Itt a koronavírus-járvány, de sikerült végre megtanítani a nagyit az interneten rendelni a boltból úgy, hogy kártyával fizeti ki az árut? Ne örüljön nagyon, januártól jön ugyanis az erős ügyfél-hitelesítés, és akinek nincs nagyon okos telefonja, az bonyolult procedúrákkal nézhet szembe, ha a neten akar majd vásárolni. A PSD2 (Revised Payment Services Directive) uniós szabályozás szuperbiztonságos újítása, az erős ügyfél-hitelesítés kötelezővé tétele miatt ugyanis a korábban szokásos internetes kártyás vásárlási procedúra nehezített terepen megy majd végbe.
Eddig elég volt megadni egy vásárlás során a bankkártya adatait, a kártyaszámot, a lejáratot és az úgynevezett CVV vagy CVC2 kódokat (Card Verification Value/Code), mostantól viszont jó lesz, ha kéznél van a mobiltelefon, a netbanki belépőkód, mert ezek nélkül nem fog sikerülni a vásárlás. Aki eddig elmentett bankkártyával vásárolt egy biztonságosnak gondolt webáruházban, és azt gondolta, elegendő, ha emlékszik arra a három-négy számjegyből álló kódra a bankkártya hátulján, az legkésőbb januártól figyelmeztető üzeneteket fog kapni, hogy máshol is jóvá kell hagynia az ügyletet.
Pár másodperc helyett hosszú percekig tart majd
Szerencsés esetben jövőre elég lesz "leokézni" a tranzakciót a mobilbankban, de az sem kizárt, hogy be kell lépni netbankba, ahol a jóváhagyandó kártyás tranzakciók kikeresése után lehet majd valahogy pontot tenni a vásárlás végére. A legtöbb ügyfélnek persze fogalma sincs, hová dugta el a bankja a netbankban ezeket a jóváhagyandó kártyás vásárlási tranzakciókat, hiszen azelőtt ilyesmit sosem kellett elintéznie. Az eddig néhány másodperc alatt letudható internetes kártyás vásárlási folyamat mindenesetre hosszú percekig is eltarthat majd.
A macerának persze megvan az előnye, ez garantálja, hogy biztonságos lesz a vásárlás valamennyire, vagyis azt, hogy nem élnek vissza a bankkártyával idegenek. Azt a PSD2 sem tudja garantálni, hogy a bankkártyabirtokos rendben megkapja az interneten rendelt árut vagy szolgáltatást, amiért fizetett, a csaló webáruházak ellen ez nem a módszer sem véd meg. Egyedül arra jó az erős ügyfél-hitelesítés, hogy ha idegenek kezébe kerül a plasztiklap, ők nem tudnak vele az interneten vásárolni - legalábbis európai webáruházban semmiképpen.
Fizikai kereskedőnél, ha ismerik a pin-kódot (personal identification number - személyi azonosító szám), vagy a pin-kódot nem igénylő limiten belül vannak (ez most 15 ezer forint), szintén tudják használni idegenek a bankkártyát. Egyedül az internetes vásárlásnál lépnek be a szigorú biztosítékok.
Igazából egyre nagyobb szükség van rá
Bár a kártyabirtokosok döntő része főleg az első néhány alkalom során vélhetően el fogja küldeni a bankot és a webáruházat melegebb éghajlatra, amikor azt kéri, hogy menjen be a netbankjába, és ott hagyjon jóvá tranzakciókat, vagy adjon meg újabb és újabb kódokat, az erős ügyfél-hitelesítés bevezetésének van létjogosultsága.
Bár a Magyar Nemzeti Bank (MNB) azt állítja, Magyarországon nagyon kevés más országokhoz képest a bankkártyás visszaélések száma és értéke, a statisztikákból jól látszik, hogy éppen az internetes vásárlás az a terep, ahogy az ilyen csalások volumene exponenciális mértékben megugrott az elmúlt évek során.
Idén az első negyedévben például ellopott vagy elveszett kártyával összesen 1166 visszaélés volt, nem egészen 13,5 millió forint összértékben, vagyis egy kártyával átlagosan 11,56 ezer forintnyi kárt okoztak. Az internetes vásárlásoknál elkövetett csalások száma ugyanebben a három hónapban 14 579 volt, vagyis a 12,5-szerese a lopott kártyás csalásokénak, az értéke pedig meghaladta a 310 millió forintot, ami már 23-szor annyi, mint a sima lopott kártyásoké. Az egy csalás során elkövetett kár értéke is jóval magasabb volt: meghaladta a 21 ezer forintot.
Baljós jel azonban a statisztikában, hogy a visszaélések döntő része külföldön történt, pontosabban külföldi webáruházban használták az orvul megszerzett kártyaadatokat a csalók. Ezek közül a webshopok közül pedig az kétlépcsős azonosítást csak az Európai Unióban működőknek kell bevezetniük, egy kínai vagy amerikai áruházból továbbra is vásárolhat idegen is megszerzett kártyaadatokkal. Ilyen esetben legfeljebb a bank vészjelző rendszere akadályozhatja meg a tranzakciót azzal, hogy felhívja az ügyfelet és megkérdezi: valóban ő akar-e vásárolni az adott webhelyen.
Vannak bankok, amelyek már bevezették
A magyarországi bankok ügyfelei nem egyszerre szembesülnek az erős ügyfél-hitelesítéssel. Akadnak, akik már hónapok óta szokják az új rendszert, mások csak néhány hete próbálgatják, és lesznek, akik január 1-től fogják megismerni. Ami biztosnak tűnik, a mobilbanki alkalmazások használói egyszerűbben jóvá tudják majd hagyni a tranzakciókat, a mobilbankhoz viszont okostelefon kell. Abból sem jó mindegyik, mert a bankok egy része a régi típusokra nem ad már ki frissítéseket, fejlesztéseket, vagyis az unoka levedlett iPhone 5-öse nem biztos, hogy elég jó lesz majd bankolásra a nagymamának.
