Már csak három hónap, és gyökeresen más lesz a kártyás és az online fizetés

Sokat még nem hallani róla, pedig szeptember 14-től már minden élesbe fordul, máshogyan fogunk fizetni, ahogy kinyílnak a bankok adatbázisai is. Ebben a cikkben alapvetően a fizetési tranzakciókat érintő változásokat mutatjuk be, de terveink szerint a talán még forradalmibb változást jelentő úgynevezett open bankingre is visszatérünk.

A PSD2 (payment services directive) egy fizetési szolgáltatásokra vonatkozó európai uniós direktíva, amely sok hasonló iránymutatással és jogszabályfüzérrel ellentétben valóban a mindennapjainkat is meghatározza. A 2018. január 13-án hatályba lépett irányelv elsősorban a különböző fizetési tranzakciókat, a bankok és a fintech szolgáltatók együttműködését szabályozza, célja szerint növeli a pénzügyi rendszer biztonságát és fokozza a versenyt.

Szeptember 14-től mindenesetre a bolti (fizikai) fizetések, de főleg az online vásárlások fizetési tranzakciói is megváltoznak, az új elemeket Nemes Máté, a Mastercard digitális fizetésekkel foglalkozó szakértője mutatta be számunkra,

Sztenderd és biztonságos

A fizikai fizetéseknél a változás nem olyan bonyolult, alapvetően azt fogjuk tapasztalni, hogy olykor az egyszerű, kis összegű (5000 forint alatti) kártyás fizetéseknél is be kell majd pötyögnünk a PIN-kódunkat.

A ma elterjedt egyérintéses kártyás fizetéseknél az 5000 forint alatti tranzakcióknál a rendszer nem kér PIN-kódot. A jövőben ez úgy változik, hogy néha mégis szeretné látni a bankunk, hogy valóban a birtokunkban van-e a kártya. A bankok majd választhatnak, hogy vagy minden ötödik fizetésnél, vagy 150 eurónyi (47 ezer forint) összesített fizetési értéknél a rendszer kérni fog egy PIN-kódos megerősítést.

Ez azért minden bizonnyal egy vállalható pluszfeladat az ügyféltől, ugyanakkor megakadályozza azt, hogy egy ellopott kártyával sorozatban vásárolhasson valaki azonosítás nélkül.

Ha az öt fizetés vagy a 150 euró költés közben bármikor azonosítja magát a kártyabirtokos, például készpénzt vesz fel, vagy nagyobb tételben vásárol, akkor a bank meggyőződhetett arról, hogy a jogos birtokosnál van a kártya, kezdődhet elölről a számlálás.

Online fizetés

Sokkal lényegesebb változás várható az e-kereskedelemben, az online fizetéseknél. Bár a bankoknak itt is van joguk majd mindenféle felmentéseket adni, de főszabályként és óhatatlanul nagyon leegyszerűsítve a változást, szeptember 14-e után már mindig kétfaktoros ellenőrzést, úgynevezett erős hitelesítést követelnek meg a bankok az online fizetéseknél. De mi az a kétfaktoros azonosítás?

Egy ügyfél azonosítására három típusú faktort különböztetünk meg, ebből a jövőben az e-kereskedelemben, illetve minden online fizetési tranzakció során legalább kettőt meg kell adnunk.

A három faktor:

• valamilyen ismeret, amit csak az ügyfél tud (PIN-kód, jelszó),
• valamilyen eszköz, amit csak az ügyfél birtokol (a chipkártya, a mobiltelefon, legtöbbször okostelefon, token, kütyü, más hardver),
• valamilyen biológiai tulajdonság, amely csak az adott ügyfélre jellemző (ujjlenyomat, archáló, hangminta, írisz, retina, de akár mozgás, vagy akár a telefon jellemző használata, mozgatása).

Háromból kettő

A jövőben tehát csak akkor lesz érvényes egy online fizetés, ha legalább két faktorral bizonyítjuk, hogy valóban mi vásárlunk. A nemzetközi gyakorlatban az ilyen kétfaktoros megoldásokra teljesen eltérő gyakorlatok vannak. Belgiumban például a magánembereknek is van egy mini kártyaolvasójuk, és mindenki azzal vásárol a neten (igaz, az elmúlt években azért a mobilos alkalmazások már visszaszorították ezt a megoldást). Ez a sleeve (ingujj) elnevezésű kis kütyü ugyan nem bonyolult, de itthon elég reménytelen lenne most bevezetni, amikor mindenki megszokta a gyors és egyszerű online fizetést, az ügyfelek úgy éreznék, hogy ez egy visszalépés.

