Kedves Látogató! Amennyiben hibát talál az oldalon, vagy további, technikai okokból adódó problémája merül fel, kérjük, hívja az ügyfélszolgálatot. Telefonszám 06-80-203-776. Köszönettel Magyar Nemzeti Bank.
EN

Erős ügyfél-hitelesítés és biztonságos kommunikáció

nyomtatás

Az MNB véleménye nem tekinthető kötelező erejű állásfoglalásnak, a benne foglaltaknak más hatóságra, illetve a bíróságra nézve nincs kötelező tartalma. Jelen állásfoglalás kizárólag tájékoztatás céljából készült, a benne foglaltak egyéb célok (pl. marketing) érdekében, továbbá harmadik személyekkel szemben nem használhatók fel, illetve jogvita eldöntésére nem alkalmazhatóak.

Az MNB jelen jogértelmezése az (EU) 2015/2366 európai parlamenti és tanácsi irányelvnek az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardok tekintetében történő kiegészítéséről szóló 2017. november 27-i (EU) 2018/389 felhatalmazáson alapuló bizottsági rendelet angol nyelvű változatán alapul.

Sorszám Kérdés  Válasz Frissítés dátuma
D/1 Az SCAr. szerinti referencia csalás szint számítása során mely csalásokat szükséges figyelembe venni?   Az SCAr. 19. cikk alapján a számlálóba azon csalásokat kell figyelembe venni, amelyek sikeresnek bizonyultak függetlenül attól, hogy a kár megtérült-e vagy sem. 2018.02.14
D/2 Milyen eljárást kell érteni az SCAr. 30. cikk (2) bekezdés szerinti hitelesítési eljáráson? A PSD2 4. cikk 29. pontját a Pft. 2. § 11. pontja ültette át a magyar jogrendbe, amely szerint a hitelesítés olyan eljárás, amely lehetővé teszi, hogy a pénzforgalmi szolgáltató azonosítsa az ügyfél kilétét vagy a készpénz-helyettesítő fizetési eszköz, ezen belül az ügyfél személyes hitelesítési adatai használatának érvényességét. Ennek megfelelően az SCAr.-ben foglalt szabályok a PSD2-t a hazai jogba átültető jogszabályok fogalmai szerint értelmezendők (pl. Pft., Hpt. pénzforgalmi MNBr. stb.). 2018.05.02
D/3 Előfordulhat olyan eset, hogy a fizető fél fizetési számláját vezető pénzforgalmi szolgáltató nem szerez tudomást a fizetés-kezdeményezési, illetve számlainformációs szolgáltatást igénybe vevő ügyfelének kilétéről?
 
A Pft. 55/C. § (6) bekezdése alapján a fizetési számlát vezető pénzforgalmi szolgáltató lehetővé teszi a fizetés-kezdeményezési szolgáltatást végző vagy a számlainformációs szolgáltatást végző pénzforgalmi szolgáltató számára, hogy megbízható hitelesítési eljárásként hagyatkozhasson azon hitelesítési eljárásokra, amelyeket a fizetési számlát vezető pénzforgalmi szolgáltató az ügyfele részére  biztosít. A Pft. 38/B. § (3) bekezdés d) pont, vagy a 38/C. § (3) bekezdés c) pont szerint a fizetés-kezdeményezési vagy a számlainformációs szolgáltató minden egyes kapcsolat létesítése, illetve adott esetben fenntartása során azonosítja magát az ügyfele fizetési számláját vezető pénzforgalmi szolgáltatónál, valamint a fizetési számlát vezető pénzforgalmi szolgáltatóval és az ügyfelével biztonságos adatátviteli kapcsolatban áll.
Abban az esetben, ha a fizetés-kezdeményezési vagy számlainformációs szolgáltató az ügyfél jóváhagyását követően fér hozzá az ügyfél fizetési számlájához, mivel az ügyfél hitelesítését minden egyes hozzáférés alkalmával a Pft. 55/C. § (6) bekezdés előírásai alapján az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató végzi el, így nem fordulhat elő olyan eset, hogy az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató nem szerez tudomást a pénzforgalmi szolgáltatást közvetlenül igénybe vevő ügyfelének kilétéről. Továbbá a Pft. 38/B. § (3) bekezdés d) pontja, illetve a 38/C. § (3) bekezdés c) pontja alapján az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató azonosítja az ügyfél számlájához hozzáférő más pénzforgalmi szolgáltatókat, tehát ismert számára, hogy nem az ügyféllel közvetlenül, hanem más pénzforgalmi szolgáltatóval kommunikál.
Amennyiben azonban a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató az SCAr. 35. (5) bekezdés b) pontja alapján nem az ügyfél jóváhagyását követően azonnal fér hozzá az ügyfél fizetési számláihoz, hanem az ügyfél korábban megadott jóváhagyását követően későbbi időpontokban több alkalommal abból a célból, hogy a számlainformációs szolgáltatását teljesítse, úgy a korábbi ügyféljóváhagyás alapján szintén ismert az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató előtt a pénzforgalmi szolgáltatást igénybe vevő ügyfél kiléte.
