Lépéskényszerben a bankkártya-szabályozás

Az azonnali fizetés hazai elhalasztása után ezúttal uniós szinten várható csúszás egy nagy horderejű elektronikus fizetési projektben. A szakértők, sőt már az Európai Bankhatóság (EBA) szerint is érdemes volna eltolni a második pénzforgalmi irányelv (PSD2) erős ügyfél-hitelesítésre (strong customer authentication – SCA) vonatkozó szabályainak ez év szeptember 14-i életbelépését, amelyet egyébként az unió területén működő minden hitelintézetnek alkalmaznia kellene az online bankkártyás fizetések esetében.

Az előírások szerint az interneten a bankkártya számával, lejárati idejével, a tulajdonos nevével és a kártya hátoldalán lévő háromjegyű, úgynevezett CVC kóddal lehet fizetni. Csakhogy ezek mindegyike könnyen megszerezhető a kártya fizikai átadásakor. (Ráadásul a kártyabirtokos nevét – az eltérő betűkészlet miatt – számos elfogadó nem ellenőrzi, míg más ügy esetében az vált világossá, hogy egyes nagy kereskedőoldalak a CVC kód megadása nélkül is átengednek fizetési tranzakciót.)

Az SCA szabályozás tehát olyan megoldást javasol, amely ennél magasabb szintre emeli a biztonságot. Az előírás szerint a megerősített azonosításhoz a három csoportba sorolt módok közül legalább kettőnek rendelkezésre kell állnia. Az első kör az ügyfél által ismert jelszó lehet. A második azonosítási szintet a kártyabirtokos valamilyen biometrikus azonosítója (ujjlenyomat, arcfelismerés, retinafelismerés, egyéb) jelentheti, a harmadik szint pedig a kártyabirtokos valamilyen eszközével (mobiltelefon, token) történő azonosítás lehet. Amennyiben két különböző azonosításra nincs lehetőség, a kártyakibocsátó banknak nem szabad engedélyeznie a tranzakciót.

A teljes cikk a hétfői Világgazdaságban olvasható