Az MNB véleménye nem tekinthető kötelező erejű állásfoglalásnak, a benne foglaltaknak más hatóságra, illetve a bíróságra nézve nincs kötelező tartalma. Jelen állásfoglalás kizárólag tájékoztatás céljából készült, a benne foglaltak egyéb célok (pl. marketing) érdekében, továbbá harmadik személyekkel szemben nem használhatók fel, illetve jogvita eldöntésére nem alkalmazhatóak.

Az MNB jelen jogértelmezése az (EU) 2015/2366 európai parlamenti és tanácsi irányelvnek az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardok tekintetében történő kiegészítéséről szóló 2017. november 27-i (EU) 2018/389 felhatalmazáson alapuló bizottsági rendelet angol nyelvű változatán alapul.

Sorszám Kérdés  Válasz Frissítés dátuma
D/1 Az SCAr. szerinti referencia csalás szint számítása során mely csalásokat szükséges figyelembe venni?   Az SCAr. 19. cikk alapján a számlálóba azon csalásokat kell figyelembe venni, amelyek sikeresnek bizonyultak függetlenül attól, hogy a kár megtérült-e vagy sem. 2018.02.14
D/2 Milyen eljárást kell érteni az SCAr. 30. cikk (2) bekezdés szerinti hitelesítési eljáráson? A PSD2 4. cikk 29. pontját a Pft. 2. § 11. pontja ültette át a magyar jogrendbe, amely szerint a hitelesítés olyan eljárás, amely lehetővé teszi, hogy a pénzforgalmi szolgáltató azonosítsa az ügyfél kilétét vagy a készpénz-helyettesítő fizetési eszköz, ezen belül az ügyfél személyes hitelesítési adatai használatának érvényességét. Ennek megfelelően az SCAr.-ben foglalt szabályok a PSD2-t a hazai jogba átültető jogszabályok fogalmai szerint értelmezendők (pl. Pft., Hpt. pénzforgalmi MNBr. stb.). 2018.05.02
D/3 Előfordulhat olyan eset, hogy a fizető fél fizetési számláját vezető pénzforgalmi szolgáltató nem szerez tudomást a fizetés-kezdeményezési, illetve számlainformációs szolgáltatást igénybe vevő ügyfelének kilétéről?
 		 A Pft. 55/C. § (6) bekezdése alapján a fizetési számlát vezető pénzforgalmi szolgáltató lehetővé teszi a fizetés-kezdeményezési szolgáltatást végző vagy a számlainformációs szolgáltatást végző pénzforgalmi szolgáltató számára, hogy megbízható hitelesítési eljárásként hagyatkozhasson azon hitelesítési eljárásokra, amelyeket a fizetési számlát vezető pénzforgalmi szolgáltató az ügyfele részére  biztosít. A Pft. 38/B. § (3) bekezdés d) pont, vagy a 38/C. § (3) bekezdés c) pont szerint a fizetés-kezdeményezési vagy a számlainformációs szolgáltató minden egyes kapcsolat létesítése, illetve adott esetben fenntartása során azonosítja magát az ügyfele fizetési számláját vezető pénzforgalmi szolgáltatónál, valamint a fizetési számlát vezető pénzforgalmi szolgáltatóval és az ügyfelével biztonságos adatátviteli kapcsolatban áll.
Abban az esetben, ha a fizetés-kezdeményezési vagy számlainformációs szolgáltató az ügyfél jóváhagyását követően fér hozzá az ügyfél fizetési számlájához, mivel az ügyfél hitelesítését minden egyes hozzáférés alkalmával a Pft. 55/C. § (6) bekezdés előírásai alapján az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató végzi el, így nem fordulhat elő olyan eset, hogy az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató nem szerez tudomást a pénzforgalmi szolgáltatást közvetlenül igénybe vevő ügyfelének kilétéről. Továbbá a Pft. 38/B. § (3) bekezdés d) pontja, illetve a 38/C. § (3) bekezdés c) pontja alapján az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató azonosítja az ügyfél számlájához hozzáférő más pénzforgalmi szolgáltatókat, tehát ismert számára, hogy nem az ügyféllel közvetlenül, hanem más pénzforgalmi szolgáltatóval kommunikál.
Amennyiben azonban a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató az SCAr. 35. (5) bekezdés b) pontja alapján nem az ügyfél jóváhagyását követően azonnal fér hozzá az ügyfél fizetési számláihoz, hanem az ügyfél korábban megadott jóváhagyását követően későbbi időpontokban több alkalommal abból a célból, hogy a számlainformációs szolgáltatását teljesítse, úgy a korábbi ügyféljóváhagyás alapján szintén ismert az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató előtt a pénzforgalmi szolgáltatást igénybe vevő ügyfél kiléte.		 2018.02.14
D/4 Hány darab az SCAr. 30. cikk (1) bekezdése szerinti interfészt kell az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatónak biztosítania?
