2020. szeptember 14-én az utolsó PSD2-mozaik is a helyére került és teljessé vált az a szabályozási kerettrendszer, amit az EU a pénzügyi szektor gyorsabb fejlődése és a fogyasztói igények teljesülése érdekében alkotott. A cél, hogy Európa-szerte a digitális pénzügyi szolgáltatások egyre szélesebb tárháza alacsonyabb áron, magasabb biztonsági színvonalon váljon elérhetővé a felhasználók számára. Szükség volt a szabályozói fellépésre, mivel a bankszektor magától később jutott volna el idáig. Bartha Lajossal, az MNB pénzügyi infrastruktúrákért és bankműveletekért felelős ügyvezető igazgatójával beszélgettünk.
Miért volt szükség PSD2-re?
Az elmúlt években az élet számos területén a digitalizáció nagy léptekkel haladt előre, ami nem volt elmondható a pénzügyi szolgáltatásokról. A hagyományos pénzforgalmi szereplők (jellemzően a bankok) apróbb fejlesztéseket ugyan bevezettek, de nem különösebben szorgalmazták, hogy az ügyfelek minél inkább digitálisan intézhessék pénzügyeiket. Az Európai Unió épp azért alkotta meg az új pénzforgalmi irányelvet (Payment Services Directive, PSD2), mert megunta, hogy a pénzügyi szektorban a digitális technológiák integrálása lassú, miközben a meglévő szolgáltatások sok esetben drágák. Brüsszelben ezért kinyitották a kaput azon cégek és szektorok előtt, ahol a digitális világ már természetes, értik a felhasználói igényeket és használják azokat a technológiákat, amelyekkel ki lehet szolgálni az ügyfeleket – fogalmazott a szakember.
A PSD2 tehát a felhasználót, a fogyasztót helyezte a középpontba és a digitális pénzügyi szolgáltatások elérhetőségét célozta. Versenyélénkítő célzattal lehetővé tette a nem banki szolgáltatók belépését a pénzügyi piacra, hogy a felhasználók élethelyzetének és igényeinek megfelelő szolgáltatás-választék jöjjön létre, a drága és idejétmúlt készpénzhasználat aránya pedig csökkenjen. Fontos volt az árak leszorítása és az ügyféljogok növelése, a gyors kifizetések és az ezekkel kapcsolatos alaposabb tájékoztatás. A irányelvhez még összesen 11 szabályozástechnikai sztenderd (RTS) és ajánlás (uideline) is tartozik, amelyek megfogalmazzák a végrehajtás részletszabályait. A PSD2-t két éve hagyta jóvá az Európai Bizottság, és a piaci szereplőknek 18 hónap állt rendelkezésükre a felkészülésre, a nemzeti szabályokat pedig 2018. január 13-tól élesítették a tagállamokban.
A PSD2 milyen szolgáltatókat különböztet meg?
A PSD2 egyik legfontosabb újítása, hogy új, úgynevezett harmadik fél szolgáltatók jöhetnek létre. Az egyik ilyen a számlainformációs szolgáltató, amely a szolgáltatást igénybe vevő ügyfél felhatalmazása alapján a bankjánál vezetett folyószámla adataival dolgozva lesz képes kényelmi szolgáltatások nyújtására. Ezek a szolgáltatók pl. mesterséges intelligencián alapuló elemzések segítségével egyénre szabott biztosítási ajánlatokat, megtakarítási lehetőségeket, bankszámla csomagokat és egyéb szolgáltatásokat ajánlhatnak az ügyfeleknek, ezzel is optimalizálva pénzügyeinket. A másik szolgáltatótípus az úgynevezett fizetés-kezdeményezési szolgáltató, amely az ügyfél kérésére az ügyfél bankjánál vezetett fizetési számlájáról fizetési megbízást indít. Ezek a szolgáltatók segíthetnek abban, hogy az ügyfelek egyszerűbben, olcsóbban és kényelmesebben intézhessék a havonta esedékes közműszámlák, közös költség, biztosítási díjak vagy más fizetési kötelezettségeinket a legkülönbözőbb digitális eszközökről akár automatikusan is. Emellett pedig akár a céges számlákhoz kapcsolódó olyan fizetési szolgáltatást is nyújthatnak, ami egyaránt megkönnyítheti mind a vállalkozások, mind pedig az ügyfelek életét.
Hogyan lehet mindezt majd biztonságosan intézni?
