Lépéskényszerben a bankkártya-szabályozás

Az azonnali fizetés hazai elhalasztása után ezúttal uniós szinten várható csúszás egy nagy horderejű elektronikus fizetési projektben. A szakértők, sőt már az Európai Bankhatóság (EBA) szerint is érdemes volna eltolni a második pénzforgalmi irányelv (PSD2) erős ügyfél-hitelesítésre (strong customer authentication – SCA) vonatkozó szabályainak ez év szeptember 14-i életbelépését, amelyet egyébként az unió területén működő minden hitelintézetnek alkalmaznia kellene az online bankkártyás fizetések esetében.

A szabályozás érthető: az elmúlt években a kártyacsalások legdinamikusabban növekvő területe az online fizetésekhez volt köthető. Az előírások szerint az interneten a bankkártya számával, lejárati idejével, a tulajdonos nevével és a kártya hátoldalán lévő háromjegyű, úgynevezett CVC kóddal lehet fizetni. Csakhogy ezek mindegyike könnyen megszerezhető a kártya fizikai átadásakor. (Ráadásul a kártyabirtokos nevét – az eltérő betűkészlet miatt – számos elfogadó nem ellenőrzi, míg más ügy esetében az vált világossá, hogy egyes nagy kereskedőoldalak a CVC kód megadása nélkül is átengednek fizetési tranzakciót.)

Az SCA szabályozás tehát olyan megoldást javasol, amely ennél magasabb szintre emeli a biztonságot. Az előírás szerint a megerősített azonosításhoz a három csoportba sorolt módok közül legalább kettőnek rendelkezésre kell állnia. Az első kör az ügyfél által ismert jelszó lehet. A második azonosítási szintet a kártyabirtokos valamilyen biometrikus azonosítója (ujjlenyomat, arcfelismerés, retinafelismerés, egyéb) jelentheti, a harmadik szint pedig a kártyabirtokos valamilyen eszközével (mobiltelefon, token) történő azonosítás lehet. Amennyiben két különböző azonosításra nincs lehetőség, a kártyakibocsátó banknak nem szabad engedélyeznie a tranzakciót.

A készülődésbe követ dobott az EBA, amely időközben jelezte: az online fizetéskor a könnyen megszerezhető, bankkártyán szereplő adatot hitelesítési szempontból nem tekinti alkalmasnak arra, hogy a két elvárt azonosítási mód közül az egyik legyen. Emiatt néhány hónappal a szabályozás bevezetése előtt a piacnak teljesen új szintre kell lépnie, hiszen addig a fejlesztések zöme a kártyaadatok mellett egy, a mobiltelefonra küldött, egyszer használatos jelszóval (3D Secure, 3DS) akarta megoldani az SCA-feltételeket.

A fejlesztési igények tömege eddig is szűk keresztmetszetnek bizonyult, hiszen az SCA-előírásoknak megfelelő megoldást szállítók száma korlátozott, kapacitásaik már az EBA állásfoglalása előtt is maximálisan és nemzetközi szinten lekötöttek voltak.

A problémák másik körét az okozza, hogy az SCA szabályainak való megfeleléshez nem csak a bankok, a kereskedők felkészültsége is szükséges, webáruházaikban ugyanis nekik kell megteremteniük a kétszintű ügyfél-azonosítást, amely nélkül az ügyfél bankja nem engedélyezi majd a fizetést. A megoldásszállítók e téren is leterheltek, azaz a kereskedői fejlesztések is csúszni fognak. Még nagyobb probléma, hogy az EU szabályozói és a nemzeti hatóságok eddig lényegében nem hívták fel az ügyfelek és a kereskedők figyelmét arra, hogy itt nekik is nagyszabású fejlesztéseket kell végrehajtaniuk. A Visa felmérése szerint az online térben működő európai kereskedők 55 százaléka nem használja a 3DS egyik verzióját sem az internetes fizetésnél, de ennél is megdöbbentőbb, hogy néhány hónappal az SCA hatálybalépése előtt a kereskedők háromnegyede nem ismeri az SCA-követelményeket. A prognózisok szerint főleg a kisebb, feltörekvő webshopoknál okoz majd gondot az új szabályozás, az pedig súlyos csapás lenne az elektronikus fizetésnek, ha ezek a kereskedők visszafordulnának az eddigi útról, és újra az utánvételes fizetést választanák.

További problémát okoz majd, hogy a nem az EU-ban működő, amerikai vagy távol-keleti webshopokat egyelőre semmilyen módon nem tudja az unió arra kötelezni, hogy megfeleljenek az SCA előírásainak, ez pedig – legalábbis az átmeneti időszakban – a hazai kereskedők és az uniós jog alapján működő pénzforgalmi szolgáltatók, bankkártya-társaságok és bankok versenyhátrányát okozhatja.

Egyes álláspontok szerint az online indított kártyás fizetések minimum 25-30 százalékát utasíthatják majd vissza, ha a jelenlegi piaci környezetben kerül sor szeptember 14-én az SCA bevezetésére. Az ebből származó reputációs kár felbecsülhetetlen.

Mindezek kapcsán a nyár óta egyre erőteljesebb az a nézet, hogy az SCA-előírások teljesítését legalább 18 hónappal el kellene tolni úgy, hogy közben szigorú menetrendet szabnak a piaci szereplőknek. A Magyar Nemzeti Bank (MNB) Fizetési rendszer jelentésének bemutatóján Bartha Lajos, a jegybank pénzügyi infrastruktúrákért és bankműveletekért felelős ügyvezető igazgatója a Világgazdaság kérdésére elmondta, hogy az MNB az elsők között szorgalmazta a bevezetés késleltetését. Nagy-Britannia és Írország már jelezte, hogy 18 hónapos átmeneti időszakot határoz meg az SCA bevezetésére.

Az egyik út az átmeneti halasztás

A gond az, hogy az SCA a PSD2 irányelv része, amelynek megváltoztatásához az

Európai Bizottság állásfoglalása és parlamenti döntés kell, ráadásul a határidők az elmúlt időszakban a nemzeti joganyagokba is bekerültek. Azonban a bizottság éppen átalakul, a hátralévő időben nehéz lenne a parlament elé vinni a halasztásról szóló jogszabályt. Az EBA szerint ezért most egyedül az lehet a megoldás, hogy a nemzeti hatóságok saját átmeneti szabályozást hoznak a bevezetés csúszásáról. Ám a piac attól tart, hogy ebben az esetben a különböző tartalmú intézkedések tovább nehezítik a következő hónapok amúgy sem egyszerű munkáját.