 		 Az SCAr. 30. cikk (1) bekezdése előírja az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak, hogy legalább egy olyan intefészt biztosítsanak, amelyek megfelelenek az SCAr. 30. cikk (1) bekezdés a), b) és c) pontokban meghatározott követelményeknek. Álláspontunk szerint tehát az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak nincs olyan kötelezettségük, amely szerint párhuzamosan többféle technológiával megvalósítótt inferfészt szükséges kínálniuk a fizetés-kezdeményezési, a számlainformációs, illetve  kártyaalapú készpénz-helyettesítő fizetési eszközt – ide nem értve az elektronikuspénzt – kibocsátó pénzforgalmi szolgáltatókkal történő kommunikációra. 2018.02.14
D/5 Milyen eljárást kell érteni az SCAr. 32. cikk (3) bekezdésben említett átirányítás, az ún. „redirection” alatt, illetve hogyan alkalmazandó? Az SCAr. 32. cikk (3) bekezdése alapján a számlavezető pénzforgalmi szolgáltató, amely dedikált interfész biztosítására kötelezett, nem biztosíthat olyan dedikált interfészt, amely akadályozza a fizetés-kezdeményezési és számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatót a szolgáltatása nyújtásában. Az említett jogszabályhely szerint ilyen akadály lehet - többek között - a számlavezető pénzforgalmi szolgáltatóhoz történő átirányítás bevezetése hitelesítés vagy más funkció végett. Álláspontunk szerint az SCAr. 32. cikk (3) bekezdése tehát nem általánosan tiltja az átirányítást, mint technikai megoldást, hanem az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató számára tartalmaz tilalmat arra vonatkozóan, hogy az SCAr. szerinti dedikált interfész esetén az átirányítást megkövetelje a fizetés-kezdeményezési vagy számlainformációs szolgáltatótól azok szolgáltatásának nyújtásakor. Ugyanakkor az SCAr. szerinti dedikált interfész mellett további megoldásként, illetve abban az esetben, ha az átirányítás a fizetés-kezdeményezési vagy számlainformációs szolgálató kérése nyomán történik meg, az átirányítás jogszerűen alkalmazható. 2018.02.27
D/6 Milyen előírásoknak kell megfelelnie az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató által nyújtandó interfésznek? Az MNB a felügyeleti tevékenysége során minden esetben egyedileg vizsgálja meg azt, hogy az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató által nyújtott interfész megfelel-e az SCAr. a Kommunikáció Közös és Biztonságos Nyílt Sztenderdjeiről szóló V. fejezetében foglaltaknak. 2018.02.27
D/7 Mikor és hogyan kell kialakítaniuk a fizetés-kezdeményezési és számlainformációs szolgálatást nyújtó pénzforgalmi szolgáltatónak az SCAr. 33. cikkében említett tartalékmechanizmust? Azon számlavezető pénzforgalmi szolgálatók, amelyek dedikált interfészt biztosítanak, arra az esetre ha az SCAr. 33. cikk (1) bekezdését figyelembe véve az általuk biztosított interfész nem tervezetten elérhetetlenné válik, vagy a rendszer összeomlik, vagyis, ha fizetéskezdeményezési vagy számlainformációs szolgáltatások nyújtása céljából való információ-hozzáférés iránti öt egymást követő kérésre 30 másodpercen belül nem érkezik válasz a számlavezető pénzforgalmi szolgáltatótól, egy tartalékmechanizmust kell biztosítsanak. Az SCAr. 33. cikk (4) bekezdése alapján a tartalékmechanizmus részeként, a fizetés-kezdeményezési vagy számlainformációs szolgálatást nyújtó pénzforgalmi szolgáltatók számára lehetővé kell tenniük azon interfészek igénybevételét, amelyeket hitelesítés és a számlavezető pénzforgalmi szolgáltatójukkal való kommunikáció céljából az ügyfelek fizetési számláit vezető pénzforgalmi szolgálatók az ügyfeleik rendelkezésére bocsátottak, mindaddig, amíg helyre nem állítják a dedikált interfész SCAr. 32. cikkben előírt elérhetőségi szintjét és teljesítményét. Tehát a tartalékmechanizmus használata során az SCAr. engedélyezi mindazon interfészek használatat a fizetés-kezdeményezési és számlainformációs szolgálatást nyújtó pénzforgalmi szolgálatók számára, amelyeken keresztül a számlavezető pénzforgalmi szolgálató kommunikál az ügyfelével. Azonban az SCAr 33. cikk (5) bekezdése szerint e célból a számlavezető pénzforgalmi szolgáltatók biztosítják, hogy a 30. cikk (1) bekezdésében említett fizetés-kezdeményezési vagy számlainformációs szolgáltatók azonosíthatók legyenek és a számlavezető pénzforgalmi szolgáltató által a pénzforgalmi szolgáltatást igénybe vevő számára biztosított hitelesítési eljárásokra támaszkodhassanak.  2018.04.11
D/8 Jogszerű-e az ügyfél fizetési számlját vezető pénzforgalmi szolgáltató által kialakított olyan eljárás, miszerint a számlainformációs és fizetés-kezdeményezési szolgálatást nyújtó pénzforgalmi szolgálatók számára az ügyfeleik fizetési számláihoz való hozzáférés feltételéül szabja a szolgáltatást igénybe vevő ügyfél e szolgáltatóknak megadott hozzájárulásának és annak tartalmának bemutatását? A PSD2 és az annak szabályait átültető magyar jogszabályi rendelkezések nem tartalmaznak kifejezett rendelkezéseket arra vonatkozóan, hogy az ügyfél fizetési számláját vezető pénzforgalmi szolgáltató hozzáférhet vagy ellenőrizheti a fizetés-kezdeményezési szolgáltatást vagy a számlainformációs szolgáltatást igénybe vevő ügyfél e szolgálatásokat nyújtó pénzforgalmi szolgálatók részére megadott hozzájárulását és annak tartalmát. Figyelemmel azonban a Pft. 44. § (1a) bekezdésére, a - már az átmeneti időszakban is hatályos - 55/C. § (6) bekezdésére, illetve az SCAr. 32. cikk (3) bekezdésére, továbbá az Európai Bizottság tagállami képviselőinek tartott a PSD2 átültetését segítő workshopok anyagára, az MNB álláspontja szerint az ügyfél fizetési számláját vezető pénzforgalmi szolgáltatónak nincs módja arra, hogy a fizetési számlához való hozzáférésének feltételéül szabja a fizetés-kezdeményezési szolgáltatást vagy a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgálató számára adott ügyfél hozzájárulás bemutasát ellenőrzés céljából. Az esetleges - ezen szolgálatásokhoz kapcsolódó - káresemények bekövetkezése esetén a Pft. 44. §-a és az átmeneti időszakban a 66/A . § (2) bekezdése szerint kell eljárni.   2018.04.11
