Jövő januártól máshogyan fizetünk a neten, már nem lesz elég a bankkártya
2020. december 10. – 15:46
frissítve
2021. január 1-jétől már nem tudunk úgy vásárolni az európai webshopokból, hogy csak a bankkártyánkon levő adatainkat pötyögjük be. Az erős ügyfél-azonosítás során kötelezővé válik a kétfaktoros ellenőrzés. Mi ez? És mire figyeljünk?
2019-ben minden egymillió hazai netes fizetési tranzakcióból csupán átlagban 33 darab volt csalással sújtott – írja a Magyar Bankszövetség. A visszaélések értékét tekintve ez 0,017 százalékos csalási kitettség. Ráadásul a Magyar Nemzeti Bank adatai szerint az összes csalás (fraud) kár mindössze 7 százalékát kellett a kártyabirtokosoknak viselniük valamilyen súlyosan gondatlan magatartás miatt, míg a költségek 93 százalékát a bankszektor fizette meg.
Mi változik, és mi nem?
Nem túl nagy arány, különösen szerencsétlen módon azért személyes példám is több van a fraud-esetekből.
Az egyik szerkesztőségi értekezlet alatt lettem arra figyelmes, hogy gyanúsan sokat rezeg a mobilom a zsebemben. Elővettem, és kiderült, hogy éppen nemzetközi csalók vásárolnak az unió legkülönfélébb pontjain (portugál, spanyol és olasz kísérletet is láttam) a kártyámmal, az adataimat valahogy megszerző hekkerek szerencsére elég mohók voltak, így a legtöbb kísérlet beleütközött a vásárlási limitembe. Gyorsan hívtam is a bankomat, és letiltattam a kártyát.
Idén szeptemberben aztán megint pórul jártam. A kisfiaim remek horgászok, az idei nyári szezonban is kifogtak pár komoly ragadozóhalat, csukákat, balinokat. Szeptemberben egy kifogástalan németséggel íródott honlapon válogattak műhalakat. Amikor fizetni kellett, természetesen engem hívtak, beregisztráltam az oldalra, azonnal jött az email a sikeres regisztrációról. A pénztárhoz érve pedig a mobiltelefonomra kaptam megerősítő kódot. Elküldtem, ám miután sikerült a fizetés, már nem jött több értesítés, és a banki terhelésből riadtan láttam, hogy egy kambodzsai postán landolt a pénzem. Gyanús lett a dolog, de amikor írtam a webshopnak (ekkor láttam csak, hogy az ügyfélszolgálatnak gmailes címe van, ettől sem repestem), hamarosan válaszlevélben nyugtattak, összepakolják a kosaramat, és küldik az árut, három-négy hétre lesz szükségük. Meg is nyugodtam, de sajnos a kambodzsai műhalak azóta sem érkeztek meg, csalók áldozata lettem. Igaz, csak magamat okolhatom, nem ellenőriztem kellően az oldalt a vásárlás előtt.
Az első esetben vétlen voltam, a bank meg is térítette a káromat, a másodikban nem, hiszen itt nem hekkerekről volt szó, csak olyan csalókról, akik engem meg tudtak téveszteni.
A bevezető sztorik olyan eseteket írtak le, amelyekből az első 2021. január 1. után már nem eshet meg, a második sajnos igen (vagyis figyelnünk azért majd továbbra is kell). Mindenesetre jó hír, hogy már csak néhány hét, és megváltozik a netes fizetések világa. Kicsit bonyolultabb lesz a neten vásárolni, de mindenképpen sokkal biztonságosabb.
A kétfaktoros ellenőrzés
Az új rendről a Magyar Bankszövetség, az OTP és az Erste Bank is részletes tájékoztatást adott. Ezek szerint legkésőbb január 1-től valamennyi hazai pénzintézetnek be kell vezetnie az erős ügyfél-hitelesítést (SCA) az internetes vásárlásoknál.