2018.02.14
D/4 Hány darab az SCAr. 30. cikk (1) bekezdése szerinti interfészt kell az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatónak biztosítania?
 
Az SCAr. 30. cikk (1) bekezdése előírja az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak, hogy legalább egy olyan intefészt biztosítsanak, amelyek megfelelenek az SCAr. 30. cikk (1) bekezdés a), b) és c) pontokban meghatározott követelményeknek. Álláspontunk szerint tehát az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak nincs olyan kötelezettségük, amely szerint párhuzamosan többféle technológiával megvalósítótt inferfészt szükséges kínálniuk a fizetés-kezdeményezési, a számlainformációs, illetve  kártyaalapú készpénz-helyettesítő fizetési eszközt – ide nem értve az elektronikuspénzt – kibocsátó pénzforgalmi szolgáltatókkal történő kommunikációra. 2018.02.14
D/5 Milyen eljárást kell érteni az SCAr. 32. cikk (3) bekezdésben említett átirányítás, az ún. „redirection” alatt, illetve hogyan alkalmazandó? Az SCAr. 32. cikk (3) bekezdése alapján a számlavezető pénzforgalmi szolgáltató, amely dedikált interfész biztosítására kötelezett, nem biztosíthat olyan dedikált interfészt, amely akadályozza a fizetés-kezdeményezési és számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatót a szolgáltatása nyújtásában. Az említett jogszabályhely szerint ilyen akadály lehet - többek között - a számlavezető pénzforgalmi szolgáltatóhoz történő átirányítás bevezetése hitelesítés vagy más funkció végett. Álláspontunk szerint az SCAr. 32. cikk (3) bekezdése tehát nem általánosan tiltja az átirányítást, mint technikai megoldást, hanem az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató számára tartalmaz tilalmat arra vonatkozóan, hogy az SCAr. szerinti dedikált interfész esetén az átirányítást megkövetelje a fizetés-kezdeményezési vagy számlainformációs szolgáltatótól azok szolgáltatásának nyújtásakor. Ugyanakkor az SCAr. szerinti dedikált interfész mellett további megoldásként, illetve abban az esetben, ha az átirányítás a fizetés-kezdeményezési vagy számlainformációs szolgálató kérése nyomán történik meg, az átirányítás jogszerűen alkalmazható. 2018.02.27
D/6 Milyen előírásoknak kell megfelelnie az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató által nyújtandó interfésznek? Az MNB a felügyeleti tevékenysége során minden esetben egyedileg vizsgálja meg azt, hogy az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató által nyújtott interfész megfelel-e az SCAr. a Kommunikáció Közös és Biztonságos Nyílt Sztenderdjeiről szóló V. fejezetében foglaltaknak. 2018.02.27
D/7 Mikor és hogyan kell kialakítaniuk a fizetés-kezdeményezési és számlainformációs szolgálatást nyújtó pénzforgalmi szolgáltatónak az SCAr. 33. cikkében említett tartalékmechanizmust? Azon számlavezető pénzforgalmi szolgálatók, amelyek dedikált interfészt biztosítanak, arra az esetre ha az SCAr. 33. cikk (1) bekezdését figyelembe véve az általuk biztosított interfész nem tervezetten elérhetetlenné válik, vagy a rendszer összeomlik, vagyis, ha fizetéskezdeményezési vagy számlainformációs szolgáltatások nyújtása céljából való információ-hozzáférés iránti öt egymást követő kérésre 30 másodpercen belül nem érkezik válasz a számlavezető pénzforgalmi szolgáltatótól, egy tartalékmechanizmust kell biztosítsanak. Az SCAr. 33. cikk (4) bekezdése alapján a tartalékmechanizmus részeként, a fizetés-kezdeményezési vagy számlainformációs szolgálatást nyújtó pénzforgalmi szolgáltatók számára lehetővé kell tenniük azon interfészek igénybevételét, amelyeket hitelesítés és a számlavezető pénzforgalmi szolgáltatójukkal való kommunikáció céljából az ügyfelek fizetési számláit vezető pénzforgalmi szolgálatók az ügyfeleik rendelkezésére bocsátottak, mindaddig, amíg helyre nem állítják a dedikált interfész SCAr. 32. cikkben előírt elérhetőségi szintjét és teljesítményét. Tehát a tartalékmechanizmus használata során az SCAr. engedélyezi mindazon interfészek használatat a fizetés-kezdeményezési és számlainformációs szolgálatást nyújtó pénzforgalmi szolgálatók számára, amelyeken keresztül a számlavezető pénzforgalmi szolgálató kommunikál az ügyfelével. Azonban az SCAr 33. cikk (5) bekezdése szerint e célból a számlavezető pénzforgalmi szolgáltatók biztosítják, hogy a 30. cikk (1) bekezdésében említett fizetés-kezdeményezési vagy számlainformációs szolgáltatók azonosíthatók legyenek és a számlavezető pénzforgalmi szolgáltató által a pénzforgalmi szolgáltatást igénybe vevő számára biztosított hitelesítési eljárásokra támaszkodhassanak.  2018.04.11