D/9 Jogosult-e a fizetés-kezdeményezési vagy számlainformációs szolgálatást nyújtó pénzforgalmi szolgáltató elvégezni a Pft. 2. § 11. pontjában meghatározott hitelesítést az ügyfele fizetési számlájához történő hozzáférést megelőzően, az ügyfél fizetési számláját vezető pénzforgalmi szolgálató helyett? A Pft. 55/C. § (6) bekezdése alapján a fizetési számlát vezető pénzforgalmi szolgáltató lehetővé teszi a fizetés-kezdeményezési szolgáltatást végző vagy a számlainformációs szolgáltatást végző pénzforgalmi szolgáltató számára, hogy megbízható hitelesítési eljárásként hagyatkozhasson azon hitelesítési eljárásokra, amelyeket a fizetési számlát vezető pénzforgalmi szolgáltató az ügyfele részére a Pft.-vel összhangban biztosít. Továbbá az SCAr. 30. cikk (2) bekezdés a) pontja alapján a dedikált interfész biztosítására kötelezett pénzforgalmi szolgálató úgy köteles kialakítani a dedikált interfészt, hogy egy fizetés-kezdeményezési vagy számlainformációs szolgálatást nyújtó pénzforgalmi szolgálató képes legyen arra utasítani az ügyfél fizetési számláját vezető pénzforgalmi szolgálatót, hogy az kezdje meg az ügyfél hitelesítését. Mivel a Pft. 38/B. (2) bekezdése és 38/C. § (2) bekezdése alapján a fizetés-kezdeményezési szolgáltatás és számlainformációs szolgáltatás igénybevételének nem lehet feltétele, hogy szerződéses jogviszony álljon fenn a fizetés-kezdeményezési vagy számlainformációs szolgáltatást végző pénzforgalmi szolgáltató és a fizetési számlát vezető pénzforgalmi szolgáltató között, így szerződés hiányában a Pft. szabályai irányadóak, vagyis az ügyfél fizetési számláját vezető pénzforgalmi szolgálató végzi az ügyfél Pft. 2. § 11. pont szerinti hitelesítését. Ez azonban nem zárja ki, hogy a fizetés-kezdeményezési vagy számlainformációs szolgáltatást végző pénzforgalmi szolgálató szerződést kössön az ügyfele fizetési számláját vezető pénzforgalmi szolgálatójával, és abban a hitelesítésre vonatkozóan is megállapodjanak. 2018.04.11
D/10 Mit jelent az „online hozzáférhető fizetési számla” fogalma?
 		 Az „online hozzáférhető fizetési számla"" fogalmát a Pft. 2. § 18a. pontja határozza meg, azaz online módon hozzáférhető fizetési számla, olyan fizetési számla, amely vonatkozásában lehetőség van számítástechnikai eszközök közvetlen kapcsolata útján fizetési megbízást adni, valamint adatokhoz, információkhoz hozzáférni. Vagyis álláspontunk szerint minden olyan a Pft. 2. § 8. pontja szerinti fizetési számla, amely vonatkozásában számítástechnikai eszközökön keresztül történik a kommunikáció (pl. mobil alkalmazás, Internet böngésző, számlavezető pénzforgalmi szolgáltató által biztosított ügyfél számítógépére telepített alkalmazás) online hozzáférhetőnek minősül, így alkalmazandók a Pft.38/B. §, 38/C. §, valamint az 55/C. §-ban foglalt rendelkezések. 2018.06.29
D/11 Mikor köteles a pénzforgalmi szolgáltató ún. erős-ügyfélhitelesítést alkalmazni (ide értve az ügyfél fizetési számláját vezető, a fizetés-kezdeményezési, illetve a számlainformációs szolgáltatót is)? A PSD2 97. cikk (1) bekezdését a hazai jogba átültető Pft. 55/C. § (1) bekezdése értelmében a pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz, amikor a fizető fél online fér hozzá fizetési számlájához, elektronikus fizetési műveletet kezdeményez, illetve bármely műveletet olyan távoli csatornán keresztül hajt végre, ami fizetéssel kapcsolatos csalásokra és más visszaélésekre adhat módot. A fentiekben ismertetett jogszabály értelmezésünk szerint három elkülönülő esetet szabályoz: a) amennyiben a számlavezetett ügyfél hozzáfér a számlájához, vagyis pl. belép a számára biztosított internetbanki felületre, avagy mobilbankba; b) bármilyen elektronikus csatornán fizetési megbízást ad meg (pl. az ügyfél a fizetési kártyáját POS terminálon használja, avagy internetbankon keresztül ad fizetési megbízást; c) bármilyen olyan egyéb eset nem esik az előbbiekben részletezett a), vagy b) pontok alá, azonban visszaélésekre adhat okot (ilyen lehet pl. az ügyfél fizetési kártyához tartozó limitmódosítása, vagy az ügyfél tájékoztatásához használt mobiltelefonszám megváltoztatása). Ezen szigorú előírások alól adnak felmentést az SCAr. III. fejezétben meghatározott szabályok, amelyek - a pénzforgalmi szolgáltató választásától függően - lehetővé teszik a kötelező erős ügyfél-hitelesítés alóli mentesülést. 2018.06.29
D/12 Milyen adatok tekinthetők érzékeny fizetési adatnak, továbbá ezen adatokat milyen esetben továbbíthatja a számlavezető pénzforgalmi szolgáltató a fizetés-kezdeményezési, illetve számlainformációs szolgáltatást végző pénzforgalmi szolgáltatók felé? A Pft. 2. § 5a alpontja alapján érzékeny fizetési adatnak minősül minden olyan adat, amelyek csalás elkövetésére alkalmazhatók, ideértve a személyes hitelesítési adatokat is azzal, hogy a fizetés-kezdeményezési szolgáltatás vagy számlainformációs szolgáltatás tekintetében nem érzékeny fizetési adat a számlatulajdonos neve és a fizetési számlájának száma.
