Az eredetileg 2019. szeptember 14-ére bevezetni tervezett kétfaktoros hitelesítés az online fizetésekben csak 2020. december 31-én válik kötelezővé az Európai Gazdasági Övezetben, így Magyarországon is. A PSD2 részeként bevezetésre kerül az erős ügyfél-hitelesítés (SCA), ami jelentős változást hoz majd az eddig megszokott online fizetési folyamatokhoz képest.
A Magyar Nemzeti Bank továbbra is bátorítja a hazai szereplőket, hogy mielőbb alkalmazzák a megfelelő hitelesítési eljárásokat még 2020. december 31-t megelőzően, az online fizetési műveletek terén, különös tekintettel arra, hogy a vásárlók egyre inkább élnek ezzel a lehetőséggel a jelenleg kialakult, koronavírus által okozott világjárvány és az abból fakadó intézkedések miatt. A további hitelesítési elem ugyanis növeli ezen fizetési műveletek biztonságát. Azoknál a kereskedőknél, ahol jelenleg egyáltalán nincs ügyfél-hitelesítés, a kereskedőknek gondoskodniuk kell annak időben történő megvalósításáról. Ebből adódóan további feladataik vannak, amiket el kell végezni, mert amennyiben ez elmarad akkor annak az lesz a következménye, hogy az ügyfeleik elutasított fizetési műveletekkel fognak szembesülni az e-kereskedelmi szolgáltatások igénybevétele során.
Mi az erős ügyfélhitelesítés?
Az erős ügyfélhitelesítés (Strong Customer Authentication, SCA) egy plusz biztonsági ellenőrző lépés a bankkártyás fizetések és az elektronikus fizetési műveletek során, amelynek tervezett indulási dátuma 2019. szeptember 14-e volt. Ekkor azonban csak a fizikai elfogadásoknál vált kötelező érvényűvé, az online értékesítéseknél végül nem került bevezetésre.
Az erős ügyfélhitelesítés azt biztosítja, hogy bárhol is történik a vásárlás, illetve a bankolás, csak a kártya használatára jogosult személy, vagyis a kártyabirtokos hitelesíthesse a tranzakciót. Az Európai Unió PSD2 irányelve alapján a bankkártyás vásárlások és az elektronikus fizetési műveletek többségénél szükséges lesz az erős ügyfélhitelesítés a kártyabirtokos azonosításához.
Ez alapján az alábbi műveletek során lesz szükség az erős ügyfélhitelesítésre:
- Online bankkártyás fizetés
- Fizikai környezetben történő, egyérintéses fizetés
- Nem kártya alapú elektronikus fizetési műveletek
Miért van szükség erre az azonosítási lépcsőre?
Az erős ügyfélhitelesítés a felhasználók védelmét szolgálja. A digitalizáció világában az ügyfelek és a szolgáltatók nem lehetnek elég óvatosak a lehetséges visszaélések megelőzésében. Ezért döntöttek úgy az Európai Gazdasági Térség országai, hogy még szigorúbban szabályozzák az elektronikus fizetéseket.
Hogyan változik a fizetés az üzletekben?
Ha a kártyabirtokos a boltban egy érintéssel vásárol, akkor 5000 Ft alatti fizetések esetén is előfordulhat, hogy PIN kóddal kell azonosítania magát. Erről a kérdésről a kibocsátó bank dönt az adott tranzakció során.
Hogyan változik az online fizetés?
A vásárló SMS-ben kapott kód és a banktól kapott jelszó megadásával, de akár telefonja ujjlenyomat-olvasójával vagy arcfelismeréssel (pl. Face ID) is azonosíthatja magát.
Ez a megoldás az ügyfelek egy részénél jelenleg is hasonlóképp zajlik, hiszen több bank alkalmazza a SecureCode nevű hitelesítést. Ez fog majd kibővülni az új, erős ügyfélhitelesítést biztosító Identity Check megoldással, amely további azonosítási módokat tesz lehetővé (jelszó, ujjlenyomat-olvasó, arcfelismerés).
