A kijelentésem és állításom alapja: PSD2 irányelv (EU 2015/2366) 97. cikk (1) bekezdés
A pénzforgalmi szolgáltatóknak biztosítaniuk kell a kockázatoknak megfelelő szintű biztonságot a pénzügyi tranzakciók során, különös tekintettel a felhasználók hitelesítésére.
EBA (European Banking Authority) Regulatory Technical Standards on SCA (EU 2018/389) – 2. cikk: A szolgáltatónak figyelembe kell vennie a tranzakciók jellemzőit, az eszközöket, helyszínt, és a használt hálózatot.
Magyar Nemzeti Bank (MNB) 11/2020. (XII.15.) számú ajánlása: A szolgáltatóknak olyan dinamikus kockázatelemzést kell végezniük, amely figyelembe veszi a felhasználó szokásos viselkedését, az eszközöket, IP-címeket és a helyszínt.
Tehát nem újságírói önkényből állítottam: Az IP-cím, az eszközprofil (device fingerprinting), és a bejelentkezés körülményei (például helyszínváltozás) figyelése kötelező elvárás.
Jogilag nincs egy darab kőbe vésett definíció, de a következőt tekinti az MNB és az EBA gyakorlat szokatlannak:
Szokatlan IP-cím (más földrajzi hely, más szolgáltató). Új eszköz vagy új eszközlenyomat. Hirtelen változó geolokáció (pl. Magyarországról 5 percen belül Nigériából próbálnak belépni – irreális). A megszokott eszközhöz képest teljesen új OS/browser paraméterek. Természetesen igaz, hogy GeoIP önmagában nem elég. Ezért írják elő a többtényezős kockázatbecslést ("multi-variable risk analysis"):
Forrás: EBA Final Report on Guidelines on Fraud Reporting (EBA/GL/2018/05) – 15. pont
A szolgáltatóknak több változóra kiterjedő kockázatelemzést kell végezniük, nem csupán a geolokációt, hanem az eszköz, a hálózat, és a felhasználói szokások alapján.
Miért hibázott az MBH Bank?
Szerintem azért, mert: Új eszközről, új IP-ről történt bejelentkezés, szokatlan tranzakcióval (6,5M Ft). Nem kért extra hitelesítést vagy plusz megerősítést.Nem küldött figyelmeztetést szokatlan aktivitásról. Nem korlátozta ideiglenesen a fiókot automatikusan. Nem volt napi limit elég alacsony ahhoz, hogy egy gyanús tranzakciót megfogjon. Egyszerűen NINCS FOGYASZTÓI/FELHASAZNÁLÓI EDUKÁCIÓ.Max.limitre tolva minden és az ügyfelek védelme pont fordított metodikát követelne: nagyon alacsony limit, aki állítja, olvassa el a felelősségét és közben a rendszer mutassa meg a biztonsági kockázatot is!
Az, hogy a bankrendszer nem veszi figyelembe a szokatlan paramétereket, ellentétes a PSD2, az EBA irányelvek és az MNB ajánlások alapvető elvárásaival.
Nem állítottam, hogy minden új IP-címet blokkolni kell. Nem mondtam, hogy csak IP-cím alapján kellene szűrni. Azt mondtam: kockázati szinten kellene reagálni, több adatpont alapján – ami szakmai minimum.
Miközben technikailag valóban sok finomság van (NAT, GeoIP problémák, szolgáltatóváltások stb.), ezek nem mentségek a banki alapbiztonság elhanyagolására.