Szeptember 14-étől az Európai Unióban, így Magyarországon is hatályba lép a PSD2 szabályozás. Az uniós előírás egy sor fontos változással jár a pénzügyek mindennapi intézése során azt követően is, hogy a jegybank kedden egy területen halasztást jelentett be. Ezeket gyűjtöttük össze az Erste Bank segítségével és megkérdeztük a többi nagybankot, valamint a Díjnetet, ügyfeleiknek mivel érdemes tisztában lenniük.
Ami változik
Az internetbanki belépéshez ezentúl nem elég a felhasználónév és a jelszó, a bankoknak még egy módon meg kell győződniük, hogy valóban az ügyfelük kívánja használni a szolgáltatást. Mivel ez gyakorlatilag csak a mobiltelefon lehet, mindenkinek ajánlatos ellenőriznie, jó mobilszámot adott-e meg a bankjánál. Bankonként különböző lesz a mobilos azonosítás formája, az Erste például a saját ügyfeleinek a push üzenetet kínálja, amit mindig a mobilbank-applikációba küld.
Az erős azonosítás bevezetésével változik az érintéses fizetések rendszere is. Eddig az ötezer forint alatti érintéses fizetéseknél nem kellett pin kód – szeptember 14. után előfordulhat, hogy kelleni fog. Öt érintéses fizetés, vagy összesen 150 euró (mai árfolyamon mintegy 48 ezer forint) összegű érintéses fizetés után (a több, kisebb értékű fizetés összege összeadódik) a banknak meg kell győződnie arról, hogy valóban a tulajdonos használja a kártyát – vagyis pin kódot kell kérnie. Ha időközben volt nagyobb összegű pin kódos vásárlás vagy készpénzfelvétel, akkor az azonosításnak minősül és a számlálás újraindul.
Szeptember 14-étől debütál a nyitott bankolás is, ami azt jelenti, hogy a bankoknak biztosítaniuk kell, hogy ügyfeleik engedélyt adhassanak külső szolgáltatóknak a számlához való hozzáférésre. Ez a gyakorlatban azt jelenti, hogy az ügyfelek pénzügyeinek egyszerűbb intézéséhez kidolgozott webes vagy mobilos alkalmazások elkérhetik a számlaszámot, majd engedélyt kérnek arra, hogy megismerjék a számlaegyenleget, akár a teljes számlatörténetet, sőt arra is, hogy megbízásokat fogadjanak és kezeljenek (vagyis az ügyfél megbízásából utalást kezdeményezzenek annak számlájáról). Az ügyfél döntése, hogy kivel oszt meg adatot, őt megkeresni pedig csak olyan szolgáltatók jogosultak, akik rendelkeznek a Magyar Nemzeti Bank (MNB) engedélyével.
A nyitott bankolás azért lehet előnyös, mert segítségével a lakossági ügyfelek számára elérhetővé válhatnak olyan szolgáltatások, amelyek használatával egy helyen tudják kezelni minden számlájukat, egyszerűen, akár vizuálisan tudják áttekinteni és kategorizálni a költéseiket. De ezen az új csatornán keresztül a vállalati kliensek is gyorsan tudnak naprakész információkat lekérdezni a banki rendszerből, így egyszerűbben integrálhatják pénzügyi menedzsmentjüket a vállalatirányítási rendszerükbe. Fontos, hogy kizárólag az ügyfelek dönthetnek arról, kinek adnak hozzáférést számlaadataikhoz – hívta fel a figyelmet Bek-Balla László, az Erste digitális csatornák igazgatóságának vezetője.
Ami nem változik
A tervekkel ellentétben ugyanakkor egyelőre nem változik az internetes kártyás fizetés módja. Az MNB Pénzügyi Stabilitási Tanácsa ugyanis szeptember 10-én további tizenkét hónap felkészülési időt engedélyezett a szolgáltatók számára az erős ügyfélhitelesítés bevezetésére. Erre többek között azért volt szükség, mert a szolgáltatók egy része (pénzintézetek és kereskedelmi cégek egyaránt) nem állt készen a PSD2-előírások alkalmazására. A francia és a brit pénzügyi felügyeletek például már korábban moratóriumot adtak e szabályok betartására. Így előfordulhatott volna olyan helyzet, hogy bár egy magyarországi ügyfél itteni bankja az internetes vásárlás során alkalmazza az erős azonosításra vonatkozó előírásokat, a külföldi webshop szolgáltatója erre nem képes, így a tranzakció meghiúsul.
Mindenesetre a jelenlegi elképzelések szerint 2020. szeptember 14-étől már az internetes vásárlásoknál sem lesz elegendő a bankkártya adatait ismerni (kártyaszám, név, lejárat és a hátsó oldalon lévő három számjegyű CVV/CVC-kód), a banknak ebben az esetben is meg kell győződnie arról, hogy valóban a tulajdonos használja a kártyát, például egy, a mobiltelefonra küldött ellenőrző kód megadásával.
Hogyan állnak a bankok?
Budapest Bank: Az internetes vásárlások jóváhagyásához szükséges megerősítő kódot sms-ben már 2019. január 1-jétől kiküldik. Szeptember 14-étől alapvetően annyi változik, hogy egyrészt bizonyos tranzakciók és rögzített partner felé indított utalásnál alkalmanként megerősítő sms-kód megadására lesz szükség, másrésztaz érintéses vásárlásoknál, összeghatártól függetlenül alkalmanként szükséges lehet a pin kód megadása.