Legfrissebb híreinkért kattintson ide>>>
Az eddigi adatok (bankkártyaszám, név, lejárat, ellenőrző kód) megadása már nem lesz elég egy sikeres fizetéshez. Szükség lesz egy olyan azonosítóra is, ami nem ismerhető meg pusztán a kártya megszerzésével. A kétfaktoros azonosítás elve szerint egy fizetéshez háromféle azonosító tartozhat, ebből kell a jövőben legalább kettőt bemutatnunk.
A három faktor:
- valamilyen ismeret, amit csak az ügyfél tud (ez lehet egy PIN-kód vagy egy jelszó);
- valamilyen eszköz, amit csak az ügyfél birtokol (ez lehet a kártya, a mobiltelefon, főleg az okostelefon, esetleg más hardver);
- illetve valamilyen biológiai tulajdonság, amely csak az adott ügyfélre jellemző (ujjlenyomat, archáló, hangminta, írisz, retina).
Hogyan működik a többlépcsős azonosítás?
Bek-Balla László, az Erste Bank digitális csatornák igazgatóságának vezetője mesélte el az Erste leendő gyakorlatát, amely egyébként megegyezik ,az OTP tájékoztatásából megismert gyakorlattal is. Eszerint a legegyszerűbb helyzetben azok vannak, akik mobile payment megoldással fizettek eddig, náluk ugyanis a bankkártya adatai és az ujjlenyomattal, vagy PIN-kóddal telefonon megerősített push üzenet már meg is felel a két faktor kívánalmának. Nekik január 1. után semmit nem kell változtatni.
Aki azonban egy számítógép előtt ülve vásárol, annak a fizetésnél a jövőben bevillan a bankjának a rendszere, amely valamilyen banki adatot kér (a netbank belépési jelszavát vagy egy úgynevezett telekódot). Ezt megadva kaphat az ügyfél egy sms-kódot, így teljesül a két faktor (ebben a példában nincs biometrikus azonosítás, ez egy általunk ismert jelszó ismerete és az eszközök birtoklása révén azonosít duplán).
Mikor kell, mikor nem?
Nagyon fontos, hogy a bankoknak abban az esetben, ha az azonosítás nem sikeres, el kell utasítaniuk a tranzakciók végrehajtását. Vagyis a jövőben arra már nem nagyon lesz lehetőség, hogy valaki úgy vásároljon a neten, hogy se a mobiltelefonszámát ne közölje a bankkal, se internet banking szolgáltatást ne kérjen. Ilyenkor csak a bankfiókban vásárolhatna a neten, de ez azért elég életszerűtlen.
Figyelem, az tehát lehetséges, hogy a bankunk elkéri a mobiltelefonszámunkat, de a PIN-kódot vagy egyéb érzékeny adatot továbbra sem kér senki sem emailben, sem telefonon. Vagyis lehet, hogy kér, de őt hívják adathalász csalónak, neki nem érdemes ezeket átadni.
Európai versenyhátrány
A mindezen szabályokat előíró, 2019. szeptember 14. óta hatályos európai direktívát PSD2-nek (payment services directive) hívják, és persze felvethető, hogy mivel az EU ezt csak az európai webshopoktól követeli meg, az EU kissé lábon lövi magát, mert az amerikai és ázsiai szolgáltatóktól egyszerűbben lehet majd vásárolni.
Ez így is van, meg nincs is így. Átmenetileg valóban könnyebb lehet Kínából vásárolni, de az előírások a nagy amerikai kártyatársaságokat (Mastercard, Visa) közvetlenül is érinteni fogják, vagyis hamarosan mindenkit elérnek majd.
Végül azért fontos megjegyezni, hogy a bankoknak bizonyos esetekben lehetőségük lesz életszerű felmentést adni az erős hitelesítés alól. Ilyen eset, ha alacsony összegű a tranzakció, illetve ha a bank monitoringja alapján megbízhatónak tartja a tranzakciót. Például azért, mert minden hónapban havidíjat fizetünk az áramszolgáltatónak, a HBO-nak, a Netflixnek vagy a Spotifynak, akkor azt egy idő után már rendszeres és jellemző utalásnak észlelheti a bank.