A kártyakibocsátó döntése, hogy az azonosítási lehetőségek közül melyiket választja, illetve alkalmaz-e kivételkezelési szabályokat.
Hogyan működik az erős ügyfélhitelesítés?
A fizetést jóváhagyó pénzügyi szolgáltatónak (pl. bank) a lehetséges háromféle azonosítástípusból legalább kettő használatával egyértelműen azonosítania kell a fizetést vagy banki műveletet kezdeményező személyt.
A háromféle alkalmazható azonosítástípus:
- Amit a kártyabirtokos ismer (pl. jelszó)
- Amivel a kártyabirtokos rendelkezik (pl. mobileszköz, telefonszámra kapott SMS)
- A kártyabirtokos biológiai tulajdonságain alapuló (biometrikus, pl. ujjlenyomat vagy arcfelismerés)
A biometria előnyei
A biometrikus azonosítás a csak ránk jellemző biológiai tulajdonságaink alapján történik, így a tranzakciók során az azonosításhoz szükség van a kártyabirtokos aktív részvételére.
Ez a megoldás ráadásul gyors és néhány másodperc alatt egyszerűen elvégezhető, például a telefonunk ujjlenyomat-olvasójával.
Több magyar bank alkalmaz már szolgáltatásaiban vagy mobilbanki alkalmazásokban ilyen biometrikus megoldásokat.
Mi az a Mastercard Identity check?
A Mastercard Identity Check vagy röviden ID Check az EMV Co által kialakított iparági szabványonalapul, amely lehetővé teszi a PSD2 irányelveinek megfelelő hitelesítést, lényegében a korábban ismert SecureCode továbbfejlesztett változatáról van szó.
Az ID Check egy olyan egyszeri kódon vagy biometrikus azonosításon (arcfelismerésen, ujjlenyomaton, illetve más emberi tulajdonságon) alapuló biztonsági ellenőrzés, amely fokozott védelmet biztosít a kártya jogosulatlan használatával szemben, amikor az interneten vásárolunk.
A vásárláskor Mastercard ID Check használatával (korábban a SecureCode használatával) igazoljuk, hogy jogosultak vagyunk az adott bankkártyával történő fizetésre.
Mi a kereskedők feladata, hogy a vásárlók továbbra is zavartalanul fizethessenek?
Az erős ügyfélhitelesítéssel kapcsolatban a vásárló mellett a kereskedőnek is dolga, fejlesztési feladatai lesznek saját webáruházában: egyrészt hogy a követelményeknek egyáltalán megfeleljen, ezáltal elkerülve lopott kártyás vásárlásokból eredő veszteség kockázatát, illetve biztosítva fizetési folyamatainak folytonosságát, másrészt, hogy a fent bemutatott, erős ügyfélhitelesítéssel lerontott ügyfél élményt „visszajavítsa” a megfelelő adatátadással. A fejlesztéssel kapcsolatos teendőkről itt elolvasható a Kosárérték.hu részletes szakmai anyaga.
A fizikai üzletekben végzett egyérintéses bankkártyás fizetések esetén a kereskedőnek nincs külön feladata, a változás mindössze annyi, hogy a terminál időnként az 5000 Ft alatti összegek esetében is kérheti a PIN kódot.
Webáruházak esetén:
A kereskedő számára fontos, hogy az erős ügyfélhitelesítés bevezetése miatt ne nőjön a kosárelhagyások száma.
Ezért szükségesek az alábbi lépések:
1. Lépjen kapcsolatba pénzforgalmi szolgáltatójával, hogy van-e technikai jellegű teendője.
2. A webáruház felületén és a saját kommunikációs csatornáin a vásárlóit tájékoztassa arról, hogy csak akkor tudnak bankkártyával online vásárolni, ha
• náluk van a mobiltelefonjuk
• a bankjuk ismeri annak hívószámát
• érdemes letölteniük a bankjuk mobilalkalmazását, hogy kényelmesebb legyen az erős ügyfélhitelesítés.