Az új szolgáltatók az ügyfeleik számára nyújtott szolgáltatásokat a bankoknál vezetett fizetési számlák adataira alapozva, vagy ahhoz kapcsolódóan nyújthatják. Ehhez azonban a bankoknak lehetővé kell tenniük e szolgáltatók számára a biztonságos elektronikus hozzáférést az ügyfeleik fizetési számláihoz. Az, hogy mi számít biztonságosnak, az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációra vonatkozó szabályozástechnikai standard ad részletszabályokat, amely pár napja, 2019. szeptember 14-től alkalmazandó. A megfelelő biztonság elérése érdekében a legfontosabb szabály, hogy a kapcsolat létesítésekor egyrészt hitelesíteni kell a harmadik fél szolgáltatót, másrészt a szolgáltatást igénybe vevő ügyfelet is. A harmadik fél szolgáltatóknak tanúsítvánnyal kell rendelkezniük, amellyel a mellett, hogy igazolni tudják magukat az ügyfél bankja előtt, azt is bizonyítják, hogy megvan a hatósági engedélyük az adott pénzügyi szolgáltatás végzéséhez, hiszen a tevékenységük engedélyköteles, így MNB által felügyelt intézmények. Az ügyfél személyazonosságának hitelesítésére pedig – néhány kivételtől eltekintve – erős ügyfél-hitelesítést kell alkalmazni, mely során az ügyfélnek 3 csoportba sorolt hitelesítési faktorból kettőt szükséges megadnia, hogy a hitelesítés sikeres legyen. Az első csoportba az ügyfél „biológiai tulajdonsága” tartozik, pl. ujjlenyomat vagy retina mintázat. A második csoportba az ügyfél „ismerete”, pl. egy jelszó vagy PIN kód. Míg a harmadik csoportba az ügyfél által „birtokolt eszközök” tartoznak, így pl. egy mobiltelefon, vagy token.
Hogyan befolyásolja a PSD2 szabályozás utolsó eleme a mindennapi pénzügyeinket?
Módosul az internetbanki belépés folyamata, eddig elegendő volt felhasználónévvel és jelszóval bejelentkezni, azonban most a bankoknak még egy módon meg kell győződniük arról, hogy valóban az ügyfelük kívánja használni a szolgáltatást. Ez még egy plusz hitelesítési faktor megadásával történik, amely a bevezetett technikai megoldások függvényében bankonként eltérő lehet. Ez a plusz faktor jellemzően egy sms-ben érkezett kód vagy token (mely lehet akár mobilapplikációba integrált token is) kód. Így az ismeret faktor a jelszó, a birtoklás faktort a mobil telefon vagy token testesíti meg. SMS kód alkalmazása esetén mindenkinek ajánlatos ellenőriznie, jó mobilszámot adott-e meg a bankjának.
Az erős ügyfél-hitelesítés bevezetésével változik az érintéses fizetések rendszere is. Az eddig megszokott gyakorlathoz képest előfordulhat, hogy 5000,-Ft alatti értékben is szükség lesz a kártyához tartozó PIN kód használatára. Öt érintéses fizetés, vagy összesen 150 euró (mintegy 48 ezer forint) összegű érintéses fizetés után (a több, kisebb értékű fizetés összege összeadódik) a banknak meg kell győződnie arról, hogy valóban a tulajdonos használja a kártyát – vagyis PIN-kódot kell kérnie. Ha időközben volt nagyobb összegű PIN-kódos vásárlás vagy készpénzfelvétel, akkor az hitelesítésnek minősül, és a számlálás újraindul. Előfordulhat, hogy a POS terminál a boltokban a tranzakció hitelesítésére nem PIN kódot kér, hanem elutasítja azt, ebben az esetben az ismételt próbálkozás során a chipes hitelesítést kell választani az érintő funkció helyett, vagyis be kell dugni a kártyát a terminálba és úgy kell új tranzakciót kezdeményezni.
Hogyan változik meg az internetes kártyás fizetés módja?
Az internetes vásárlásoknál sem lesz elegendő a bankkártya adatait ismerni (kártyaszám, név, lejárat és a hátsó oldalon lévő három számjegyű CVV/CVC-kód), a banknak ebben az esetben is meg kell győződnie arról, hogy valóban a tulajdonos használja a kártyát, például egy, a mobiltelefonra küldött ellenőrző kód és statikus jelszó megadásával.
A nyitott bankolás is küszöbön áll, mi várható?
A nyitott bankolás azt jelenti, hogy az ügyfelek pénzügyeik egyszerűbb intézéséhez a számlainformációs illetve fizetés-kezdeményezési szolgáltatók által kidolgozott webes vagy mobilos alkalmazásokon keresztül számlainformációs szolgáltatást vehetnek igénybe, sőt azt is, hogy utalást kezdeményezhetnek számlájukról. Ehhez a bankoknak biztosítaniuk kell, hogy a harmadik fél szolgáltatók az ügyfeleik megbízásából hozzáférhessenek az ügyfelek számláihoz. Az ügyfél dönti el, hogy kivel oszt meg adatot, őt megkeresni pedig csak olyan szolgáltatók jogosultak, akik rendelkeznek MNB engedélyével.