 A Pft. 38/B. § (2) bekezdés e) pontja értelmében a fizetés-kezdeményezési szolgáltató nem tárol az ügyfeléről érzékeny fizetési adatot, illetve a 38/B. § (2) bekezdés f) pont alapján a fizetés-kezdeményezési szolgáltatás igénybevételéhez szükséges adatokon kívül más adatot nem kér az ügyfelétől. A Pft. 38/C. § (2) bekezdés d), e) és f) pontok értelmében a számlainformációs szolgáltató kizárólag az ügyfele által megjelölt fizetési számlákhoz és az azokhoz tartozó fizetési műveletekre vonatkozó információkhoz fér hozzá, nem kér fizetési számlához kapcsolódó érzékeny fizetési adatot, az ügyfele által kifejezetten igényelt számlainformációs szolgáltatástól eltérő célból nem használ és nem tárol adatokat, valamint nem fér hozzá adatokhoz.
Álláspontunk szerint mind a fizetés-kezdeményezés, mind pedig a számlainformációs szolgáltató esetében ezen szolgáltatók kizárólag olyan mértékben férhetnek hozzá az ügyfeleik fizetéseihez kapcsolódó adataihoz, amilyen mértékben a szolgáltatás nyújtásához feltétlenül szükség van. Ilyen eset lehet pl. amennyiben a számlainformációs szolgáltató szolgáltatásához szükséges az ügyfele fizetési műveleteihez kapcsolódó közleményrovat megismerése, továbbá az ügyfele ehhez hozzájárult, úgy ezen szolgáltató megismerheti ezen adatokat is, ekkor ezen adatok a nyújtott szolgáltatás vonatkozásában nem minősülnek érzékeny fizetési adatnak.
Az érzékeny fizetési adatok kezelése során a Pft. 38/B. §-ban és a 38/C. §-ban foglalt érzékeny fizetési adatokhoz kapcsolódó szabályokon kívül a GDPR-ban foglalt személyes adatok kezelésének biztonságára vonatkozó előírásokat is figyelembe kell venni. "		 2018.06.29
D/13 Hozzáférhet-e az ügyfél számláját vezető pénzforgalmi szolgáltató által az ügyfél rendelkezésére bocsátott személyes hitelesítési adatokhoz a számlainformációs vagy fizetés-kezdeményezési szolgáltató?
 		 A Pft. 38/B. § (3) bekezdés b) pontja, valamint a 38/C. § (3) bekezdés b) pontja előírása a fizetés-kezdeményezési, illetve a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatónak, hogy ezen szolgáltatók biztosítják, hogy az ügyfele személyes hitelesítési adataihoz az ügyfélen és a személyes hitelesítési adatok kibocsátóján kívül más ne férhessen hozzá, valamint azokat biztonságos és hatékony csatornákon továbbítják.
Álláspontunk szerint ezen rendelkezés alapján a fizetés-kezdeményezési, illetve számlainformációs szolgáltatónak úgy kell eljárnia, hogy az ügyfélen, az ügyfél fizetési számláját vezető pénzforgalmi szolgáltatón, továbbá a fizetés-kezdeményezés, vagy számlainformációs szolgáltatón kívüli természetes vagy jogi személy ne férhessen hozzá az ügyfél személyes hitelesítési adataihoz.		 2018.06.29
D/14 A Pft. mely előírásai  nem alkalmazandók a 2018. január 13-tól kezdődő és a Pft. 66/A. § (1) bekezdésben meghatározott időpontig tartó átmeneti időszakban?  Az Európai Bankhatóság EBA/Op/2017/16 számon elérhető 2017. december 19-én publikált véleményét figyelembe véve, álláspontunk szerint  a PSD2 115. cikk (4) bekezdését a hazai jogba a Pft. 66/A. (1) bekezdésében említett a Pft. 38/A-38/C. §-ban, valamint az 55/C. §-ban meghatározott biztonsági intézkedések a következő jogszabályi helyeket érintik:
a) a Pft. 55/C. §-t teljes egészében, kivéve az 55/C. § (6) bekezdést;
b) a Pft. 38/A. § (2) bekezdés c) pontját;
c) a Pft. 38/B. § (3) bekezdés d) pontját és a 38/B. § (4) bekezdés a) pontot;
d) a Pft. 38/C. § (3) bekezdés c) pontot, valamint a 38/C. § (4) bekezdés a) pontját.
Mindezek alapján a fent a)-d) pontokban ismertetett jogszabályhelyek nem alkalmazandók a 2018. január 13-tól kezdődő és a Pft. 66/A. § (1) bekezdésben meghatározott időpontig tartó átmeneti időszakban.		 2018.06.29
D/15 Szükséges-e a pénzforgalmi szolgáltatónak a Pft. 55/C. §-ban előírt erős ügyfél-hitelesítést alkalmaznia papír alapon benyújtott fizetési megbízások esetén? A Pft. 55/C § (1) bekezdés b) pontja szerint a pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz, amikor a fizető fél elektronikusan kezdeményez fizetési műveletet.
Álláspontunk szerint a papír alapon (többek között gyűjtőláda útján, faxon, vagy egyéb papír alapú benyújtás során) megadott fizetési megbízások esetén a pénzforgalmi szolgáltatók nem kötelesek a Pft. 55/C. § (1) bekezdéseben meghatározott erős ügyfél-hitelesítést végezni, mivel azok nem minősülnek elektronikus fizetési megbízásnak."		 2018.06.29
D/16 Amennyiben az ügyfél az erős ügyfél-hitelesítés elvégzését követően belépett a számlavezető pénzforgalmi szolgáltató felületére, a felületen történő fizetési megbízás megadásakor szükséges-e ismételten erős ügyfél-hitelesítést végezni? Az erős ügyfél-hitelesítés alkalmazásának kötelező eseteit a Pft. 55/C. § (1) bekezdése határozza meg. A hivatkozott jogszabály alapján minden fizetési megbízás kezdeményezésekor újra szükséges az erős ügyfél-hitelesítés elvégzése. Ugyanakkor az SCAr-ben meghatározott feltételek teljesülése esetén a számlavezető pénzforgalmi szolgáltatónak lehetősége van az erős ügyfél-hitelesítéstől való eltekintésre. 2018.06.29
D/17
Van-e az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak olyan kötelezettségük, amely szerint kizárólag dedikált interfész kialakítása révén tegyenek eleget a meghatározott követelményeknek?
