Már csak néhány nap, és indul az új kártyás és online fizetés

Szeptember 14-től már alkalmazandó Magyarországon is a PSD2 (payment services directive), vagyis az Európai Unió fizetési szolgáltatásokra vonatkozó direktívája, amely sok szempontból meghatározza a mindennapi pénzügyeinket is. A legfontosabb tudnivalókról az Erste Bank szervezett egy szakértői háttérbeszélgetést, de igyekeztünk a piac más szereplőivel is beszélgetni. Nézzük, mi lesz más szeptember 14. után.

A direktíva értünk van, vagyis a lakossági ügyfelekért, de mint látni fogjuk, megköveteli tőlünk az óvatosságot. Mindenesetre az alapvető célok a következők:

• Az Európai Unió területén a lakosság számára legyenek elérhetőek olcsó, hatékony, egyszerű, de biztonságos pénzügyi szolgáltatások.
• Alakuljon ki nagyobb verseny a pénzügyi szolgáltatások piacán, ezért az EU felülről beavatkozik, csökkenti a szektor belépési korlátait.
• Terjedjenek el minél jobban a legmodernebb digitális megoldások.

Indul a többszintű azonosítás

Elsőre kezdjük a mindenkit érintő, de valójában nem forradalmian új környezetváltozással. Az ügyfelek biztonsága érdekében szeptember 14. után nem lehet majd olyan könnyen egy ellopott bankkártyával vagy egy nyitva felejtett internet banking alkalmazással visszaélni.

vagyis a tranzakcióknál a következő három típusú azonosítóból legalább kettőt meg kell adnunk.

• valamilyen tudás, amivel csak az ügyfél rendelkezik (PIN-kód, belépési jelszó),
• valamilyen eszköz, amit csak az ügyfél birtokol (a csipkártya, az okostelefon, valamilyen token vagy más kütyü),
• valamilyen biológiai tulajdonság, amely csak az adott ügyfélre jellemző (ujjlenyomat, archáló, hangminta, írisz, retina, illetve továbbiak).

Mobil nélkül nem megy

A gyakorlatban mindez azt jelenti, hogy amikor a bankok még egy módon meggyőződnek arról, hogy valóban az ügyfelük akar vásárolni vagy a netbankba belépni, az ügyfeleknek mindenképpen szükségük lesz egy mobiltelefonra vagy még inkább egy okos mobiltelefonra.

Azonosítás többfajta lehet, a legegyszerűbb a pushüzenet. Vagyis az általunk ismert jelszóval belépünk a netbankba, mobilbankba, de a fizetés jóváhagyásához rá kell nyomnunk az általunk birtokolt okostelefon képernyőjére is. A push mellett ilyen második megerősítés lehet az SMS, a QR-kód vagy egy ujjlenyomatos azonosítás (utóbbi már a birtokolt eszköz és a biometrikus azonosítás elegye).

Szeptember 14-től mindenesetre mindenkinek arra kell számítania, hogy az internetbanki belépéshez már nem elég a felhasználónév és egy statikus jelszó, illetve az internetes vásárlásnál is több kell a kártya adatainál (kártyaszám, név, lejárat és a hátsó oldalon lévő három számjegyű CVV/CVC-kód).

Olykor az érintéses fizetéseknél is kell a PIN-kód

A másik mindennapi változás a kisebb összegű fizetéseket érinti. Eddig az ötezer forint alatti érintéses fizetéseknél a legtöbb kártya esetében nem kellett PIN-kód, szeptember 14. után, megint csak a biztonságunk érdekében, előfordulhat, hogy kelleni fog.

Ez az ügyfeleknek egy kis pluszteher, de egy abszolút vállalható „körülményeskedés”, és megakadályozza, vagy legalábbis limitálja azt, hogy egy ellopott kártyával sorozatban visszaélhessen valaki. Ha időközben volt nagyobb összegű PIN-kódos vásárlás vagy készpénzfelvétel, akkor az azonosításnak minősül, és a számlálás újraindul.

