Szeptember 14-től a mindennapjainkat is megváltoztatja egy európai uniós pénzügyi direktíva. Több fontos újdonság is várható, ebben a cikkünkben azt mutatjuk be, hogy miként néz ki a jövőben egy kártyás fizetés, illetve egy online vásárlás.
Sokat még nem hallani róla, pedig szeptember 14-től már minden élesbe fordul, máshogyan fogunk fizetni, ahogy kinyílnak a bankok adatbázisai is. Ebben a cikkben alapvetően a fizetési tranzakciókat érintő változásokat mutatjuk be, de terveink szerint a talán még forradalmibb változást jelentő úgynevezett open bankingre is visszatérünk.
A PSD2 (payment services directive) egy fizetési szolgáltatásokra vonatkozó európai uniós direktíva, amely sok hasonló iránymutatással és jogszabályfüzérrel ellentétben valóban a mindennapjainkat is meghatározza. A 2018. január 13-án hatályba lépett irányelv elsősorban a különböző fizetési tranzakciókat, a bankok és a fintech szolgáltatók együttműködését szabályozza, célja szerint növeli a pénzügyi rendszer biztonságát és fokozza a versenyt.
Szeptember 14-től mindenesetre a bolti (fizikai) fizetések, de főleg az online vásárlások fizetési tranzakciói is megváltoznak.
Sztenderd és biztonságos
A fizikai fizetéseknél a változás nem olyan bonyolult, alapvetően azt fogjuk tapasztalni, hogy olykor az egyszerű, kis összegű (5000 forint alatti) kártyás fizetéseknél is be kell majd pötyögnünk a PIN-kódunkat. A ma elterjedt egyérintéses kártyás fizetéseknél az 5000 forint alatti tranzakcióknál a rendszer nem kér PIN-kódot. A jövőben ez úgy változik, hogy néha mégis szeretné látni a bankunk, hogy valóban a birtokunkban van-e a kártya. A bankok majd választhatnak, hogy vagy minden ötödik fizetésnél, vagy 150 eurónyi (47 ezer forint) összesített fizetési értéknél a rendszer kérni fog egy PIN-kódos megerősítést.
Ez azért minden bizonnyal egy vállalható pluszfeladat az ügyféltől, ugyanakkor megakadályozza azt, hogy egy ellopott kártyával sorozatban vásárolhasson valaki azonosítás nélkül.
Ha az öt fizetés vagy a 150 euró költés közben bármikor azonosítja magát a kártyabirtokos, például készpénzt vesz fel, vagy nagyobb tételben vásárol, akkor a bank meggyőződhetett arról, hogy a jogos birtokosnál van a kártya, kezdődhet elölről a számlálás.
Online fizetés
Sokkal lényegesebb változás várható az e-kereskedelemben, az online fizetéseknél. Bár a bankoknak itt is van joguk majd mindenféle felmentéseket adni, de főszabályként és óhatatlanul nagyon leegyszerűsítve a változást, szeptember 14-e után már mindig kétfaktoros ellenőrzést, úgynevezett erős hitelesítést követelnek meg a bankok az online fizetéseknél. De mi az a kétfaktoros azonosítás?
Egy ügyfél azonosítására három típusú faktort különböztetünk meg, ebből a jövőben az e-kereskedelemben, illetve minden online fizetési tranzakció során legalább kettőt meg kell adnunk.
A három faktor:
– valamilyen ismeret, amit csak az ügyfél tud (PIN-kód, jelszó),
– valamilyen eszköz, amit csak az ügyfél birtokol (a chipkártya, a mobiltelefon, legtöbbször okostelefon, token, kütyü, más hardver),
– valamilyen biológiai tulajdonság, amely csak az adott ügyfélre jellemző (ujjlenyomat, archáló, hangminta, írisz, retina, de akár mozgás, vagy akár a telefon jellemző használata, mozgatása).