 		 Az SCAr. 30. cikk (1) bekezdése előírja az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak, hogy legalább egy olyan interfészt biztosítsanak, amely megfelel az SCAr. 30. cikk (1) bekezdés a), b) és c) pontokban meghatározott követelményeknek. Az SCAr. 31. cikke szerint a számlavezető pénzforgalmi szolgáltatók a 30. cikkben említett interfészt egy dedikált interfész segítségével vagy úgy hozzák létre, hogy engedélyezik a 30. cikk (1) bekezdésében említett pénzforgalmi szolgáltatók számára azon interfészek igénybevételét, amelyeket a számlavezető pénzforgalmi szolgáltató pénzforgalmi szolgáltatást igénybe vevőinek hitelesítésére és a velük való kommunikációra használnak. Mindezek alapján álláspontunk szerint az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak nincs olyan kötelezettségük, amely szerint kizárólag dedikált interfész kialakítása révén tegyenek eleget a meghatározott követelményeknek.
A számlavezető pénzforgalmi szolgáltató akár a saját Internetbanki/mobilbanki interfészén  vagy akár egy dedikált interfészen keresztül biztosítja a harmadik fél szolgáltató számára a hozzáférést teljesítenie kell, hogy az ügyfél ugyanazon funkciókat elérhesse a fizetési számlája tekintetében, mint a számlavezető pénzforgalmi szolgáltató saját felületén keresztül elérhet.
Amennyiben a számlavezető pénzforgalmi szolgáltatók a 30. cikkben említett hozzáférést nem dedikált interfészen keresztül biztosítják, úgy a SCAr. 32. cikkében előírt kötelezettségeknek és 33. cikkében előírt rendkívüli intézkedéseknek sem kell megfelelniük, mert ezen cikkek a dedikált interfészre vonatkoznak.		 2018.06.29
D/18 A pénzforgalmi szolgáltató dedikált interfész használata esetén köteles tartalékmechanizmust kialakítani?  Az SCAr. 33. cikk (4) bekezdése előírja, hogy dedikált interfész esetén kötelező tartalékmechanizmus kialakítása, mely lehetővé teszi a harmadik fél szolgáltatók számára azon interfészek igénybevételét, amelyeket hitelesítés és a számlavezető pénzforgalmi szolgáltatójukkal való kommunikáció céljából a pénzforgalmi szolgáltatásokat igénybe vevők rendelkezésére bocsátottak, mindaddig, amíg helyre nem állítják a célra rendelt interfész 32. cikkben előírt elérhetőségi szintjét és teljesítményét. Álláspontunk szerint ez azt jelenti, hogy dedikált interfész alkalmazása esetén tartalékmechanizmusként megnyitható a meglévő ügyfél interfész, melyet úgy kell átalakítani, hogy a harmadik fél szolgáltatók azon keresztül mindaddig, amíg helyre nem állítják a dedikált interfészt, hozzáférjenek azon adatokhoz, amelyekhez hozzáférnek a dedikált interfészen keresztül. A tartalékmechanizmus használata során az SCAr. 33. cikkének (5) bekezdése szerint a számlavezető pénzforgalmi szolgáltatóknak biztosítaniuk kell, hogy a harmadik fél szolgáltatók azonosíthatók legyenek és a számlavezető pénzforgalmi szolgáltató által a pénzforgalmi szolgáltatást igénybe vevő számára biztosított hitelesítési eljárásokra támaszkodhassanak. A harmadik fél szolgáltató a tartalékmechanizmus használata során kizárólag azokhoz az adatokhoz férhet hozzá, amire egyébként jogszabály alapján jogosult, az elért adatokat naplóznia kell és kérésre haladéktalanul az MNB rendelkezésére kell bocsátania a naplófájlokat.  2018.06.29
D/19 Hogyan és milyen formában kérheti a számlavezető pénzforgalmi szolgáltató az MNB-től a tartalék-mechanizmus létrehozása alóli mentesítést?

