Indul az erős ügyfélazonosítás az internetes vásárlásoknál

Elemzések2019. aug. 9.Fellegi Tamás

A legtöbb banknál már elterjedt gyakorlat, hogy a bankkártyával való internetes vásárlásnál már külön biztonsági azonosítást alkalmaznak, hogy ne tudjon a tulajdonos tudta nélkül más vásárolni a kártyájával. Szeptembertől mindez kötelező lesz, figyeljünk oda, felkészültünk-e.

Biztonsági rés volt

Az internetes vásárlás ma már rendkívül elterjedt forma, és noha több fizetési mód közül is választhatunk, a legegyszerűbb és leggyakoribb az, ha megadjuk bankkártyánk adatait, és már fizethetünk is. Van, ahol nincs is más opció: tipikusan ilyen a repülőjegyek vásárlása, egy-egy kivételtől eltekintve csak az azonnali bankkártyás fizetést fogadják el.

Ennek a módszernek azonban kezdettől volt egy nagy hátránya. Hatalmas biztonsági kockázatot jelentett az, hogy csak olyan adatot kellett megadni, ami a kártyán szerepelt: nevet, kártyaszámot, a kártyán lévő ellenőrzőkódot, a kártya lejáratát. Ezt értelemszerűen bárki leolvashatja kártyánkról, aki hozzájut.

Elleshették az adatokat

Elsőre azt gondolnánk, hogy ez nem komoly veszélyforrás, hisz észrevesszük, ha eltűnik a kártyánk, és letiltjuk. Csakhogy egyrészt hosszú idő telhet el, amíg egyáltalán észrevesszük a kártya hiányát, és addigra többször is vásárolhatnak a kártyával, persze csak az előre beállított napi vásárlási limitünk erejéig (sokan nem állítják ezt be, így fokozott kockázatot vállalva).

Azonban nem is kell a kártyának elvesznie ahhoz, hogy használhassák az adatokat. Elég, ha valaki látja a kártyát, és megjegyzi, esetleg felírja az adatait, és máris ugyanúgy tud vásárolni, mintha nála lenne az (innen is származik a fizetési mód elnevezése: CNP, Card Not Present, azaz a kártya nincs jelen).

Sok problémát okoztak az olyan esetek, amikor a fizetőhely, vagyis az eladó, vagy az ő környezete élt vissza a kártyaadatokkal, esetleg távoli országban. Tudunk olyan esetről, amikor valaki szállást foglalt egy közép-ázsiai volt szovjet köztársaságban, és rövidesen kapta az sms-eket, hogy az adott országban vásárlósok történtek a kártyával. A kártyát természetesen letiltotta, de addigra már nem kis összegnek nyoma veszett, amelyet végül megtérített a bank.

Ki állta a kárt?

Itt el is érkeztünk a probléma egyik fontos mozzanatához: a kár túlnyomórészt a bankokat terhelte, mivel azt nem akarták vállalni, hogy a vásárlók féljenek, így ne legyen forgalom. Így a vásárlók viszonylag nyugodtak voltak, a bankoknak esetenként nem kis költsége adódott, a bűnelkövetőkett nem találták, esetleg nem is tettek túl nagy erőfeszítést az előkerítésükre, sok esetben pedig olyan ügyesen költötték azok a pénzt, hogy nem is lehetett a nyomukra bukkanni.

A bankok léptek

A bankok végül úgy döntöttek, hogy ezt a biztonsági problémát meg kell szűntetni, és be kell vezetni a külön azonosítást az ügyfélnek, akár úgy, hogy egy megerősítő kódot kap sms-ben, amit meg kell adnia a fizetéshez, akár más módszerrel. Mindez azonban nem automatikus: az ügyfélnek igényelnie kell a szolgáltatást, mégpedig úgy, hogy eleve azonosítani lehessen őt (sokan ezért a bankfiókban intézik).

Egyes bankok időközben már bevezették, hogy csak biztonsági kóddal lehet vásárolni, ha kockázatosnak ítélik az ügyletet, vagy eleve minden internetes vásárlásnál. Gyakran előfordul, hogy a vásárló ilyenkor szembesül azzal, hogy nem tud fizetni (a legkellemetlenebb eset, amikor valaki repülőjegyet akar venni, nem sikerül a dolog, és mire elintézi, hogy meglegyen az azonosítási lehetőség, már felszökik a jegy ára).

Európai előírás

Nos, szeptember 14-től vége minden bizonytalanságnak, mert az Európai Unió kötelezővé teszi az úgynevezett PSD2-es szabályozás erős ügyfélhitelesítés szabályát, melynek lényege, hogy kétféleképpen is azonosítani kell, hogy valóban a jogosult kezdeményezi a fizetést. Ez lehet például egy külön internetes kód és egy sms-ben küldött, az adott fizetést érvényesítő kód, de más módszerek is felmerülnek, idővel akár a biometrikus azonosítás is.

Ellenőrizzük kártyáinkat!

Mindez a korábbiakhoz képest okozhat némi kényelmetlenséget, többletfeladatot, de nem többet, mint amennyi az internetes bankolásnál már rendszerint amúgy is megszokott volt. Két kód megadása nem túl nagy feladat, a cserébe kapott biztonság viszont feltétlenül megér ennyit. Mindenkinek ajánlott, legyen akár vállalati, akár lakossági ügyfél, hogy aktiválja az ügyfélhitelesítést minden olyan bankkártyánál, amelynél felmerülhet az internetes vásárlás.