Szeptember közepétől új korszak köszöntött be a bankok és a bankolók életében a PSD2-szabályok hatályba lépése kapcsán. Kötelezővé vált az erős ügyfélhitelesítés, vagyis egy egyszerű jelszóval már nem lehet belépni vagy tranzakciókat végezni az internetbankokban, és a bankkártyás vásárlásoknál is gyakrabban kérik a pin-kódot, mint korábban. A cél a nagyobb biztonság, de a bonyolultabb rendszer hibákkal is jár.
Nem jön meg az sms
Már a szabályozás bevezetése előtt több ország pénzügyi felügyelete jelezte az európai bankhatóságnál (EBA), hogy halasztást szeretne, mert lesznek problémák különösen az internetes vásárlásoknál. Magyarországon is elhalasztották az erős ügyfélhitelesítést az ilyen tranzakcióknál egy évvel. Az erős ügyfélhitelesítés lényege az, hogy két lépcsőben kell azonosítania magát a kliensnek, mielőtt jóváhagy egy tranzakciót. Nem elég például ismernie az internetbanki jelszavát, vagy a bankkártyája adatait, de egy másik, egyszer használatos kóddal vagy biometrikus azonosítóval is le kell okéznia a műveletet.
Az egyszer használatos kódokat sok banknál sms-ben küldi ki, ezek viszont nem mindig érkeznek meg - panaszolták a Napi.hu-nak banki ügyfelek. Az MKB-nak például több Belgiumban élő kliense is azt tapasztalta az elmúlt hetekben, hogy nem tudta használni az internetes banki felületet, mert nem kapja meg a bank sms-eit. Az MKB a Napi.hu-nak azt nyilatkozta, ez csak akkor fordulhat elő, ha nem jó telefonszámot adott meg a banknál, de a telefonszám az ügyfél állítása szerint jó.
A kutya valószínűleg máshol van elásva. Megtörténhet ugyanis az is, hogy a mobilszolgáltatónál akadnak el a külföldről érkező üzenetek. Az OTP-nél legalábbis arra figyelmeztetnek, hogy a külföldi mobilszolgáltató esetében csak akkor mennek ki az sms-ek, ha a külföldi szolgáltató számára a Magyar Telekom sms-roaming szolgáltatást biztosít. Azt viszont, hogy az sms-roaming szolgáltatás rendelkezésre áll-e, az OTP Bank nem vizsgálja, annak feltételeiről a mobilszolgáltató nyújt tájékoztatást.
Vannak alternatívák
A hazai bankok mindenesetre állítják, ki tudják küldeni külföldi számokra is az sms-eket, és így is tesznek, de az üzenetek mégis elakadnak, egy unicredites ügyfél például Angliában nem kapja meg a jóváhagyást megerősítő sms-eket. Az UniCreditnél az sms mellett létezik úgynevezett mobil token, illetve fizikai token is, ami alkalmas a kétlépcsős azonosításra. A mobil tokenre nem sms-ben, hanem push üzenetben érkeznek meg a kódok. Az MKB-nál is van olyan mobil applikáció, amellyel elvégezhető a két lépcsős azonosítás.
Ahol mobilbank van, ott általában könnyebb az ügyfelek helyzete, az OTP-nél például egy QR-kód beolvasásával is megtörténhet az erős hitelesítés, ha ez nem működik, akkor kérhet az ügyfél sms-t. Az Ersténél is vannak, akik már push üzenettel vagy mobilbankkal azonosíttatják magukat, de a felhasználók zöme még sms-t kér. A CIB-ügyfelek mobilalkalmazással és fizikai tokennel válthatják ki a bizonytalanabb sms-eket, sok szolgáltatónál viszont nincs más csak az sms.
A K&H ugyan ad a bankban elektronikus azonosítót, de a tranzakciók megerősítéséhez sms-ben küldött kódot kell kérni. A Takarékbank is csak sms-t küld, és a Budapest Banknál sincs ez másként, igaz, a hitelintézet tervezi a jövőben a QR-kód alapú beléptetés, valamint a push üzenetben történő erős ügyfélazonosítási rendszer bevezetését.
Nem kötelező külföldre kiküldeni
A Magyar Nemzeti Banknál (MNB) a Napi.hu megkeresésére azt a választ adták, hogy a pénzforgalmi törvény alapján a keretszerződés tartalmazza a készpénz-helyettesítő fizetési eszköz használatát, így azt is, hogy milyen módon lehet belépni az internetbankba, avagy milyen telefonszám segítségével használható. Ugyanakkor egyetlen pénzforgalmi jogszabály sem tartalmaz arra vonatkozóan előírást, hogy a pénzforgalmi szolgáltatónak kötelező lenne a magyar telefonszámoktól eltérő telefonszám esetén is biztosítani az általa az ügyfél rendelkezésére bocsátott készpénz-helyettesítő fizetési eszköz használatát, általánosságban még arra sincs előírás, hogy általában telefon segítségével bármilyen szolgáltatást is biztosítania kellene. Mindezek nyomán ismereteink az MNB olyan ellenőrzéseket nem is végez, hogy biztosítják-e a bankok az sms-ek megérkezését a telefonszámokra.
A 2019. szeptember 14-től alkalmazandó változásokról a számlavezető bankoknak értesítést kellett küldeniük az érintett ügyfeleknek, amelyben részletesen leírják az újonnan kialakított technikai kivitelezési módot vagy a megváltoztatott folyamatokat és biztonsági eljárásokat (például az sms kód bevezetését) és egyúttal célszerű lett volna felhívni az ügyfelek figyelmét a banki rendszerben nyilvántartott adatok frissítésére is. Ha a bank olyan kikötést tesz, hogy nem engedélyez külföldi telefonszámot regisztrálni, arra számlanyitáskor fel kellene hívni az ügyfél a figyelmét.
Az MNB azt javasolja, ha problémája van az ügyfélnek, először a bankjához forduljon, ha ott nem orvosolják a problémát, akkor pedig keresse meg az MNB ügyfélszolgálatát. Emellett azt is tanácsolja a jegybank, hogy ha valaki nem elégedett a bankjával, váltson pénzügyi szolgáltatót.