Szeptember 14-én nem lesz Armageddon
Nem jön el az online bankkártyás fizetések Armageddonja szeptember 14-én – noha az elmúlt napokban megsokszorozódó sajtóhírek alapján sokan úgy gondolhatják, hogy az online térben indított fizetések tömegeit utasítják majd vissza a szolgáltatók az új európai szabályozás miatt. Mint arról már korábban írtunk, a második pénzforgalmi irányelv (PSD2) erős ügyfél-hitelesítésre (strong customer authentication – SCA) vonatkozó szabályainak ez év szeptember 14-i életbelépését nagy bizonytalanság övezi, miután kiderült, hogy a fizetési rendszer szereplőinek zöme csúszásban van a felkészüléssel.
Első ránézésre az SCA alapvetően a kártyakibocsátói oldalon generál feladatokat: a bankkártyákat kiadó pénzintézeteknek alkalmassá kell tenniük a rendszerüket arra, hogy az ügyfelük által az online térben végzett vásárlási tranzakciókat két, egymástól független azonosítással lehessen hitelesíteni. A gondok már itt kezdődnek. Egyrészt az Európai Bankhatóság (EBA) néhány hónappal ezelőtt – a felkészülés közepén – jelezte: a könnyen megszerezhető, bankkártyán szereplő adatokat hitelesítési szempontból nem tekinti alkalmasnak arra, hogy a két elvárt azonosítási mód közül az egyiknek megfeleljenek. Ráadásul kiderült: a bankkártyatársaságok nyomására több pénzintézetnél bevezetett, az SCA szempontjából a legoptimálisabb megoldást jelentő, a mobiltelefonra küldött, egyszer használatos jelszóval (3DS) védett tranzakciós rendszer is továbbfejlesztésre szorul. A második generációs 3DS-specifikációkat viszont csak néhány hete ismeri a piac – a kártyatársaságok tavasz végére készültek el.
A második – nagyobb – problémát az elfogadói/kereskedői oldal jelenti. Az online fizetési platformoknak ugyanis SCA-kompatibilisnek kell lenniük – például lehetővé kell tenniük, hogy az ügyfél az online fizetéshez a bankjától kapott egyszer használatos jelszót be tudja valahová gépelni a fizetőfelületen. Miután a fizetési rendszerek szállítóinak kapacitása véges, s itt európai szinten lépett fel óriási fejlesztési igény, ebben várható a legnagyobb csúszás. (Arról nem is beszélve, hogy a tengerentúli online elfogadókra és boltokra az EU nem tud nyomást gyakorolni, hogy megtegyék a szükséges lépéseket.) A helyzetet bonyolítja, hogy a PSD2 bevezetési szabályain csak az Európai Parlament módosíthatna, annak tárgyalási rendjébe ugyanakkor nem fér bele a határidő kitolásáról szóló döntés meghozatala. Az EBA ezért azt jelezte, hogy a tagállamok felügyeleti hatóságaira bízza, hogy – a későbbiekben meghatározott új határidőig – mentesítést adjanak ki az SCA szabályozás alkalmazása alól. A Magyar Nemzeti Bank álláspontja szerint generikus határidő-kitolásra nincs módja a felügyeletnek, egyedi, banki megkeresés alapján adhat ki átmeneti mentesítést. Ráadásul ez csak a banki oldalra lehet érvényes, hiszen a felügyelet a kereskedőket nem ellenőrizheti. A gondot pedig az okozza, hogy a nem SCA-val azonosított tranzakciókat a kibocsátóknak elvben szeptember 14-e után vissza kellene utasítaniuk.