CIB: Azoknak, akik jelszavas azonosítást használnak, vagy jelszógeneráló eszközzel (tokennel) rendelkeznek, eszközt kell váltaniuk. Ehhez csupán le kell tölteni a bank mobilapplikációját az alkalmazásáruházakból, és az internetbankon keresztül regisztrálni, azaz ehhez nincs szükség felkeresni egy bankfiókot, amennyiben az ügyfél nem más személlyel együttesen rendelkezik bankszámlája felett. Azon ügyfeleknek, akik továbbra is fizikai tokent szeretnének használni, ezt bankfiókban igényelhetik.
Az internetes bankkártyás vásárlásoknál a megerősítő kód megadását már március 1-jétől kötelezően bevezette a bank. Akik a bankkártyájukat 2019. február 1. előtt igényelték, és rendelkeznek cibes mobilalkalmazással, az internetes vásárlást megerősítő kódot azon keresztül, push üzenetben kapják meg. Akik nem rendelkeznek ilyennel, a bank rendszereiben rögzített mobilszámra kapják meg a kódot, sms-ben. Ezek a beállítások bármikor módosíthatók a CIB telefonos ügyfélszolgálatán vagy bankfiókjaiban.
K&H: Eddig az sms-jóváhagyás egy-egy internetbanki képernyőhöz kapcsolódott, a fokozódó biztonsági elvárásokat követve az sms azonban már magához a mögöttes tranzakcióhoz csatlakozik. A változást a felhasználók az sms-ek szövegének megváltozásában érzékelhetik – amellyel le tudják ellenőrizni, hogy valóban azt hagyják jóvá, amit ők maguk rögzítettek. A K&H ügyfelei idén augusztus elejétől már így kapják a jóváhagyó üzeneteiket, így számukra szeptember 14-e már nem hoz változást.
A bank szintén már korábban bevezette, hogy az érintéses kártyás vásárlások során ügyfelei, ha több alacsony összegű, 5 ezer forint alatti tranzakciót végeznek, és e vásárlások összege eléri a 45 ezer forintot, akkor a limitet elérő tranzakciót elutasítják. Ekkor a sikeres fizetés érdekében meg kell ismételni a tranzakciót, a kártyát be kell helyezni a terminálba és megadni a pin kódot.
A K&H ügyfelei az interneten már 2010 óta kizárólag a vásárlásoknak zöld utat adó sms-ekkel bonyolíthatnak le tranzakciókat, vagyis úgy, ha a kártyához egy, a biztonsági sms fogadására alkalmas telefonszámot is beállítanak. Mivel az elhalasztott határidőt követően továbbra is ez az sms biztonsági kód szolgál majd a hitelesítés egyik faktorául, a bank javasolja ügyfeleinek, hogy már most állítsák be a 3D Secure internetes biztonsági kódot online vásárlásaikhoz, amelynek használata ingyenes.
MKB: A jelenleg alkalmazott ügyfél-hitelesítési eljárások többsége már eddig is megfelelt a PSD2-nek, így a bank ügyfelei csupán a következő tranzakciók esetében tapasztalnak majd változást az erős ügyfél-hitelesítés bevezetését követően:
• a PCBankár és a NetBankár Business szolgáltatásoknál a belépéskor, valamint a megbízások aláírásakor szükség lesz egy, kizárólag az ügyfél által ismert jelszóra, valamint az MKB által sms-ben, az ügyfél által megadott telefonszámra megküldött egyszer használatos jelszó megadására,
• az MKB mobilbank beállítható biztonsági szintje megváltozik, így az 5000 forint alatti megbízásoknál is szükség lesz azonosításra,
• a bankkártyás érintéses fizetési műveletek során, amennyiben a tranzakció összege – az ország-limittől függetlenül – meghaladja az 50 eurót, pin kódot kell megadni. Ha a vásárlás összege nem haladja meg az 50 eurót, de a kezdeményezett tranzakcióval együtt, a legutóbbi pin kódos hitelesítés óta kumulált összeg meghaladja a 150 eurót, ismét szükség lesz a pin kód bepötyögésére.
OTP Bank: A kártyás online vásárlás esetén kötelező jelleggel nem állnak át az erős ügyfélhitelesítésre.
Raiffeisen Bank: Az elektronikus (internetes) fizetésekhez kapcsolódó erős ügyfélhitelesítés a későbbiek során indul. Az internetbanki belépéssel kapcsolatban, illetve az egyérintéses fizetések kapcsán lépnek életbe változások. Az internetbanki belépés a banknál rögzített mobiltelefonszám, vagy mobilalkalmazás használata nélkül nem lesz lehetséges (erről az érintett ügyfeleket a bank értesítette). Az egyérintéses fizetések esetén minden ötödik tranzakció után az elfogadó terminálok pin kódot fognak kérni.
Takarék Csoport: Az érintéses bankkártyás fizetéseknél és az online banki szolgáltatások (például Netbank, Mobilbank) használatakor kell számítani az erős ügyfélhitelesítésre.
A Díjnet az eredetileg tervezett határidő szerint felkészült az erős ügyfélhitelesítésre, az ezzel kapcsolatos tudnivalókról tájékoztató levelet is küldött az ügyfeleinek. Az MNB keddi döntését követően azonban a bevezetés elhalasztásáról döntött, annak érdekében, hogy ügyfeleinek minél több felkészülési idejük legyen az átállásra.