D/8 Jogszerű-e az ügyfél fizetési számlját vezető pénzforgalmi szolgáltató által kialakított olyan eljárás, miszerint a számlainformációs és fizetés-kezdeményezési szolgálatást nyújtó pénzforgalmi szolgálatók számára az ügyfeleik fizetési számláihoz való hozzáférés feltételéül szabja a szolgáltatást igénybe vevő ügyfél e szolgáltatóknak megadott hozzájárulásának és annak tartalmának bemutatását? A PSD2 és az annak szabályait átültető magyar jogszabályi rendelkezések nem tartalmaznak kifejezett rendelkezéseket arra vonatkozóan, hogy az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató hozzáférhet vagy ellenőrizheti a fizetés-kezdeményezési szolgáltatást vagy a számlainformációs szolgáltatást igénybe vevő ügyfél e szolgálatásokat nyújtó pénzforgalmi szolgálatók részére megadott hozzájárulását és annak tartalmát. Figyelemmel azonban a Pft. 44. § (1a) bekezdésére, a - már az átmeneti időszakban is hatályos - 55/C. § (6) bekezdésére, illetve az SCAr. 32. cikk (3) bekezdésére, továbbá az Európai Bizottság tagállami képviselőinek tartott a PSD2 átültetését segítő workshopok anyagára, az MNB álláspontja szerint az ügyfél fizetési számláját vezető pénzforgalmi szolgáltatónak nincs módja arra, hogy a fizetési számlához való hozzáférésének feltételéül szabja a fizetés-kezdeményezési szolgáltatást vagy a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgálató számára adott ügyfél hozzájárulás bemutasát ellenőrzés céljából. Az esetleges - ezen szolgálatásokhoz kapcsolódó - káresemények bekövetkezése esetén a Pft. 44. §-a és az átmeneti időszakban a 66/A . § (2) bekezdése szerint kell eljárni.   2018.04.11
D/9 Jogosult-e a fizetés-kezdeményezési vagy számlainformációs szolgálatást nyújtó pénzforgalmi szolgáltató elvégezni a Pft. 2. § 11. pontjában meghatározott hitelesítést az ügyfele fizetési számlájához történő hozzáférést megelőzően, az ügyfél fizetési számláját vezető pénzforgalmi szolgálató helyett? A Pft. 55/C. § (6) bekezdése alapján a fizetési számlát vezető pénzforgalmi szolgáltató lehetővé teszi a fizetés-kezdeményezési szolgáltatást végző vagy a számlainformációs szolgáltatást végző pénzforgalmi szolgáltató számára, hogy megbízható hitelesítési eljárásként hagyatkozhasson azon hitelesítési eljárásokra, amelyeket a fizetési számlát vezető pénzforgalmi szolgáltató az ügyfele részére a Pft.-vel összhangban biztosít. Továbbá az SCAr. 30. cikk (2) bekezdés a) pontja alapján a dedikált interfész biztosítására kötelezett pénzforgalmi szolgálató úgy köteles kialakítani a dedikált interfészt, hogy egy fizetés-kezdeményezési vagy számlainformációs szolgálatást nyújtó pénzforgalmi szolgálató képes legyen arra utasítani az ügyfél fizetési számláját vezető pénzforgalmi szolgálatót, hogy az kezdje meg az ügyfél hitelesítését. Mivel a Pft. 38/B. (2) bekezdése és 38/C. § (2) bekezdése alapján a fizetés-kezdeményezési szolgáltatás és számlainformációs szolgáltatás igénybevételének nem lehet feltétele, hogy szerződéses jogviszony álljon fenn a fizetés-kezdeményezési vagy számlainformációs szolgáltatást végző pénzforgalmi szolgáltató és a fizetési számlát vezető pénzforgalmi szolgáltató között, így szerződés hiányában a Pft. szabályai irányadóak, vagyis az ügyfél fizetési számláját vezető pénzforgalmi szolgálató végzi az ügyfél Pft. 2. § 11. pont szerinti hitelesítését. Ez azonban nem zárja ki, hogy a fizetés-kezdeményezési vagy számlainformációs szolgáltatást végző pénzforgalmi szolgálató szerződést kössön az ügyfele fizetési számláját vezető pénzforgalmi szolgálatójával, és abban a hitelesítésre vonatkozóan is megállapodjanak. 2018.04.11
D/10 Mit jelent az „online hozzáférhető fizetési számla” fogalma?
