Őrületes ütemben tör előre a digitalizáció, ami megmutatkozik abban is, hogy már egy jegyet is megvehetünk a neten, majd azt az okostelefonunkkal bemutathatjuk az ellenőrnek. Ez a folyamat viszont a csalás kockázatának potenciális növekedésével jár együtt, amire válaszul az EU egy új direktívát dolgozott ki. Cikkünkben áttekintjük, hogy a kártyás fizetéseknél jövő szeptembertől milyen változások várhatók és mi fogyasztók ebből mennyit fogunk érzékelni.
A digitalizáció számtalan területen változtatja meg az életünket, egyebek mellett a fizetési szokásainkat is alapvetően befolyásolja, nem véletlen a webáruházak forgalmának dinamikus emelkedése. A gyors átalakulással azonban nemhogy a vásárlók, de gyakran maguk a bankok sem tudnak könnyen lépést tartani, ami potenciális kockázatot hordoz magában, például a biztonság területén.
A csalók felismerték a fizetési szolgáltatásokban rejlő visszaélési lehetőséget, statisztikailag bizonyított, hogy az online környezetben négyszer akkora a visszaélések száma, mint a fizikaiban. Sőt, találtunk olyan elemzést, amelyben az szerepelt, hogy az utóbbi években minden 60 online tranzakcióból 1-ben csalók is megpróbálkoztak kárt okozni.
Az Európai Unió is felismerte ezt az egyre növekvő kockázatot, amire válaszul egy olyan irányelvet (PSD2, Payment Services Directive) fogadtak el, aminek ide vágó részének 2019. szeptember 14-étől kell megfelelnie Magyarországnak is. A leglényegesebb eleme ennek a direktívának, hogy megköveteli az erős ügyfélhitelesítés intézményét. Nem lesz elegendő az egyfaktoros azonosítás, jövő szeptembertől kétfaktorosat várnak el.
Fontos hozzátenni, hogy a PSD2 témánk szempontjából lényegi része nem az összes pénzügyi tranzakcióra vonatkozik. Csak azokra a fizetési tranzakciókra, ahol mindegyik tranzakcióban résztvevő intézmény az Európai Gazdasági Térség területén működik. Praktikusan, Európában kell működnie annak a banknak, akinek a kibocsátott kártyájával fizetünk, és annak a vállalatnak is, ahol fizetünk. Például, ha az amerikai vagy éppen egy ázsiai webáruházból rendelünk, és magyar kártyával fizetünk, akkor arra nem fog ez a direktíva vonatkozni.
Talán ennél is lényegesebb, hogy nemcsak az internetes fizetéseknél követelik meg a szabályozók az erős ügyfélhitelesítést, hanem a fizikai tranzakcióknál is, például ha bankkártyával fizetünk egy POS-terminálnál a sarki közértben.
A direktíva alapjainak ismeretében már rátérhetünk a lényegi változás bemutatására, vagyis az erős ügyfélazonosításra. Nagyon leegyszerűsítve, hogy egy fizetési tranzakciónál az azonosítás megtörténjen, ahhoz az alábbi háromból legalább két azonosítási elemet használni kell:
- Ismeret: amit csak a fogyasztó ismer (pl. jelszó, kód vagy PIN)
- Birtoklás: az a tárgy, amivel a fogyasztó rendelkezik (pl. mobiltelefon, token, egyéb hordozható eszköz)
- Tulajdonság: az az egyedi tulajdonság, amivel a fogyasztó rendelkezik (pl. ujjlenyomat, arcfelismerés, írisz szkenner)
Mivel fontos szempont, hogy a vásárlás továbbra is gördülékenyen folyjék, a fokozott biztonság elérése mellett az EU törekedett arra is, hogy a változtatások ne állítsanak sok akadályt az ügyfél elé. Ezt igazolja az is, hogy léteznek univerzális megoldások az azonosításra, egyebek mellett az online vásárláskor vagy az e-bankolásban.
Szintén nagy könnyebbséget jelent, és a fejlesztéseket is befolyásolja, hogy a korábban említett két azonosítási elem nem jelenti azt, hogy külön eszközöket kellene használni. A mobil egy nagyon jó példa erre, amit használhatunk egyik faktorként úgy, hogy azt birtokoljuk, míg másik faktorként úgy, hogy magunkat azon keresztül biometrikusan azonosítjuk.
Ismét mutatunk egy példát, hogy lássuk részleteiben a módosítást. Egyelőre elegendő az is egy online vásárláskor, hogy megadjuk az áruházban a kártyaadatainkat, majd később a mobilunkra kapunk egy sms-ben tranzakció hitelesítési kódot. Az erős ügyfélhitelesítésnek ez nem biztos, hogy maradéktalanul megfelel, ezért nagyobb biztonságú és egyszerűbb megoldás, ha egy mobilapplikációban végezzük el a hitelesítést (akár az ujjlenyomatunkkal vagy egy kód megadásával).
Mint látjuk, bőven van arra lehetőség, és azon dolgoznak a fizetési folyamatban érdekelt felek is, hogy végső soron az ügyfél magasabb biztonsággal fizethessen, de ez ne menjen a fizetési élmény kárára. Nagy valószínűséggel még nagyobb szerepet fog kapni a rendszerben a mobiltelefon, és ahogy legutóbb észlelhettük, az alkalmazásokat fogják olyan szintre fejleszteni, hogy azok megfeleljenek az új PSD2 szabályozásnak. Miért is ne fordulhatna elő a jövőben, hogy ahogy most egy várakozó kifizetetlen közüzemi számlát kifizetünk egy appal, ugyanez történjen egy online vásárlási tranzakcióval is.