Más lehet a webes vásárlás is: Ázsiából is jöhet külön kód

A PSD2 egyik legnagyobb nehézsége, hogy ez egy uniós direktíva, így egymás mellett fog élni egy európai és egy uniós kívüli, például „ázsiai” vásárlási kultúra.

Az erős azonosítás bevezetése ugyanis csak Európában kötelező, ettől még előfordulhat, hogy egy kínai webshopban vásárolva is kapunk üzenetet a mobilunkra. A bankoknak eleinte több mérlegelésre lesz szükségük; a pénzintézetek szeptember 14-re már régóta készülnek, de az

A felkészületlen európai webshopoknál a bankok megtagadhatják a nem dupla azonosítású vásárlást, ám ez nem feltétlenül jelenti azt, hogy meg is teszik.

Nem uniós boltok esetében pedig hosszabb távon is a bankok feladata lesz az ügyfél megfelelő azonosítása, amit igyekeznek majd a legbiztonságosabb módon megtenni: ahol van lehetőség, alkalmazni fogják az erős azonosítást, ahol pedig erre nincs mód, ott továbbra is elegendőek lehetnek a kártyán szereplő adatok.

És rajtol a nyílt bankolás is

Szeptember közepétől jön a PSD2 másik, talán még nagyobb horderejű, de egyelőre mindenképpen sokkal homályosabb vívmánya is, a nyílt bankolás. Ez azt jelenti, hogy a bankoknak, megfelelő biztonsági feltételrendszer mellett, de biztosítaniuk kell, hogy ügyfeleik engedélyt adhassanak külső szolgáltatóknak a számlatörténetükhöz való hozzáférésre. De miért engedné ezt bárki is? Természetesen azért, hogy jobban járjon, spóroljon! Álljon itt erre is néhány példa:

• Ha egy külsős szolgáltató látja, hogy milyen kiadásaink, költségeink vannak, kedvezőbb ajánlattal célozhat meg minket. Például ha visszatérően ugyanazt vesszük esténként a kis éjjel-nappali boltban, akkor egy okos szolgáltató feldobhat nekünk egy közeli élelmiszerdiszkontot, ahol ugyanezeket a termékeket 20 százalékkal olcsóbban megkaphatjuk.
• Amennyiben egy versenytárs bank is látja a banki költségeinket, akkor kedvezőbb, illeszkedőbb, költséghatékonyabb számlacsomagot ajánlhat.
• A különböző banki ajánlatokat összehasonlító integrátoroldalak is kínálhatnak számunkra testre szabott, praktikus hitelkártyát, személyi kölcsönt.

Ettől fáznak a legtöbben

Ha tehát engedélyt adunk, akkor a pénzügyeink egyszerűbb intézéséhez kidolgozott webes vagy mobilos alkalmazások elkérhetik a számlaszámunkat, majd engedélyt kérhetnek arra, hogy megismerjék a számlaegyenlegünket, sőt akár arra is, hogy megbízásokat fogadjanak és kezeljenek (vagyis pénzt emeljenek le a számláról).

Három kategóriájuk lehet az ilyen külső szolgáltatóknak:

• az AISP (account information service provider) a számlainformációkat kezelő szolgáltató;
• a PISP (payment initiaton service provider) az intelligens fizetéseket kínáló szolgáltató;
• a CISP (card issuing service provider), a kártyaalapú ügyintézést kínáló szolgáltató.

Mindegyik hasznos lehet, vagyis az, amelyik újfajta csoportosításban segít áttekinteni a pénzügyeinket, amelyik egyszerűbbé teszi például a közüzemi számláink fizetését, és amelyik összevonja több kártyánk előnyeit.

Szuper, hogy nyitunk a modern fintechek irányába, de vajon mennyire tudja az EU a külső szolgáltatókat ellenőrizni? Mennyire nyílnak új csalási lehetőségek? Lehet-e megfelelően ellenőrizni, hogy egy külső szolgáltatónak valóban felhatalmazást adott az ügyfél? Ha egy szolgáltató más európai országban regisztrál, de Magyarországon szolgáltat, mennyire lesz egyszerű az ügyfélnek Ciprusban, Máltán, Hollandiában érdeket érvényesíteni, pereskedni? A netbanking-szolgáltatások kapcsán visszatérő probléma, hogy a csalók adatokat próbálnak kicsalni – miért lenne gátlásos a külső szolgáltatásnyújtásnál a bűnöző?