A Mastercard sokkal inkább három nem túl kényelmetlen, de azért egy kicsit lassabb és persze biztonságosabb megoldásban látja a jövőt.

• Online vásárláskor, a fizetési folyamatban a legtöbb bank mobilalkalmazása képes lesz egy értesítés küldésére. Ezt megnyitva láthatjuk majd a vásárlás részleteit, és az alkalmazás PIN-kódjával vagy – ha erre alkalmas a készülékünk – akár az ujjlenyomatunkkal is jóvá tudjuk hagyni a tranzakciót.
• Amennyiben nincsen okostelefonunk, vagy nincsen telepítve rá a bankunk alkalmazása, akkor a vásárlás során egy egyszer használatos kódot kell majd megadnunk, ami SMS formájában érkezik – hasonlóan a több bank által jelenleg is használt értesítő funkcióhoz. Az SMS-kód mellett elképzelhető, hogy szükség lesz egy statikus jelszóra is, amit a bankunk fog beállítani nekünk.
• Végül a bankoknak bizonyos esetekben lehetőségük lesz felmentést adni az erős hitelesítés alól. Ilyen eset, ha alacsony összegű a tranzakció, illetve ha a bank monitoringja alapján megbízhatónak tartja a tranzakciót (mert például gyakran vásárolunk az adott kereskedőnél). A bolti egyérintéses fizetésekhez hasonlóan bizonyos számú tranzakció/összeg után itt is kell majd hitelesíteni.

A szabályok azonban úgy vannak kialakítva, hogy az ilyen egyszerűsített fizetéseknél erős fraud-monitoring (csalás-ellenőrzés) működik, és a bankoknak nagyon alacsony visszaélési arányt kell bizonyítaniuk.

Ha például egy netes applikációra előfizetünk, minden hónapban fizetünk egy havidíjat a Spotifynak, akkor a bank erre már számíthat, illetve elképzelhető, hogy a vásárló nem lesz a telefonja és a számítógépe közelében, ezeknél a tranzakciók a jelenleg is bevett módon folytatódnak, és nem kell az ügyfélnek hitelesíteni őket.

Visszaélések ellen

Az új, a sztenderdizált fizetések tűnhetnek lassabbnak, bonyolultabbnak, de mindenképpen erősebb kontrollt is adnak a felhasználó kezébe. Itthon amúgy szerencsére nincs túl sok klasszikus visszaélés a kártyás vagy az online fizetéseknél, itt most azt hagyjuk, hogy bizonyos szolgáltatók, elsősorban az autókölcsönzők be szoktak terhelni utólag, az ügyfelek által sérelmezett tételeket, de maga a rendszer eléggé biztonságos.

Ha pedig mégis megszerzi egy illetéktelen a költésre feljogosító adatokat, akkor a bankok azt feltételezik, hogy aki később panaszt tesz, annak van igaza, és a bankok 24 órán belül általában visszaadják a pénzt. Természetesen, ha a bank „turpisságra” gyanakszik, ettől eltérhet, illetve ha az ügyfélnek felróható a károkozás (mert például válaszolt egy adathalász spamre), akkor 15 ezer forintig az ügyfél is viseli a veszteséget.

Mobiltelefonra mindenkinek szüksége lesz!

Ezek a szabályok az azonnali fizetési rendszerben is érvényesek lesznek. A bankoknak a PSD2 és az AFR is komoly fejlesztési igényt jelent, nem is mindegy, hogy mi következik mi után, de ez az AFR csúszása miatt most megfordult.

A PSD2 szeptember 14-én elindul, egyes bankok már kiadták a vonatkozó közleményüket, ugyanakkor az is lehet, hogy bizonyos elemek (például a fizetések elindításához bevezetendő statikus jelszó megkövetelése) bizonyos országokban akár éveket is csúszhatnak.

Ha nagyon leegyszerűsítjük a jövő fizetési szokványait, valószínűleg eddig is mindenkinek volt mobiltelefonja, de a jövőben aki bankkártyát szeretne használni, esetleg online szeretne vásárolni, annak szüksége lesz mobiltelefonra, és azt magánál is kell tartania. A jövőben végleg eltűnhet az a big brothertől félő, romantikus vagy éppen álromantikus mondat a világunkból, hogy nekem még mobiltelefonom sincsen. Vagy legfeljebb úgy lesz érvényes, hogy nekem nincs mobiltelefonom és pénzt sem használok.

(Borítókép: Andy Cross / Getty Images Hungary)