismert információ például PIN-kód, jelszó, a felhasználó által ismert dologgal kapcsolatos kérdés), „birtoklás” (csak a szolgáltatást igénybe vevő által birtokolt dolog például mobiltelefon, kártya vagy token) és „biológiai tulajdonság” (a szolgáltatást igénybe vevő jellemzője például ujjlenyomat, hangfelismerés, arcfelismerés, retina szkennelés).
A fenti definíció okán nem felel meg például az olyan online vásárlás a két elemes ügyfél -hitelesítésnek, ahol egy SMS-ben kapott kódon kívül az ügyfél a bankkártya hátoldalán található CVV/CVC kódot köteles megadni. Az ilyen jellegű ügyfél-hitelesítés mindkét eleme ugyanis a birtokláshoz kötött (telefon és bankkártya birtoklása, melyek ellophatók), ezért nem éri el a PSD2 által megkövetelt biztonsági szintet.
A nyílt bankolás adatvédelmi kihívásai
A PSD2 alkalmazása a technikai nehézségeken kívül számos adatvédelmi kérdést is felvet. Az Európai Adatvédelmi Testület megerősítette, hogy a PSD2-nek való megfelelés során a szolgáltatóknak meg kell felelniük a GDPR követelményeinek is. Így például a biometrikus adatkezelés során, valamint a szolgáltatók a személyes adatok védelmét célzó beépített és alapértelmezett adatvédelem elvét kötelesek megfelelő technikai és szervezési intézkedésekkel érvényesíteni, illetve adatvédelmi hatásvizsgálatot elvégezni 1-1 új technológia alkalmazásának bevezetésekor.
Amennyiben a szolgáltatóknak sikerül megfelelniük a PSD2 biztonsági követelményeinek és a GDPR előírásainak, új típusú és kedvezőbb tarifájú szolgáltatások jelenhetnek meg a piacon, melyek növelik a piaci szereplők versenyképességét és az innovációt.