 
Az „online hozzáférhető fizetési számla"" fogalmát a Pft. 2. § 18a. pontja határozza meg, azaz online módon hozzáférhető fizetési számla, olyan fizetési számla, amely vonatkozásában lehetőség van számítástechnikai eszközök közvetlen kapcsolata útján fizetési megbízást adni, valamint adatokhoz, információkhoz hozzáférni. Vagyis álláspontunk szerint minden olyan a Pft. 2. § 8. pontja szerinti fizetési számla, amely vonatkozásában számítástechnikai eszközökön keresztül történik a kommunikáció (pl. mobil alkalmazás, Internet böngésző, számlavezető pénzforgalmi szolgáltató által biztosított ügyfél számítógépére telepített alkalmazás) online hozzáférhetőnek minősül, így alkalmazandók a Pft.38/B. §, 38/C. §, valamint az 55/C. §-ban foglalt rendelkezések. 2018.06.29
D/11 Mikor köteles a pénzforgalmi szolgáltató ún. erős-ügyfélhitelesítést alkalmazni (ide értve az ügyfél fizetési számláját vezető, a fizetés-kezdeményezési, illetve a számlainformációs szolgáltatót is)? A PSD2 97. cikk (1) bekezdését a hazai jogba átültető Pft. 55/C. § (1) bekezdése értelmében a pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz, amikor a fizető fél online fér hozzá fizetési számlájához, elektronikus fizetési műveletet kezdeményez, illetve bármely műveletet olyan távoli csatornán keresztül hajt végre, ami fizetéssel kapcsolatos csalásokra és más visszaélésekre adhat módot. A fentiekben ismertetett jogszabály értelmezésünk szerint három elkülönülő esetet szabályoz: a) amennyiben a számlavezetett ügyfél hozzáfér a számlájához, vagyis pl. belép a számára biztosított internetbanki felületre, avagy mobilbankba; b) bármilyen elektronikus csatornán fizetési megbízást ad meg (pl. az ügyfél a fizetési kártyáját POS terminálon használja, avagy internetbankon keresztül ad fizetési megbízást; c) bármilyen olyan egyéb eset nem esik az előbbiekben részletezett a), vagy b) pontok alá, azonban visszaélésekre adhat okot (ilyen lehet pl. az ügyfél fizetési kártyához tartozó limitmódosítása, vagy az ügyfél tájékoztatásához használt mobiltelefonszám megváltoztatása). Ezen szigorú előírások alól adnak felmentést az SCAr. III. fejezétben meghatározott szabályok, amelyek - a pénzforgalmi szolgáltató választásától függően - lehetővé teszik a kötelező erős ügyfél-hitelesítés alóli mentesülést. 2018.06.29
D/12 Milyen adatok tekinthetők érzékeny fizetési adatnak, továbbá ezen adatokat milyen esetben továbbíthatja a számlavezető pénzforgalmi szolgáltató a fizetés-kezdeményezési, illetve számlainformációs szolgáltatást végző pénzforgalmi szolgáltatók felé? A Pft. 2. § 5a alpontja alapján érzékeny fizetési adatnak minősül minden olyan adat, amelyek csalás elkövetésére alkalmazhatók, ideértve a személyes hitelesítési adatokat is azzal, hogy a fizetés-kezdeményezési szolgáltatás vagy számlainformációs szolgáltatás tekintetében nem érzékeny fizetési adat a számlatulajdonos neve és a fizetési számlájának száma.
 A Pft. 38/B. § (2) bekezdés e) pontja értelmében a fizetés-kezdeményezési szolgáltató nem tárol az ügyfeléről érzékeny fizetési adatot, illetve a 38/B. § (2) bekezdés f) pont alapján a fizetés-kezdeményezési szolgáltatás igénybevételéhez szükséges adatokon kívül más adatot nem kér az ügyfelétől. A Pft. 38/C. § (2) bekezdés d), e) és f) pontok értelmében a számlainformációs szolgáltató kizárólag az ügyfele által megjelölt fizetési számlákhoz és az azokhoz tartozó fizetési műveletekre vonatkozó információkhoz fér hozzá, nem kér fizetési számlához kapcsolódó érzékeny fizetési adatot, az ügyfele által kifejezetten igényelt számlainformációs szolgáltatástól eltérő célból nem használ és nem tárol adatokat, valamint nem fér hozzá adatokhoz.
Álláspontunk szerint mind a fizetés-kezdeményezés, mind pedig a számlainformációs szolgáltató esetében ezen szolgáltatók kizárólag olyan mértékben férhetnek hozzá az ügyfeleik fizetéseihez kapcsolódó adataihoz, amilyen mértékben a szolgáltatás nyújtásához feltétlenül szükség van. Ilyen eset lehet pl. amennyiben a számlainformációs szolgáltató szolgáltatásához szükséges az ügyfele fizetési műveleteihez kapcsolódó közleményrovat megismerése, továbbá az ügyfele ehhez hozzájárult, úgy ezen szolgáltató megismerheti ezen adatokat is, ekkor ezen adatok a nyújtott szolgáltatás vonatkozásában nem minősülnek érzékeny fizetési adatnak.