Kár lenne tagadni, hogy nem elhanyagolható veszély, hogy ügyféladatok ellenőrizetlenül, illetéktelen kezekbe kerülnek. Éppen ezért egyes bankok, így az Erste is, a PSD2 miatt új, erősebb fraud management service-t (vagyis csalásokat szűrő IT-megoldást) vezet be.

Kontrollálhatjuk

Ezek jogos felvetések, de azért abban bízhatunk, hogy a különböző AISP-k, PISP-k, CISP-k szigorú és költséges engedélyeztetési folyamaton esnek át, a Magyar Nemzeti Bank (MNB) hagyja jóvá őket, és a végső döntés (például egy külső szolgáltató beengedése vagy egy fizetés elindítása) azért mindig a mi kezünkben marad.

De tény, hogy a számlaadatok átadáshoz mindössze néhány kattintás elég lesz, mert az alkalmazáson keresztül indítjuk az adatigénylést, melyet jellemzően a netbankunk felületén fogunk jóváhagyni. A rajthoz közeledve még túl nagy tülekedés nincsen, olyan magyar szolgáltató, amelyik nem egy már működő bank, eddig három jelentkezett, mindegyik AISP kategóriában.

 Legalábbis mi ezt a három magyar bejegyzésű céget találtuk:

• a szegedi Aggreg8 Kft-t;
  
• a budapesti Zedna Software Zrt.-t
• és a miskolci Appspect Kft-t.

(Akit a téma behatóbban érdekel, ezen az oldalon tudja a továbbiakban is nyomon követni az európai jelentkezőket.)

Nincs tomboló ügyféligény

Ezek a cégek vélhetően egyfajta pénzügyi tervező vagy háztartási költségfigyelő alkalmazást kínálnak, míg más applikációk megkönnyítik egyes online vásárlások, például a parkolási vagy autópályadíjak rendezését. Várhatóan lesznek olyan alkalmazások is, melyek az ügyfél számlatörténetét, költési és bankolási szokásait megismerve pénzügyi termékeket, szolgáltatásokat, például hitelt vagy számlavezetést ajánlanak.

A nyugati tapasztalatok szerint az ilyen megoldások például azoknak nagyon hasznosak, akiknek több számlájuk (és több kártyájuk) van, és szeretnék összesítve is látni a kiadásaikat, de Magyarországon 1 lakosra, 1,1 bankszámla jut, finoman szólva sincs nagy igény a banki adatok aggregálására.

Fékezés

Szakemberekkel beszélgetve azért egyelőre az open banking területen nem sok érdemi látszik. Idén márciustól már elérhetővé kellett volna tenniük a bankoknak az úgynevezett sandboxot, ahol a bevezetendő szolgáltatásokat tesztelni lehet, de a fejlesztői tapasztalat az, hogy a bankok inkább fékezik az egész folyamatot, valójában nem nagyon küldik a hozzáférésekhez a jelszavakat, megerősítő maileket.

Egyelőre inkább csak olyan cégek jutnak tesztelési lehetőségekhez, amelyek már végigmentek a 10-15 millió forintos regisztrációs procedúrán. Pedig a meghatározó állami aktorok látszólag támogatják az egész folyamatot, arról kommunikálnak, hogy ügyfélbarát változások várhatóak, jönnek a fintechek, erősödik a verseny, olcsóbbak lehetnek a szolgáltatások, de közben az állami kötődésű bankok is nagyon „megfontoltak”, vagyis lassúak.

Mindez persze Magyarországon, az azonnali fizetési rendszer bevezetésének hasonló okokból bekövetkező kudarca után, már nem is olyan meglepő.

(Borítókép: Fotós: Krizsán Csaba / MTI/MTVA

Az Erste Bank Hungary Zrt. megújult gyõri fiókjának aulája)