Az MNB Pénzügyi Stabilitási Tanácsa tegnap 12 hónap többlet felkészülési időt jelentett be a hazai pénzügyi szektor számára, mielőtt az erős ügyfélhitelesítésre (SCA) vonatkozó szabályokat kötelezően alkalmazni kell.

Bár 18 hónapja tudható volt, hogy a szabályozás életbe lép, nagyon sokáig csak a színfalak mögött történtek – ha történtek – fejlesztések ezzel kapcsolatban, és annak kommunikációja, hogy valójában a gyakorlatban mit is fog ez jelenteni a kereskedők és a vásárlók számára, a legutóbbi időkig nem történt meg egyértelműen. Az érintettek leginkább sajtócikkekből, illetve a kártyatársaságok kommunikációjából értesülhettek a részletekről, a bankoktól fizetési szolgáltatóktól kevés információ látott napvilágot.

Pedig maga az erős ügyfélhitelesítés elsősorban ezt a viszonyt érinti, ha úgy tetszik a kereskedő, és a fizetési szolgáltatója jogviszonyát, hiszen a PSD2 és az SCA is első sorban a pénzügyi intézményekre vonatkozik, rájuk nézve fogalmaz meg kötelező változtatásokat, amelyeket aztán nekik kell technikailag és üzletileg „lefordítaniuk” ügyfeleik – mind a kereskedők, mind a kártyabirtokos vásárlók – irányába.

A gyakorlati tennivalók legkritikusabb pontja, ahogyan korábbi cikkünkben is rámutattunk, a bővített adatátadás kötelezettsége, illetve bizonyos fizetési folyamatok (pl. a mentett kártyás tranzakciók) átalakítása, amelyet a kereskedőknek meg kell valósítaniuk a fizetési szolgáltatójuk útmutatása alapján, hogy megfeleljenek az új szabályoknak és ezáltal egyrészt biztosítsák az elvesztett tranzakciók minimalizálását, valamint az ügyfélélmény maximalizálását, továbbá a lehető legjobban fedezzék saját kockázatukat egy esetlegesen bekövetkező csalási esetben.

Mi szabályozza az SCA-ban foglaltakat?

Hogy jobban megértsük az SCA jogi alapjait, a következőt kell látni: a dolog, ami megalapozza a szükséges adatátadást, kicsit összetettebb annál, mint hogy rá lehessen mutatni egy konkrét jogszabályi hivatkozásra, hogy ebben és ebben a paragrafusban vannak leírva mit kell tenniük a kereskedőknek, pl. milyen kiegészítő adatokat kell átadni. Az Európai Unió megalkotta a PSD2 szabályozást, amely sok ponton változtat a fizetések működési körülményein, ennek az ún. „Regulatory Technical Standards” része az, amiből minden kiindult, ez alapján született meg az Erős Ügyfélhitelesítésre vonatkozó rendelet (magyarul itt, angolul itt olvasható), ennek a 36. cikke szabályozza a kérdést, de még mindig általánosan.

Ezt értelmezte és „fordította le” műszaki paraméterekre a kártyatársaságokat, kibocsátó bankokat, és egyéb pénzforgalmi szolgáltatókat tömörítő EMVCo a 3D Secure 2.x/3.x szabvány megalkotásakor, illetve az Európai Bankhatóság A 3DSecure szabvány jelenleg hatályos verziója itt érhető el, amelynek mellékletei (Annex A/B) tartalmazzák tételesen a szükséges adatmezőket és ezek magyarázatát.

Ez még mindig egy kb. 300 elemből álló adatlistát adott ki, ezt finomítottuk hónapokon keresztül a kártyatársaságokkal (pl. a MasterCard Magyarország Erős Ügyfélhitelesítés Munkabizottság tagjaként), hogy melyek ezek közül azok, amelyeket a kereskedőnek kell előállítania, átadnia, melyek azok, amelyek egyáltalán reálisan elvárhatók a kereskedőtől, hogy előállítsa. Ebből alakult ki az a szűkített, kb. 60-70 elemű lista, amelyet a fizetési szolgáltatók elvárnak a kereskedőktől, hogy a fizetési tranzakciók indításakor átadásra kerüljenek. (Tehát a kereskedőknek a gyakorlatban nem közvetlenül a PSD2-nek, hanem az ebből levezetett új 3DSecure szabványban foglaltaknak kell megfelelniük.)

Mi történt 2019 szeptember 14 előtt?