Az érzékeny fizetési adatok kezelése során a Pft. 38/B. §-ban és a 38/C. §-ban foglalt érzékeny fizetési adatokhoz kapcsolódó szabályokon kívül a GDPR-ban foglalt személyes adatok kezelésének biztonságára vonatkozó előírásokat is figyelembe kell venni. "
2018.06.29
D/13 Hozzáférhet-e az ügyfél számláját vezető pénzforgalmi szolgáltató által az ügyfél rendelkezésére bocsátott személyes hitelesítési adatokhoz a számlainformációs vagy fizetés-kezdeményezési szolgáltató?
 
A Pft. 38/B. § (3) bekezdés b) pontja, valamint a 38/C. § (3) bekezdés b) pontja előírása a fizetés-kezdeményezési, illetve a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatónak, hogy ezen szolgáltatók biztosítják, hogy az ügyfele személyes hitelesítési adataihoz az ügyfélen és a személyes hitelesítési adatok kibocsátóján kívül más ne férhessen hozzá, valamint azokat biztonságos és hatékony csatornákon továbbítják.
Álláspontunk szerint ezen rendelkezés alapján a fizetés-kezdeményezési, illetve számlainformációs szolgáltatónak úgy kell eljárnia, hogy az ügyfélen, az ügyfél fizetési számláját vezető pénzforgalmi szolgáltatón, továbbá a fizetés-kezdeményezés, vagy számlainformációs szolgáltatón kívüli természetes vagy jogi személy ne férhessen hozzá az ügyfél személyes hitelesítési adataihoz.
2018.06.29
D/14 A Pft. mely előírásai  nem alkalmazandók a 2018. január 13-tól kezdődő és a Pft. 66/A. § (1) bekezdésben meghatározott időpontig tartó átmeneti időszakban?  Az Európai Bankhatóság EBA/Op/2017/16 számon elérhető 2017. december 19-én publikált véleményét figyelembe véve, álláspontunk szerint  a PSD2 115. cikk (4) bekezdését a hazai jogba a Pft. 66/A. (1) bekezdésében említett a Pft. 38/A-38/C. §-ban, valamint az 55/C. §-ban meghatározott biztonsági intézkedések a következő jogszabályi helyeket érintik:
a) a Pft. 55/C. §-t teljes egészében, kivéve az 55/C. § (6) bekezdést;
b) a Pft. 38/A. § (2) bekezdés c) pontját;
c) a Pft. 38/B. § (3) bekezdés d) pontját és a 38/B. § (4) bekezdés a) pontot;
d) a Pft. 38/C. § (3) bekezdés c) pontot, valamint a 38/C. § (4) bekezdés a) pontját.
Mindezek alapján a fent a)-d) pontokban ismertetett jogszabályhelyek nem alkalmazandók a 2018. január 13-tól kezdődő és a Pft. 66/A. § (1) bekezdésben meghatározott időpontig tartó átmeneti időszakban.
2018.06.29
D/15 Szükséges-e a pénzforgalmi szolgáltatónak a Pft. 55/C. §-ban előírt erős ügyfél-hitelesítést alkalmaznia papír alapon benyújtott fizetési megbízások esetén? A Pft. 55/C § (1) bekezdés b) pontja szerint a pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz, amikor a fizető fél elektronikusan kezdeményez fizetési műveletet.
Álláspontunk szerint a papír alapon (többek között gyűjtőláda útján, faxon, vagy egyéb papír alapú benyújtás során) megadott fizetési megbízások esetén a pénzforgalmi szolgáltatók nem kötelesek a Pft. 55/C. § (1) bekezdéseben meghatározott erős ügyfél-hitelesítést végezni, mivel azok nem minősülnek elektronikus fizetési megbízásnak."
2018.06.29
D/16 Amennyiben az ügyfél az erős ügyfél-hitelesítés elvégzését követően belépett a számlavezető pénzforgalmi szolgáltató felületére, a felületen történő fizetési megbízás megadásakor szükséges-e ismételten erős ügyfél-hitelesítést végezni? Az erős ügyfél-hitelesítés alkalmazásának kötelező eseteit a Pft. 55/C. § (1) bekezdése határozza meg. A hivatkozott jogszabály alapján minden fizetési megbízás kezdeményezésekor újra szükséges az erős ügyfél-hitelesítés elvégzése. Ugyanakkor az SCAr-ben meghatározott feltételek teljesülése esetén a számlavezető pénzforgalmi szolgáltatónak lehetősége van az erős ügyfél-hitelesítéstől való eltekintésre. 2018.06.29
D/17
Van-e az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak olyan kötelezettségük, amely szerint kizárólag dedikált interfész kialakítása révén tegyenek eleget a meghatározott követelményeknek?
