erős ügyfél-hitelesítés (PSD2/SCA) elmulasztása

(Annyi banki téma van mostanában, hogy lassan érdemes lenne egy külön fórumot létrehozni nekik... Ha már van, csak nem találtam meg, akkor bocsánat.)

A PSD2/SCA szerint a netes fizetésekhez többfaktoros hitelesítés kell (például, de nem feltétlenül, 3D Secure). Ezzel szemben a közelmúltban háromszor is tudtam sikeresen úgy fizetni a neten kártyával, hogy nem kellett a hard token-t használnom; elég volt a kártyaadatokat megadnom. (Mindhárom esetben magyarországi kereskedőről van szó.) Van valakinek ötlete, hogy ez miért szabályos? Más szóval: tudja valaki, hogy miért nem sérti a PSD2/SCA-t, hogy a bank elfogadta a kereskedőtől a terhelést, anélkül, hogy a kereskedő a szokásos 3D Secure folyamatot kezdeményezte volna? (Megkérdeztem a bankot is, de az írásbeli válaszadás ideje 30 nap, és kíváncsi vagyok mások tapasztalatára.)

Hozzászólások

Amennyiben nem éri el az 50.000 forintot a 3 vásárlás együttes összege, akkor elvileg még normális is lehet. 

Köszi, ez illik a tranzakciókra. Ugyanakkor nem látom a konzisztenciát, mert más, hasonló nagyságrendű vásárlásoknál viszont kéri. Mi szabályozza ezt? Esetleg van nekem is beleszólásom az értékhatárba?

... Hm, a kommented alapján már tudtam indítani webes keresést; találtam egy MNB-s Fizetési rendszer jelentést, 2022-ből. Ebben van egy olyan szakasz, hogy "4.5. A PSD2 AKTUALITÁSAI | 4.5.1. Az online bankkártyás fizetések, erős ügyfél-hitelesítés alóli kivételi szabályainak ismertetése". Itt számos olyan esetet sorolnak fel, amikor a bank jogosult eltekinteni az erős ügyfélhitelesítéstől:

[...] azonban sok ügyfél számára még mindig szokatlan lehet a kivételi szabályok alkalmazása, azaz amikor a fizetési művelet során mégsem kérnek hitelesítési elemeket. A kötelező erős ügyfélhitelesítés alkalmazásától bizonyos esetben el lehet tekinteni, amely eseteket szerteágazó kivételi szabályok részletezik. [...] A kivételi szabályokat az uniós jogalkotó azért építette be a szabályozásba, hogy egyes alacsony kockázatúnak tartott esetekben gyorsítsa a fizetési folyamatot. [...]

Például:

  • 30 EUR-t meg nem haladó tranzakció.
  • 500 EUR-t meg nem haladó tranzakció, ha van "valósidejű csalás monitoring rendszer" is.
  • "ismétlődő fizetési műveletek (tipikusan ilyenek például az előfizetések díjai [...]) [...] elegendő az erős ügyfélhitelesítést csupán a legelső terhelésnél alkalmazni"
  • "A megbízható kedvezményezettekre vonatkozó kivételi szabály esetén egy listához tartozó kedvezményezettekre nem kell alkalmazni az erős ügyfélhitelesítést."

Ügyfélként jó lenne ezeket a kivételeket, szabályokat összefoglalva látni a netbanki felületen.

Ez mondjuk jól hangzik:

Mindazonáltal ha bármilyen okból nem kerül sor erős ügyfélhitelesítésre, főszabályként a számlavezetőt terheli a kártérítési felelőség. Nagyon fontos kiemelni azt, hogy amennyiben akár a fenti kivételekre való hivatkozással, akár egyéb ok miatt nem történik a tranzakció során kétlépcsős hitelesítés, akkor a pénzforgalmi kárfelelősségi szabályok tovább szigorodnak. Ilyen esetekben, az erős ügyfélhitelesítés hiányából fakadóan bekövetkezett károkért a teljeskörű felelősség az ügyfél számlavezetőjét terheli.

A bank és a kereskedő dönti el, hogy a kockázatelemzés alapján szükséges-e SCA vagy rákerülhet a tranzakció permanens whilelist-re. Ha kiderül, hogy a SCA megfogta volna a visszaélést, akkor ilyenkor a bank vagy a kereskedő bukja a pénzt, az ügyfelet kártalanítják. Ha volt SCA, akkor szinte minden esetben az ügyfél bukja a pénzt, bizonyos nézőpontból a SCA nem az ügyfelet védi, hanem a bankot, az ügyfélnek és a kereskedőnek egy szükséges rossz.