Háromból kettő
A jövőben tehát csak akkor lesz érvényes egy online fizetés, ha legalább két faktorral bizonyítjuk, hogy valóban mi vásárlunk. A nemzetközi gyakorlatban az ilyen kétfaktoros megoldásokra teljesen eltérő gyakorlatok vannak. Belgiumban például a magánembereknek is van egy mini kártyaolvasójuk, és mindenki azzal vásárol a neten (igaz, az elmúlt években azért a mobilos alkalmazások már visszaszorították ezt a megoldást). Ez a sleeve (ingujj) elnevezésű kis kütyü ugyan nem bonyolult, de itthon elég reménytelen lenne most bevezetni, amikor mindenki megszokta a gyors és egyszerű online fizetést, az ügyfelek úgy éreznék, hogy ez egy visszalépés.
A Mastercard sokkal inkább három nem túl kényelmetlen, de azért egy kicsit lassabb és persze biztonságosabb megoldásban látja a jövőt.
Online vásárláskor, a fizetési folyamatban a legtöbb bank mobilalkalmazása képes lesz egy értesítés küldésére. Ezt megnyitva láthatjuk majd a vásárlás részleteit, és az alkalmazás PIN-kódjával vagy – ha erre alkalmas a készülékünk – akár az ujjlenyomatunkkal is jóvá tudjuk hagyni a tranzakciót.
Amennyiben nincsen okostelefonunk, vagy nincsen telepítve rá a bankunk alkalmazása, akkor a vásárlás során egy egyszer használatos kódot kell majd megadnunk, ami SMS formájában érkezik – hasonlóan a több bank által jelenleg is használt értesítő funkcióhoz. Az SMS-kód mellett elképzelhető, hogy szükség lesz egy statikus jelszóra is, amit a bankunk fog beállítani nekünk.
Végül a bankoknak bizonyos esetekben lehetőségük lesz felmentést adni az erős hitelesítés alól. Ilyen eset, ha alacsony összegű a tranzakció, illetve ha a bank monitoringja alapján megbízhatónak tartja a tranzakciót (mert például gyakran vásárolunk az adott kereskedőnél). A bolti egyérintéses fizetésekhez hasonlóan bizonyos számú tranzakció/összeg után itt is kell majd hitelesíteni.
A szabályok azonban úgy vannak kialakítva, hogy az ilyen egyszerűsített fizetéseknél erős fraud-monitoring (csalás-ellenőrzés) működik, és a bankoknak nagyon alacsony visszaélési arányt kell bizonyítaniuk.
Ha például egy netes applikációra előfizetünk, minden hónapban fizetünk egy havidíjat a Spotifynak, akkor a bank erre már számíthat, illetve elképzelhető, hogy a vásárló nem lesz a telefonja és a számítógépe közelében, ezeknél a tranzakciók a jelenleg is bevett módon folytatódnak, és nem kell az ügyfélnek hitelesíteni őket.
Visszaélések ellen
Az új, a sztenderdizált fizetések tűnhetnek lassabbnak, bonyolultabbnak, de mindenképpen erősebb kontrollt is adnak a felhasználó kezébe. Itthon amúgy szerencsére nincs túl sok klasszikus visszaélés a kártyás vagy az online fizetéseknél, itt most azt hagyjuk, hogy bizonyos szolgáltatók, elsősorban az autókölcsönzők be szoktak terhelni utólag, az ügyfelek által sérelmezett tételeket, de maga a rendszer eléggé biztonságos.
Ha pedig mégis megszerzi egy illetéktelen a költésre feljogosító adatokat, akkor a bankok azt feltételezik, hogy aki később panaszt tesz, annak van igaza, és a bankok 24 órán belül általában visszaadják a pénzt. Természetesen, ha a bank „turpisságra” gyanakszik, ettől eltérhet, illetve ha az ügyfélnek felróható a károkozás (mert például válaszolt egy adathalász spamre), akkor 15 ezer forintig az ügyfél is viseli a veszteséget.
Mobiltelefonra mindenkinek szüksége lesz!
Ezek a szabályok az azonnali fizetési rendszerben is érvényesek lesznek. A bankoknak a PSD2 és az AFR is komoly fejlesztési igényt jelent, nem is mindegy, hogy mi következik mi után, de ez az AFR csúszása miatt most megfordult.