 
Az SCAr. 30. cikk (1) bekezdése előírja az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak, hogy legalább egy olyan interfészt biztosítsanak, amely megfelel az SCAr. 30. cikk (1) bekezdés a), b) és c) pontokban meghatározott követelményeknek. Az SCAr. 31. cikke szerint a számlavezető pénzforgalmi szolgáltatók a 30. cikkben említett interfészt egy dedikált interfész segítségével vagy úgy hozzák létre, hogy engedélyezik a 30. cikk (1) bekezdésében említett pénzforgalmi szolgáltatók számára azon interfészek igénybevételét, amelyeket a számlavezető pénzforgalmi szolgáltató pénzforgalmi szolgáltatást igénybe vevőinek hitelesítésére és a velük való kommunikációra használnak. Mindezek alapján álláspontunk szerint az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak nincs olyan kötelezettségük, amely szerint kizárólag dedikált interfész kialakítása révén tegyenek eleget a meghatározott követelményeknek.
A számlavezető pénzforgalmi szolgáltató akár a saját Internetbanki/mobilbanki interfészén  vagy akár egy dedikált interfészen keresztül biztosítja a harmadik fél szolgáltató számára a hozzáférést teljesítenie kell, hogy az ügyfél ugyanazon funkciókat elérhesse a fizetési számlája tekintetében, mint a számlavezető pénzforgalmi szolgáltató saját felületén keresztül elérhet.
Amennyiben a számlavezető pénzforgalmi szolgáltatók a 30. cikkben említett hozzáférést nem dedikált interfészen keresztül biztosítják, úgy a SCAr. 32. cikkében előírt kötelezettségeknek és 33. cikkében előírt rendkívüli intézkedéseknek sem kell megfelelniük, mert ezen cikkek a dedikált interfészre vonatkoznak.
2018.06.29
D/18 A pénzforgalmi szolgáltató dedikált interfész használata esetén köteles tartalékmechanizmust kialakítani?  Az SCAr. 33. cikk (4) bekezdése előírja, hogy dedikált interfész esetén kötelező tartalékmechanizmus kialakítása, mely lehetővé teszi a harmadik fél szolgáltatók számára azon interfészek igénybevételét, amelyeket hitelesítés és a számlavezető pénzforgalmi szolgáltatójukkal való kommunikáció céljából a pénzforgalmi szolgáltatásokat igénybe vevők rendelkezésére bocsátottak, mindaddig, amíg helyre nem állítják a célra rendelt interfész 32. cikkben előírt elérhetőségi szintjét és teljesítményét. Álláspontunk szerint ez azt jelenti, hogy dedikált interfész alkalmazása esetén tartalékmechanizmusként megnyitható a meglévő ügyfél interfész, melyet úgy kell átalakítani, hogy a harmadik fél szolgáltatók azon keresztül mindaddig, amíg helyre nem állítják a dedikált interfészt, hozzáférjenek azon adatokhoz, amelyekhez hozzáférnek a dedikált interfészen keresztül. A tartalékmechanizmus használata során az SCAr. 33. cikkének (5) bekezdése szerint a számlavezető pénzforgalmi szolgáltatóknak biztosítaniuk kell, hogy a harmadik fél szolgáltatók azonosíthatók legyenek és a számlavezető pénzforgalmi szolgáltató által a pénzforgalmi szolgáltatást igénybe vevő számára biztosított hitelesítési eljárásokra támaszkodhassanak. A harmadik fél szolgáltató a tartalékmechanizmus használata során kizárólag azokhoz az adatokhoz férhet hozzá, amire egyébként jogszabály alapján jogosult, az elért adatokat naplóznia kell és kérésre haladéktalanul az MNB rendelkezésére kell bocsátania a naplófájlokat.  2018.06.29
D/19 Hogyan és milyen formában kérheti a harmadik fél szolgáltató az MNB-től a tartalék-mechanizmus létrehozása alóli mentesítést?  Az SCAr 33. cikkének (6) bekezdése előírja, hogy az MNB az előírt feltételek teljesítése esetén az EBH-val folytatott konzultációt követően azokat a számlavezető pénzforgalmi szolgáltatókat, amelyek dedikált interfész létrehozása mellett döntöttek, mentesíti az SCAr. 33. cikkének (4) bekezdésben leírt tartalékmechanizmus létrehozása alól. A mentesítés iránti kérelmet a pénzforgalmi szolgáltatók az elektronikus ügyintézési felületen keresztül nyújtják be az MNB felé, csatolva az SCAr. 33. cikkének (6) bekezdés a),b),c) és d) pontjában előírt feltételek teljesülésének bizonyító erejű dokumentumait.