Az SCAr. 33. cikk (6) bekezdése előírja, hogy az illetékes hatóságok (Magyarország esetében az MNB) az előírt feltételek teljesítése esetén az EBH-val folytatott konzultációt követően azokat a számlavezető pénzforgalmi szolgáltatókat, amelyek dedikált interfész létrehozása mellett döntöttek, mentesíti az SCAr. 33. cikkének (4) bekezdésben előírt tartalékmechanizmus létrehozása alól. Az MNB az említett mentesítésre vonatkozó eljárást erre irányuló kérelem alapján folytatja le. A mentesítési kérelem benyújtása az ERA rendszeren keresztül az „Egyéb kérelmek, bejelentések" űrlapon történik.  Az elektronikus űrlapot és a hozzá kapcsolódó mellékleteket a pénzforgalmi szolgáltató két cégjegyzésre jogosult tagja vagy kamarai jogtanácsosa fokozott biztonságú elektronikus aláírásával ellátva szükséges benyújtani. Kamarai jogtanácsos eljárása esetén meghatalmazás csatolása is szükséges. A mellékleteket az elektronikus aláírás mellett időbélyegzővel is el kell látni. Az elektronikus ügyintézéssel kapcsolatban az MNB honlapján tájékoztató anyagok is rendelkezésre állnak: http://www.mnb.hu/felugyelet/engedelyezes-es-intezmenyfelugyeles/engedelyezes/e-ugyintezes-az-engedelyezesi-eljarasokban/2018-januartol-hatalyos-szabalyok

Az MNBtv. 59.§ (2) bekezdése alapján a kérelemhez csatolni kell a pénzforgalmi szolgáltató nyilatkozatát arról, hogy az engedély kiadása érdekében minden lényeges tényt és adatot közölt az MNB-vel, továbbá az SCAr. 33. cikk (6) bekezdés a), b), c) és d) pontjaiban előírt feltételek teljesítését igazoló dokumentumokat. Az SCAr.-ben a mentesítés feltételei kapcsán az egységes tagállami jogalkalmazás elősegítése céljából az EBH elkészítette a tartalékmechanizmus alól az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardokról szóló (EU) 2018/389 rendelet 33. cikkének (6) bekezdése szerint biztosított mentesség igénybevételének feltételeiről szóló 2018. december 4-i EBA/GL/2018/07 iránymutatásokat (a továbbiakban: Iránymutatások). Az Iránymutatások részletesen meghatározzák az SCAr. 33. cikk (6) bekezdésében megállapított, arra vonatkozó feltételeket, hogyan mentesíthetők az SCAr. 33. cikk (4) bekezdésében ismertetett tartalékmechanizmus létrehozása alól azok a számlavezető pénzforgalmi szolgáltatók, amelyek dedikált interfész létrehozása mellett döntöttek. Az Iránymutatások továbbá útmutatást adnak az illetékes hatóságok számára is arra vonatkozóan, hogy miként konzultáljanak az EBH-val az SCAr. 33. cikk (6) bekezdésével szerinti mentesítés céljából és meddig intézkedhetnek a mentesség megadásáról. Az iránymutatások 2019. január 1-től alkalmazandók és az angol mellett magyar nyelven is elérhetők az EBH honlapján az alábbi linken: https://eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/guidelines-on-the-conditions-to-be-met-to-benefit-from-an-exemption-from-contingency-measures-under-article-33-6-of-regulation-eu-2018/389-rts-on-sca-csc-?p_p_id=56_INSTANCE_H1LnmNVsz6aL&p_p_lifecycle=0&p_p_state=normal&p_p_mode=view&p_p_col_id=column-2&p_p_col_count=2
https://eba.europa.eu/documents/10180/2570450/Final+Report+on+Guidelines+on+the+exemption+to+the+fall+back+_HU.pdf

 2019.02.28
D/20 Minden pénzforgalmi szolgáltatónak saját, akár országonként eltérő interfészt kell készítenie?  A PSD2 nem adott olyan mandátumot az EBH-nak, hogy konkrét technológiai megoldást javasoljon. A PSD2-höz kacsolódó iránymutatásokkal, rendeletekkel szemben az alapelvárás az, hogy legyenek technológia- és üzleti modell semlegesek és teremtsék meg az innovatív fizetési módok felhasználóbarát használatának a feltételeit. Ennek megfelelően, az SCAr. 30. cikk (1) bekezdése előírja az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak, hogy legalább egy olyan interfészt biztosítsanak, amelyek megfelelnek az SCAr. 30. cikk (1) bekezdés a), b) és c) pontokban meghatározott követelményeknek. Álláspontunk szerint tehát az online hozzáférhető fizetési számlát vezető pénzforgalmi szolgáltatóknak az a kötelezettsége, hogy az általa választott technológiával megvalósítva interfészt kínáljon a harmadik fél szolgáltatókkal történő kommunikációra, mely interfész lehet egyedi fejlesztésű vagy egy széleskörben elterjedt megoldás is. Továbbá, a számlavezető pénzforgalmi szolgáltató országonként más-más megoldást is biztosíthat. Megjegyezzük, hogy egyedi megoldás alkalmazása esetén is be kell tartani az SCAr. 30. cikk (3) bekezdésében foglalt rendelkezéseket.  2018.06.29
D/21 Mely esetben alkalmazható az SCAr. 12. cikkében említett erős ügyfél-hitelesítés alóli kivétel? Az SCAr. 12. cikk alapján a pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést - többek között - amikor a fizető fél egy felügyelet nélküli fizetési terminálnál közlekedési viteldíj vagy parkolási díj megfizetése céljából elektronikus fizetési műveletet kezdeményez.
Álláspontunk szerint az SCAr. 12. cikkében említett terminál alatt telepített fizikai terminált kell érteni, így az SCAr. 12. cikk szerinti kivétel kizárólag olyan terminálok esetében alkalmazható, amelyek fizikailag elérhetőek az ügyfelek részére és a közlekedési viteldíj vagy parkolási díj megfizetését ezen a terminálon keresztül kezdeményezték. 		 2018.10.12
D/22 Szükséges-e a pénzforgalmi szolgáltatónak a Pft. 55/C. §-ban előírt erős ügyfél-hitelesítést alkalmaznia telefonon keresztül szóban benyújtott fizetési megbízások esetén? A Pft. 55/C § (1) bekezdés b) pontja szerint a pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz, amikor a fizető fél elektronikusan kezdeményez fizetési műveletet.
Álláspontunk szerint a telefonon keresztül szóban benyújtott fizetési megbízások esetén a pénzforgalmi szolgáltatók nem kötelesek a Pft. 55/C. § (1) bekezdéseben meghatározott erős ügyfél-hitelesítést alkalmazni, mivel azok nem minősülnek elektronikus fizetési megbízásnak.		 2018.10.12
D/23 Milyen információkat szükséges a számlavezető pénzforgalmi szolgáltatónak a megjelölt fizetési számlákra és a kapcsolódó fizetési műveletekre vonatkozóan a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató rendelkezésre bocsátania? 

Az SCAr. 36. cikk (1) bekezdésének a) pontja előírja a számlavezető pénzforgalmi szolgáltatóknak, hogy a megjelölt fizetési számlákra és a kapcsolódó fizetési műveletekre vonatkozóan ugyanazokat az információkat bocsássák a számlainformációs szolgáltatók rendelkezésére, mint amelyeket a pénzforgalmi szolgáltatást igénybe vevő rendelkezésére bocsátanak, amikor az közvetlenül kér hozzáférést a számlainformációkhoz, feltéve, hogy ez az információ nem tartalmaz érzékeny fizetési adatokat.

