A kártyás fizetés és a netbank tényleg megváltozik, az e-kereskedelem még nem

Magyarország él azzal a lehetőséggel, amelyet az Európai Bankhatóság biztosított a nemzeti hatóságoknak, és 12 hónappal eltolja a bankkártyákkal kezdeményezett e-kereskedelmi fizetéseknél az erős ügyfél-hitelesítés feltételeinek bevezetését.

Sokan ezt úgy értelmezték, hogy a szeptember 14-én induló új európai fizetési szabályok (PSD2 direktíva) bevezetése csúszik egy évet, de erről szó sincsen. Megmagyarázzuk.

Szeptember 14. továbbra is fontos határnap

A PSD2 elnevezésű új fizetési direktíva a tervek szerint sokak életét megváltoztatja, a lakossági ügyfelekét, a bankokét, a webshopokét és az alternatív szolgáltatókét. aztán jött a csúszás. Igen ám, de ha nagyon leegyszerűsítjük a 12 hónapos haladékot, ez csak azokat a tranzakciókat érinti, amelyekben különböző e-kereskedelmi egységeknek kellett (volna) kialakítani az erős ügyfél-azonosítás szabályait.

Ha egy kapcsolatban nincsen webshop, például be szeretnénk lépni az internet banking felületünkre, és ott átutalást szeretnénk kezdeményezni, vagy a bankkártyánkkal egy offline (fizikai) boltban szeretnénk fizetni, akkor szeptember 14-e után már igenis az űj szabályok érvényesek.

Vagyis lesz erős ügyfél-azonosítás, csak nem mindenhol

Az Európai Unió azt szeretné, hogy kevesebb legyen a kártyás csalás, a visszaélés az érzékeny, személyes adatokkal, ezért úgy próbálja ösztönözni a digitalizáció elterjedését, hogy igyekszik azt biztonságosabbá is tenni.

Azt ígéri az új szabály, hogy egyetlen eszköz, jelszó, vagy paraméter illetéktelen megszerzése nem lesz elegendő a visszaélésre. Vagyis

• ha ellopják a bankkártyánkat, akkor annak elő- és hátlapján olvasható adatok nem lesznek elegendőek a nagyobb összegű vásárlásra, fizetésre,
• ha pedig ellopják az internet banking statikus jelszavunkat, illetéktelen belépő, nem fog tudni pénzt elutalni. 

A banknál igen, az e-boltban nem

Ez a szabály most annyiban finomodik, hogy a bankoknak igenis fel kell készülniük, de a webshopok még kapnak egy évet a reformokra. 

Az erős ügyfél-azonosítás lényege, hogy duplán kell azonosítanunk magunkat

• részben a tudásunkkal (ismerjük a PIN-kódunkat, tudjuk az internet banking jelszavunkat),
• részben az általunk birtokolt eszközzel (sms-t kapunk a mobiltelefonunkra, vagy rá kell nyomnunk egy push-üzenetre a nálunk levő okostelefonon, esetleg valamilyen tokent is használhatunk),
• részben a saját biometrikus jellemzőinkkel (ez lehet ujjlenyomat, hangminta, írisz, vagy retina).

Figyelem, a bank szeptember 14-e után már eszerint jár el. Vagyis nem lesz elég belépni az internet banking rendszerbe és ott tranzakciót indítani, csak akkor tudjuk hitelesíteni magunkat, ha még egy módon bizonyítjuk, hogy illetékesek vagyunk (például az okos telefonunkra küldött üzenetre rányomunk, vagy beírjuk a telefonunkra kiküldött sms-t).

Ez miért biztonság? Nagyon profán példával, az új biztonsági rendszer azt feltételezi, hogy amennyiben valaki nyitva hagyja egy gépen a net banking alkalmazását és gondatlanul kimegy a szobából, azért az okos telefonját, csak magával viszi.

A webshopok csúszhatnak

A bankok régóta készülhettek a változásra, vélhetően fel is készültek, de azt már egy ideje lehetett sejteni, hogy a végtelen mennyiségű e-kereskedelmi egység, az utazási szájtok, az élelmiszer-kereskedők, az online lottó, a webes autópályamatrica-kereskedők, vagy éppen állateledel-dealerek nem fogják mind kialakítani az új igényeknek megfelelő rendszert.

Hiszen eddig hogyan fizettünk? Kiválasztottunk valamit a neten, majd addig nyomkodtuk a gombokat, amíg eljutottunk a „fizetés” pontig, megadtuk a bankkártyánk mindenféle adatait, és már sikerült is a tranzakció. 

Nos, ez még egy évig továbbra is így marad, de utána ezek a rendszerek is majd sms-t küldenek, vagy ujjlenyomatot kérnek, szóval biztonságosabbá válnak, van mire felkészülni, de 2020. szeptember 14-e után már tényleg nincs halogatás.

De eddig sem a netbankkal volt baj

Amikor eddig csalások történtek, jellemzően szinte sohasem a bankok rendszerein keresztül történtek (kivéve, ha egy adathalász csalónak megadtuk a belépési adatainkat). 

A jövőben az pozitívum, hogy a banki jelszavak adathalászai már semmire sem mennek, a mobiltelefonunkat ugyanis nem fogjuk átadni nekik.

Azok a hekkerek, akik a kártyaadataink megszerzésével online vásárlásokkal kopasztottak meg  minket (vagy a bankunkat, amelyik jóváírta a csalárd módon leemelt összegeket), nos, számukra még kinyílt egy 12 éves időkapu, de utána ez is bezáródhat.

A technikai változások

Végül fontos megjegyezni azt is, hogy szeptember 14-én a kisértékű kártyás fizetések reformja is elindul.

Ez nem egy nagy változás, annyit tesz, hogy a jövőben olykor a kis összegű (5000 forint alatti) kártyás fizetéseknél is be kell majd ütnünk a PIN-kódunkat.

A ma elterjedt egyérintéses kártyás fizetéseknél az 5000 forint alatti tranzakcióknál a rendszer jellemzően nem kér PIN-kódot. A jövőben ez úgy változik, hogy a bank minden ötödik fizetésnél, vagy 150 eurónyi (49 ezer forint) összesített fizetési értéknél kérni fog egy PIN-kódos megerősítést.

Nem is kérdés, hogy ez is a mi érdekeinket szolgálja, és ez egy vállalható apró kényelmetlenség. Hiszen ha valaki úgy nyúlja le a kártyánkat, hogy azt észre sem vesszük, és valamiért sms-t sem kapunk, vagy azt nem vesszük észre, akkor eddig akár végtelen számú kisösszegű fizetést is kezdeményezhetett a tolvaj érintésekkel. 

Aztán vagy észrevette a kártyabirtokos, hogy nincs meg a kártyája, vagy elfogyott a pénze. A jövőben ez a mínusz még a legóvatlanabb ügyfél esetében is megáll 50 ezer forint alatt.

Összefoglalva, igenis megváltozik az élet szeptember 14-től, de azért maradt még reform 2020. szeptember 14-re is.