Az elmúlt hónapokban néhány szolgáltató, jellemzően a külföldi hátterű piaci szereplők, maradéktalanul elkészültek a fejlesztésekkel, sikeresen átültették a szabványt a gyakorlatba. Ez azt jelenti, hogy bővítették az saját informatikai rendszerüket, megnyitották a kommunikációs csatornákat a többlet adatok átadásához, megfelelően átalakították a tokenizált kártyás fizetési folyamatokat, mind az éles, mind a tesztrendszerükben, kibocsátották a frissített fejlesztői dokumentációt és megfelelő időt hagyva a fejlesztések elvégzésére kiértesítették ügyfeleiket, a kereskedőket. Igy tett a BIG FISH Payment Gateway is: közvetlenül egyeztetve a kártyatársaságokkal, Magyarországon az elsők között felkészült az SCA-nak megfelelő többlet adatok fogadására és továbbítására, és hónapokkal ezelőtt megkezdte az általa kiszolgált kereskedők felkészítését az átállásra.

A „halasztás” oka természetesen az, hogy sok fontos szereplő – mind a kártyaelfogadói, mind a kártyakibocsátói oldalon – nem készült el a szükséges fejlesztésekkel, vagy csak olyannyira „kicentizve”, hogy a kereskedői partnereknek semmiképpen nem maradt megfelelő felkészülési idő a szükséges fejlesztések megvalósítására.

Viszont látni kell, hogy ez a halasztás nem jelent generális +1 évet mindenkinek, vagyis, hogy 2020. szeptember 14-ig nincs további tennivaló.

Ez az egy év maximum egy év halasztást jelent, és a halasztás mikéntje egybecseng az Európai Bankhatóság korábbi állásfoglalásával. A fizetési szolgáltatóknak, illetve a kártyakibocsátó bankoknak eszerint be mutatniuk, hogy hol állnak a szükséges fejlesztésekkel, valamint be kell nyújtaniuk a saját ütemtervüket az MNB-be, erre ad mindenkinek egyedi halasztási engedélyt a hatóság, és ennek teljesülését ellenőrzi. Tehát az egy év során a fizetési szolgáltatók, ahogyan elkészülnek, várhatóan fokozatosan fogják életbe léptetni az erős ügyfélhitelesítéssel kapcsolatos kereskedői elvárásokat.

A másik figyelemreméltó pont, hogy az Európai Bankhatóság még nem fogalmazott meg az egész Európai Unióra kötelező, maximált halasztási időt. Az Európai pénzügyi szektor felkészülésének egységesítése szempontjából viszont célszerű lenne ezt megtenni, és várhatóan meg is fog történni a határidőhöz közeledve. Ez a maximált határidő több vagy kevesebb is lehet az MNB által meghatározott egy évnél. Ha több, akkor a későbbiekben akár további halasztás is elképzelhető, bár nem valószínű, ha viszont kevesebb, akkor ez akár le is rövidítheti a tegnap közzétett egy éves, hazai átmeneti időszakot.

Fontos tudni továbbá, hogy az MNB által publikált halasztás, csak a hazai székhelyű, vagy az itt fiókteleppel rendelkező fizetési szolgáltatókra, kártyakibocsátó bankokra vonatkozik, a külföldi székhelyűek (pl. WireCard, PayU, Global Payments, SIX, stb.) esetében az anyabank, illetve az ott illetékes bankhatóság jogköre, hogy ad-e halasztást az SCA bevezetésére és ha igen, akkor mennyit. Így ezekben az esetekben különösen oda kell figyelni a fizetési szolgáltató kommunikációjára, az általa közzé tett elvárásokra.

Mit jelent ez a kereskedők számára?

Kereskedői szempontból tehát a legjobb, amit tehetünk, hogy továbbra is figyelemmel kísérjük a helyzet alakulását, a fizetési szolgáltatónk kommunikációját és dokumentációit és számolunk azzal, hogy a következő egy év során, amint lehetséges, fejlesztési erőforrást kell allokálnunk a szükséges változtatások elvégzésére.

Tehát most ne dőljünk hátra, hanem ha a szolgáltatónk vagy a fizetési kapunk már publikálta a szükséges változtatásokat, akkor ezeket mielőbb végezzük el, ha pedig még nem, akkor figyeljünk oda, hogy amint lehetséges teljesíthessük az elvárásokat. Felelős kereskedőként ez a célszerű és a legtöbb, amit megtehetünk, hogy biztonságban tudhassuk fizetési folyamatainkat, és megfelelve minden előírásnak, a felelősségi kérdéseket rendezve és a fizetési csalási kockázatokat még inkább lecsökkentve nyugodtan koncentrálhassunk a saját üzletünk fejlesztésére.