Az SCAr-ben a mentesítés feltételei nem kerültek elég pontosan meghatározásra, ezért az EBA ezzel kapcsolatban készít egy útmutatást, aminek az aktuális állapota az alábbi linken érhető el:
https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/guidelines-on-the-conditions-to-be-met-to-benefit-from-an-exemption-from-contingency-measures-under-article-33-6-of-regulation-eu-2018/389-rts-on-sca-csc-
2018.06.29
D/20 Minden pénzforgalmi szolgáltatónak saját, akár országonként eltérő interfészt kell készítenie?  A PSD2 nem adott olyan mandátumot az EBH-nak, hogy konkrét technológiai megoldást javasoljon. A PSD2-höz kacsolódó iránymutatásokkal, rendeletekkel szemben az alapelvárás az, hogy legyenek technológia- és üzleti modell semlegesek és teremtsék meg az innovatív fizetési módok felhasználóbarát használatának a feltételeit. Ennek megfelelően, az SCAr. 30. cikk (1) bekezdése előírja az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak, hogy legalább egy olyan interfészt biztosítsanak, amelyek megfelelnek az SCAr. 30. cikk (1) bekezdés a), b) és c) pontokban meghatározott követelményeknek. Álláspontunk szerint tehát az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak az a kötelezettsége, hogy az általa választott technológiával megvalósítva interfészt kínáljon a harmadik fél szolgáltatókkal történő kommunikációra, mely interfész lehet egyedi fejlesztésű vagy egy széleskörben elterjedt megoldás is. Továbbá, a számlavezető pénzforgalmi szolgáltató országonként más-más megoldást is biztosíthat. Megjegyezzük, hogy egyedi megoldás alkalmazása esetén is be kell tartani az SCAr. 30. cikk (3) bekezdésében foglalt rendelkezéseket.  2018.06.29
D/21 Mely esetben alkalmazható az SCAr. 12. cikkében említett erős ügyfél-hitelesítés alóli kivétel? Az SCAr. 12. cikk alapján a pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést - többek között - amikor a fizető fél egy felügyelet nélküli fizetési terminálnál közlekedési viteldíj vagy parkolási díj megfizetése céljából elektronikus fizetési műveletet kezdeményez.
Álláspontunk szerint az SCAr. 12. cikkében említett terminál alatt telepített fizikai terminált kell érteni, így az SCAr. 12. cikk szerinti kivétel kizárólag olyan terminálok esetében alkalmazható, amelyek fizikailag elérhetőek az ügyfelek részére és a közlekedési viteldíj vagy parkolási díj megfizetését ezen a terminálon keresztül kezdeményezték. 
2018.10.12
D/22 Szükséges-e a pénzforgalmi szolgáltatónak a Pft. 55/C. §-ban előírt erős ügyfél-hitelesítést alkalmaznia telefonon keresztül szóban benyújtott fizetési megbízások esetén? A Pft. 55/C § (1) bekezdés b) pontja szerint a pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz, amikor a fizető fél elektronikusan kezdeményez fizetési műveletet.
Álláspontunk szerint a telefonon keresztül szóban benyújtott fizetési megbízások esetén a pénzforgalmi szolgáltatók nem kötelesek a Pft. 55/C. § (1) bekezdéseben meghatározott erős ügyfél-hitelesítést alkalmazni, mivel azok nem minősülnek elektronikus fizetési megbízásnak.
2018.10.12
D/23 Milyen információkat szükséges a számlavezető pénzforgalmi szolgáltatónak a megjelölt fizetési számlákra és a kapcsolódó fizetési műveletekre vonatkozóan a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató rendelkezésre bocsátania?  Az SCAr. 36. cikk (1) bekezdésének a) pontja előírja a számlavezető pénzforgalmi szolgáltatóknak, hogy a megjelölt fizetési számlákra és a kapcsolódó fizetési műveletekre vonatkozóan ugyanazokat az információkat bocsássák a számlainformációs szolgáltatók rendelkezésére, mint amelyeket a pénzforgalmi szolgáltatást igénybe vevő rendelkezésére bocsátanak, amikor az közvetlenül kér hozzáférést a számlainformációkhoz, feltéve, hogy ez az információ nem tartalmaz érzékeny fizetési adatokat.
Álláspontunk szerint ez azt jelenti, hogy mindazokat az adatokat szükséges az ügyfél fizetési számláját vezető pénzforgalmi szolgáltatónak a számlainformációs szolgáltatók rendelkezésre bocsátani, amelyek elengedhetetlenek ahhoz, hogy  a számlavezető pénzforgalmi szolgáltatók által az ügyfelük számára megjelenített adatok a számlainformációs szolgáltató által is megjeleníthetők legyenek.
2018.10.12
D/24 Az SCAr. 5. cikk (1) bekezdésének b) pontja szerint a generált hitelesítő kódot a fizetési művelet összegéből és a kedvezményezett számlaszámából szükséges származtatni, avagy egyéb megoldás is elfogadható? Az SCAr. 5. cikk (1) bekezdés b) pontja szerint a generált hitelesítési kódnak egyedinek kell lennie a fizetési művelet azon összege és azon kedvezményezett vonatkozásában, amelyet a fizető fél a művelet kezdeményezésekor jóváhagyott.