Álláspontunk szerint ez azt jelenti, hogy mindazokat az adatokat szükséges az ügyfél fizetési számláját vezető pénzforgalmi szolgáltatónak a számlainformációs szolgáltatók rendelkezésre bocsátani, amelyek elengedhetetlenek ahhoz, hogy a számlavezető pénzforgalmi szolgáltatók által az ügyfelük számára megjelenített adatok a számlainformációs szolgáltató által is megjeleníthetők legyenek.

Figyelemmel a fentiekben kifejtettekre és a Pft. 38/C. § (3) bekezdés d) pontjára, értelmezésünk szerint a számlavezető pénzforgalmi szolgáltatóknak minden olyan fizetési számlára vonatkozó információt szükséges átadniuk a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató részére, amelyet az ügyfél a Pft. 38/C. § (3) bekezdés d) pontra tekintettel megjelölt, vagyis nem a számlavezető pénzforgalmi szolgáltató által vezetetett valamennyi számla vonatkozásában szükséges adatokat átadni. Ugyanakkor felhívjuk a figyelmet arra, hogy az adathozzáférés során a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatónak meg kell felelni az érzékeny adatokhoz történő hozzáférésre vonatkozó szabályoknak, amely kapcsán lásd a D/12. sorszámú kérdést. Megjegyezzük továbbá, amennyiben a számlavezető pénzforgalmi szolgáltató célra rendelt interfészt hoz létre, úgy biztosítania kell többek között, hogy az adathozzáférés során ne sérüljön az SCAr. 32. cikk (3) bekezdés, vagyis a számlavezető pénzforgalmi szolgáltató ne akadályozza számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatót az általa nyújtott szolgáltatások nyújtásában, így különösen az ügyfélnek a számlainformációs szolgáltatás igénybevétele során ne kellje indokolatlan lépeseket végrehajtania (pl. belépnie az internetbankba), az indokoltnál több alkalommal erős ügyfél-hitelesítésen átesnie, vagy az erős ügyfél-hitelesítés a szükségtelennél több ügyfél interakcióval ne történjen.

 2020.07.01
D/24 Az SCAr. 5. cikk (1) bekezdésének b) pontja szerint a generált hitelesítő kódot a fizetési művelet összegéből és a kedvezményezett számlaszámából szükséges származtatni, avagy egyéb megoldás is elfogadható? Az SCAr. 5. cikk (1) bekezdés b) pontja szerint a generált hitelesítési kódnak egyedinek kell lennie a fizetési művelet azon összege és azon kedvezményezett vonatkozásában, amelyet a fizető fél a művelet kezdeményezésekor jóváhagyott.
Az MNB álláspontja szerint a hitelesítési kódnak egyedinek kell lennie a fizetési műveletre vonatkozóan, de nem szükséges a hitelesítési kódot a fizetési művelet összegéből és a kedvezményezett számlaszámából származtatni, azaz nem feltétel, hogy a hitelesítő kódot generáló algoritmusnak bemeneti paramétere legyen ezen két érték. Azonban felhívjuk a figyelmet arra, hogy  a hitelesítési kód működésének megtervezésekor az 5. cikk (1) bekezdésének c) és d) pontját is figyelembe kell venni. 		 2018.10.12
D/25 Mi minősül az SCAr. 9. cikk (3) bekezdésének a) pontja szerinti elkülönített biztonságos végrehajtási környezetnek?  Az SCAr. 9. cikk (3) bekezdésének a) pontja szerinti elkülönített biztonságos végrehajtási környezet (a továbbiakban: EBVK) célja az alkalmazás teljeskörű integritásának védelme, amely védelem többek között magába foglalja az alkalmazás által használt memóriát, fájlokat és a felhasználóval történő interakciót is. Így az EBVK elkülönül a mobil eszköz „normál” feldolgozási környezetétől, és biztosítja, hogy a többi  mobilalkalmazás (például rosszindulatú programok), illetve folyamat ne befolyásolhassa az EBVK-ban futó alkalmazást.
Az MNB álláspontja szerint egy végrehajtási környezet megfelel az EBVK-nak amennyiben az védelmet nyújt a ma ismert és az ezen a területen használt támadási módokkal szemben. Véleményünk szerint, ahogy más informatikai biztonsági előírásoknak való megfelelés esetében is elvárt, ezen előírás esetében is rendszeresen felül kell vizsgálni a jogszabályi megfelelőséget (például az alkalmazáson és környezetén végzett sebezhetőség vizsgálattal).		 2018.10.12
D/26 Személyes hitelesítési adatnak minősül-e a felhasználó név?  A Pft. 2. § 25b. pontja szerint a személyes hitelesítési adatok a pénzforgalmi szolgáltató által hitelesítés céljából az ügyfél rendelkezésére bocsátott személyes elemek. Az SCAr. 22. cikk (2) bekezdés a) pontja alapján pénzforgalmi szolgáltatók biztosítják, hogy  személyes hitelesítési adatokat a megjelenítés során kitakarják, és azok nem olvashatók teljes terjedelmükben a hitelesítés során a pénzforgalmi szolgáltatást igénybe vevő általi bevitelkor. A Pft. 2. § 4a. pontja alapján az erős ügyfél-hitelesítés olyan hitelesítés mely legalább két olyan
a) ismeret, azaz csak az ügyfél által ismert információ,
b) birtoklás, azaz csak az ügyfél által birtokolt dolog,
és c) biológiai tulajdonság, azaz az ügyfél jellemzője
kategóriába sorolható elem felhasználásával történik, amely kategóriák egymástól függetlenek annyiban, hogy az egyik feltörése nem befolyásolja a többi megbízhatóságát és az eljárás kialakítása révén biztosított az azonosítási adatok bizalmassága.