Egyes bankokon belül is előfordul, hogy az ügyfélkör egy része már hamarabb, egy másik része pedig csak később ismeri meg az új rendszert. Az UniCreditnél például mobilbankot használók már május közepétől így vásárolnak az interneten, a többiek pedig sms-ben kapnak kódot. Decembertől azonban ez már nem lesz elég, az sms-kód (short mail service) mellé meg kell adni a telefonbank-szolgáltatás pin-kódját is.
Az OTP Bank ügyfelei november 2-ától találkozhatnak az internetes kártyás vásárlásokkor a bankkártya-birtokosok adatainak még nagyobb biztonságát szolgáló erős ügyfél-hitelesítéssel, Kétféle lehetőségük van az internetes bankkártyás vásárlásaik többlépcsős jóváhagyására. A legkényelmesebb megoldás, ha az OTP SmartBank mobiltelefonos alkalmazást használják. Így a vásárláskor a bankkártya-adatok szokásos megadása után egy felugró értesítést kapnak a mobiltelefonjukra, amire rákattintva belépnek az alkalmazásba, majd az applikáción belül egy jóváhagyással - például valamelyik biometrikus azonosítójuk megadásával - engedélyezhetik a vásárlást. A bank mobilalkalmazását használó ügyfeleknek fontos tudniuk, hogy az alkalmazást szükséges a legújabb verzióra frissíteni a kétlépéses azonosításhoz, továbbá engedélyezniük kell a felugró értesítéseket (push üzeneteket) a készülékük beállításaiban.
Ha nem regisztráltak még az OTP SmartBankra, a hitelintézet ügyfelei használhatják az internetes bankkártyás vásárlások jóváhagyására az sms-ben kapott biztonsági kódot is, viszont ehhez már az úgynevezett telekódot is meg kell adniuk. Ez alapesetben a bankkártyához tartozó számla számának utolsó három számjegye, az alapértelmezett telekódot viszont meg kell változtatni, az internetes vásárlások jóváhagyásához.
A CIB Banknál sem hagyták az utolsó pillanatra az átállást. Az interneten történő bankkártyás vásárlások jóváhagyása november 4-től megváltozott és a megerősítő kód használata helyett számos esetben egy új folyamat lépett érvénybe. Ennek köszönhetően kizárólag a kártyabirtokos tudja jóváhagyni a tranzakciókat még abban az esetben is, ha egyszerre veszítené el a mobiltelefonját és a bankkártyáját. Az internetes bankkártyás fizetések jóváhagyása a mobilbank alkalmazással történhet meg.
A webáruházból az ügyfelet egy hitelesítési képernyőre irányítják, ahol egy nyelvválasztó képernyőn ki kell választania a tranzakció hitelesítésének nyelvét. Ezután egy push-üzenet érkezik készülékére a CIB Bank Mobilalkalmazástól, amire rá kell kattintania, ekkor ekkor megnyílik a mobilalkalmazás, amelybe be kell jelentkezni ujjlenyomattal, arcelismeréssel vagy pin-kóddal. Ellenőrizni kell a vásárlás részleteit, amely ezután már jóvá is hagyható biometrikus azonosítással vagy a mobilalkalmazás pin-kódjával.
Januártól ezeknél a bankoknál változik a rendszer
Az MKB-nál jelenleg az egyik lehetőség az sms-ben érkező jelszó, ebben az esetben kártyabirtokos ügyfelünk telefonszámára egy egyszer használatos hat számjegyből álló kódot küldenek, amelyet a tranzakció jóváhagyásához a fizetési folyamat végén meg kell adnia az erre a célra szolgáló online felületen. A másik lehetőség a tranzakció mobilalkalmazás segítségével történő jóváhagyása. Akinek nincs mobilalkalmazása, az januártól egy online pin-kódot is meg kell majd adjon, ha az interneten akar vásárolni.
A K&H az év végén áll át teljesen az új erős ügyfél-hitelesítési folyamatra, amelynek kétféle verziója lesz. Ha az ügyfélnek van mobilbanki alkalmazása, akkor a kártyaadatainak megadását követően kap egy azonnali (push) értesítést a telefonjára, amelyre rákattintva a mobilbankhoz is használt ujjlenyomattal, faceID-val vagy mPIN kóddal hagyható jóvá a tranzakció. Ha nincs mobilbanki alkalmazása, akkor a kártyaadatainak megadását követően egy korábban megadott internetes vásárlási jelszóval és az sms-ben küldött jelszó együttesével tudja jóváhagyni a tranzakciót. Az ügyfeleket már hónapok óta igyekeznek felkészíteni a változásokra, és arra buzdítják őket, hogy használják a mobilbankot. Emellett azt ígéri a bank, hogy a folyamat a digitálisan aktív ügyfélkör számára egyszerűsödni fog.
A Takarékbanknál szintén csak 2021. január 1-től élesedik az erős ügyfél-hitelesítés. Ekkortól az internetes bankkártyás tranzakciók többségénél meg kell adni egy állandó négy számjegyű jelszót (internetes pin) és egy díjmentes smsben a vásárláskor kapott egyszer használatos kódot.
Az Ersténél is januárban indul el teljes egészében a rendszer. A mobilbankosok továbbra is egy push-üzenetet kapnak majd, ezen keresztül hagyhatják jóvá a vásárlást. MobilBank nélkül a netbanki belépéshez használt jelszóval, valamint az ügyfél mobiltelefonjára sms-ben küldött egyszer használatos kóddal kell hitelesíteni a tranzakciót.