Az MNB álláspontja szerint a hitelesítési kódnak egyedinek kell lennie a fizetési műveletre vonatkozóan, de nem szükséges a hitelesítési kódot a fizetési művelet összegéből és a kedvezményezett számlaszámából származtatni, azaz nem feltétel, hogy a hitelesítő kódot generáló algoritmusnak bemeneti paramétere legyen ezen két érték. Azonban felhívjuk a figyelmet arra, hogy  a hitelesítési kód működésének megtervezésekor az 5. cikk (1) bekezdésének c) és d) pontját is figyelembe kell venni. 
2018.10.12
D/25 Mi minősül az SCAr. 9. cikk (3) bekezdésének a) pontja szerinti elkülönített biztonságos végrehajtási környezetnek?  Az SCAr. 9. cikk (3) bekezdésének a) pontja szerinti elkülönített biztonságos végrehajtási környezet (a továbbiakban: EBVK) célja az alkalmazás teljeskörű integritásának védelme, amely védelem többek között magába foglalja az alkalmazás által használt memóriát, fájlokat és a felhasználóval történő interakciót is. Így az EBVK elkülönül a mobil eszköz „normál” feldolgozási környezetétől, és biztosítja, hogy a többi  mobilalkalmazás (például rosszindulatú programok), illetve folyamat ne befolyásolhassa az EBVK-ban futó alkalmazást.
Az MNB álláspontja szerint egy végrehajtási környezet megfelel az EBVK-nak amennyiben az védelmet nyújt a ma ismert és az ezen a területen használt támadási módokkal szemben. Véleményünk szerint, ahogy más informatikai biztonsági előírásoknak való megfelelés esetében is elvárt, ezen előírás esetében is rendszeresen felül kell vizsgálni a jogszabályi megfelelőséget (például az alkalmazáson és környezetén végzett sebezhetőség vizsgálattal).
2018.10.12
D/26 Személyes hitelesítési adatnak minősül-e a felhasználó név?  A Pft. 2. § 25b. pontja szerint a személyes hitelesítési adatok a pénzforgalmi szolgáltató által hitelesítés céljából az ügyfél rendelkezésére bocsátott személyes elemek. Az SCAr. 22. cikk (2) bekezdés a) pontja alapján pénzforgalmi szolgáltatók biztosítják, hogy  személyes hitelesítési adatokat a megjelenítés során kitakarják, és azok nem olvashatók teljes terjedelmükben a hitelesítés során a pénzforgalmi szolgáltatást igénybe vevő általi bevitelkor. A Pft. 2. § 4a. pontja alapján az erős ügyfél-hitelesítés olyan hitelesítés mely legalább két olyan
a) ismeret, azaz csak az ügyfél által ismert információ,
b) birtoklás, azaz csak az ügyfél által birtokolt dolog,
és c) biológiai tulajdonság, azaz az ügyfél jellemzője
kategóriába sorolható elem felhasználásával történik, amely kategóriák egymástól függetlenek annyiban, hogy az egyik feltörése nem befolyásolja a többi megbízhatóságát és az eljárás kialakítása révén biztosított az azonosítási adatok bizalmassága.

Álláspontunk szerint Pft. 2. § 4a. pont a) alpontja alapján a hitelesítés során felhasznált ismeret kategóriába sorolható elemek (pl. jelszó) kizárólag olyan információ lehet, amelyet csak az ügyfél ismer. Tekintettel arra, hogy a felhasználó név nem csak az ügyfél által ismert információ, hiszen azt vagy a számlavezető pénzforgalmi szolgáltató adja az ügyfélnek, vagy az ügyfél maga határozza meg és osztja meg a számlavezető pénzforgalmi szolgáltatóval a pénzforgalmi keretszerződés megkötésekor, mely a szerződésen egyszerű szövegként kerül feltüntetésre, így a szerződéssel együtt papír alapon, illetve digitálisan is olvasható formában kerül tárolásra.  A felhasználó név tulajdonképpen az ügyfél azonosítására szolgál, tehát nem a Pft. 2. § 25b. pontjában meghatározott célból bocsátják az ügyfél rendelkezésére, vagyis nem tekinthető személyes hitelesítési adatnak. Figyelemmel arra, hogy a felhasználó név  álláspontunk szerint nem minősül személyes hitelesítési adatnak, így az SCAr. 22. cikk (2) bekezdés a) pontja nem alkalmazandó a vonatkozásukban, tehát a pénzforgalmi szolgáltatást igénybe vevő általi bevitelkor nem szükséges kitakarni illetve teljes terjedelmükben olvashatatlanná tenni. 
2018.10.12

Ez a weboldal sütiket használ a kényelmesebb böngészés érdekében. A honlap használatával Ön elfogadja, hogy az oldal sütiket használ. Kérjük, olvassa elSüti tájékoztatónkat,amelyben további információkat olvashat a sütikről és azt is megtudhatja, hogyan tudja kikapcsolni vagy törölni őket.Elfogadom

Tájékoztatjuk, hogy az adatvédelmi jogszabályoknak való megfelelés érdekébenAdatvédelmi tájékoztatónkmegváltozott.Értem