Permanens whitelist lehet például az, hogy minden nap ugyanott veszed meg a reggelit vagy ugyanúgy fizetsz a buszjegyért, teljesen értelmetlen ezért minden alkalommal SCA-t kérni, mindegy, hogy épp elértél-e valami limitet vagy sem. Ugyanígy a kereskedő is mondhat olyat, hogy X össze alatt nem kér SCA-t, ha az ügyfél reklamál, akkor inkább kifizeti, de több időt és pénzt veszt a sor miatt, mintha kb. azonnal elfogadná a tranzakciót. És ugyanígy a bank is mondhatja, hogy szokásos kis összegű tranzakció, nem szopatja az ügyfelet SCA-val.

Aztán vannak azok a bankok és kereskedők, akik minden egyes alkalommal szopatják az ügyfelet SCA-val.

A bank és a kereskedő dönti el, hogy a kockázatelemzés alapján szükséges-e SCA vagy rákerülhet a tranzakció permanens whilelist-re.

Tiszta sor, csak kár, hogy a webbanki felület nem mutatja ezt a listát.

bizonyos nézőpontból a SCA nem az ügyfelet védi, hanem a bankot, az ügyfélnek és a kereskedőnek egy szükséges rossz.

Ennek a kérdésemnek a kapcsán nemrég igyekeztem utánaolvasni a 3D Secure-nak, és teljesen megdöbbentett, hogy a 3D Secure (ami nem azonos az SCA-val) az eredeti célja a kereskedő védelme volt. Ugyanis téves vagy rosszindulatú terhelésnél az ügyfélnek (akár credit, akár debit kártyája van) mindig is joga volt utólag panaszt tenni és kivizsgáltatni az ügyet a banknál. Ha tényleg baj van, akkor a bank a kereskedőn veri le a megfelelő hitelesítés hiányát, és ha ez néhány százaléknál gyakrabban előfordul, akkor abból a kereskedőből többet nem kér a bank. Ennek a kereskedői rizikónak a csökkentésére csinálták a 3D Secure-t, amikor a kereskedő kezdeményezheti (ha akarja) az erős hitelesítést, és utána tud azzal takarózni, ha az ügyfél vitatja a tranzakciót; vagyis a bizonyítási teher megfordul.

Ehhez képest a legtöbb helyen a weben úgy adták el a 3D Secure-t, hogy az az "ügyfelet védi". Tévedés, mert ha a kereskedők jó részénél nincs megkövetelve a 3D Secure, akkor a kiszivárgott vagy ellopott kártyaadatokkal azoknál még mindig meg lehet próbálni visszaélni. Ezt a lukat zárná be a PSD2/SCA (mivel minden kereskedőt kötelez az MFA-ra), és ezért nem értettem a kivételeket.

Permanens whitelist lehet például ...

Most már értem, köszönöm; engem az kavart meg, amit a sajtóban évekkel ezelőtt olvastam (vagyis hogy az SCA az ügyfelet védi).

Tiszta sor, csak kár, hogy a webbanki felület nem mutatja ezt a listát.

Tipikusan nem fogják közölni, hogy milyen módon lehet pénzt kicsalni... illetve ez real-time is változni tud, éppen milyen csalás terjed, satöbbi.

Ehhez képest a legtöbb helyen a weben úgy adták el a 3D Secure-t, hogy az az "ügyfelet védi".

Ahogy az aláírással szemben a PIN se az ügyfelet védi, úgy a SCA se az ügyfél miatt van, hanem azért, hogy az ügyfélre toljanak felelősséget. Ha PIN-t vagy SCA-t használtak a tranzakcióban, az az ügyfél kockázata.

Hogy egy kicsit lássuk a kereskedő oldalát is, érdemes megismerkedni a chargeback folyamatával (2 hete tanultam róla)

 

https://www.chargebackgurus.com/blog/merchant-chargebacks-101-what-they…

 

Nos, e mellett tökéletesen érthető hogy a kereskedő azt akarja hogy a bank erős hitelesítést használjon bizonyos esetekben, cserébe pedig viselje a fraud kockázatát.

Köszi, jó cikk! Jól leírja már az első bekezdésbena  problémát (retailers are waiting with bated breath, hoping for a drop in fraud, but fearing a loss of conversions).

A 3D Secure v2-ről ezt írja: Even if the merchant indicates a preference for a frictionless path, it's the issuing bank that retains control over triggering strong authentication.

A legjobb az lenne, ha a bank ezt az ügyfél által kontrollálhatóvá tenné.

A bank saját hatáskörben saját kockázatára eltekinthet a kétfaktoros azonosítástól. Én pl. jellemzően neten rendelem meg a következő heti ebédet - ugyanattól a szolgáltatótól -, a bank meg időnként kéri a 3DS azonosítást, időnként nem. Nyilván nem nagy összeg (20000 alatt), és számít az is, hogy rendszeresen fizetek hasonló összeget.