Álláspontunk szerint Pft. 2. § 4a. pont a) alpontja alapján a hitelesítés során felhasznált ismeret kategóriába sorolható elemek (pl. jelszó) kizárólag olyan információ lehet, amelyet csak az ügyfél ismer. Tekintettel arra, hogy a felhasználó név nem csak az ügyfél által ismert információ, hiszen azt vagy a számlavezető pénzforgalmi szolgáltató adja az ügyfélnek, vagy az ügyfél maga határozza meg és osztja meg a számlavezető pénzforgalmi szolgáltatóval a pénzforgalmi keretszerződés megkötésekor, mely a szerződésen egyszerű szövegként kerül feltüntetésre, így a szerződéssel együtt papír alapon, illetve digitálisan is olvasható formában kerül tárolásra.  A felhasználó név tulajdonképpen az ügyfél azonosítására szolgál, tehát nem a Pft. 2. § 25b. pontjában meghatározott célból bocsátják az ügyfél rendelkezésére, vagyis nem tekinthető személyes hitelesítési adatnak. Figyelemmel arra, hogy a felhasználó név  álláspontunk szerint nem minősül személyes hitelesítési adatnak, így az SCAr. 22. cikk (2) bekezdés a) pontja nem alkalmazandó a vonatkozásukban, tehát a pénzforgalmi szolgáltatást igénybe vevő általi bevitelkor nem szükséges kitakarni illetve teljes terjedelmükben olvashatatlanná tenni. 		 2018.10.12
D/27 Hogyan és milyen formában kérheti a pénzforgalmi szolgáltató az MNB-től a biztonságos vállalati fizetési folyamatának az erős ügyfél-hitelesítési követelmény alóli mentesítését?  Az SCAr. 17. cikke alapján a pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést olyan jogi személyek kapcsán, amelyek erre a célra kijelölt, kizárólag nem fogyasztónak minősülő fizető felek rendelkezésére bocsátott fizetési folyamatok vagy protokollok használatával kezdeményeznek elektronikus fizetési műveleteket, amennyiben az illetékes hatóságok meggyőződtek arról, hogy a szóban forgó folyamatok vagy protokollok az SCAr.-ben előírtakkal legalább egyenértékű szintű biztonságot garantálnak. Annak érdekében, hogy az MNB meggyőződhessen arról, hogy egy pénzforgalmi szolgáltató erre a célra üzemeltetett rendszere megfelel az SCAr. 17. cikkében előírtakkal, a pénzforgalmi szolgáltatónak mentesítés iránti kérelmet kell benyújtania. A mentesítési kérelem benyújtása az ERA rendszeren keresztül az „Egyéb kérelmek, bejelentések" űrlapon történik. Az elektronikus űrlapot és a hozzá kapcsolódó mellékleteket a pénzforgalmi szolgáltató két cégjegyzésre jogosult tagja vagy kamarai jogtanácsosa fokozott biztonságú elektronikus aláírásával ellátva szükséges benyújtani. Kamarai jogtanácsos eljárása esetén meghatalmazás csatolása is szükséges. A mellékleteket az elektronikus aláírás mellett időbélyegzővel is el kell látni. Az elektronikus ügyintézéssel kapcsolatban az MNB honlapján tájékoztató anyagok is rendelkezésre állnak: http://www.mnb.hu/felugyelet/engedelyezes-es-intezmenyfelugyeles/engedelyezes/e-ugyintezes-az-engedelyezesi-eljarasokban/2018-januartol-hatalyos-szabalyok
Az MNBtv. 59.§ (2) bekezdése alapján a kérelemhez csatolni kell a pénzforgalmi szolgáltató nyilatkozatát arról, hogy az engedély kiadása érdekében minden lényeges tényt és adatot közölt az MNB-vel, továbbá pontonkénti nyilatkozatát legalább az alábbiakban felsoroltaknak való megfeleléséről, valamint mindazokat a dokumentumokat, amelyek alkalmasak a megfelelőség alátámasztásra:
  • a felhasználók köre megfelel az SCAr. 17. cikkében részletezett elvárásnak;
  • az alkalmazott hitelesítési eljárás legalább az SCAr.-ben előírt hitelesítési eljárással egyenértékű szintű biztonságot garantál;
  • rendelkeznek a rendszerüket érintően olyan az SCAr.-ben előírtakkal egyenértékű műveletmegfigyelő mechanizmusokkal, amelyek lehetővé teszik a nem engedélyezett vagy csalárd fizetési műveletek észlelését;
  • a biztonsági intézkedések rendszeres időközönként tesztelésre, értékelésre és ellenőrzésre kerülnek;
  • a pénzforgalmi szolgáltató a rendszerrel kezdeményezett fizetési műveletek minden típusa esetében legalább negyedévente rögzíti és megfigyeli a következő adatokat, távoli és nem távoli fizetési műveletek szerinti bontásban:
    • az (EU) 2015/2366 irányelv 64. cikkének (2) bekezdésével összhangban a nem engedélyezett vagy csalárd fizetési műveletek összértékét, az összes fizetési művelet összértékét és az ezekből következő csalási arányt kezdeményezett fizetési műveletek szerinti bontásban
    • az átlagos műveleti értéket a kezdeményezett fizetési műveletek szerinti bontásban
    • a kezdeményezett fizetési műveletek számát, valamint a fizetési műveletek teljes számához viszonyított százalékos arányt
  • a rendszerrel kezdeményezett minden művelet típushoz kapcsolódóan a csalási arányok az SCAr. mellékletében meghatározott táblázatban az ugyanazon fizetésiművelet-típusra vonatkozóan feltüntetett referencia csalási aránnyal egyenlők, vagy annál alacsonyabbak;
  • a hitelesítés minden szakaszában biztosítják a szolgáltatást igénybe vevő személyes hitelesítési adatainak bizalmasságát és integritását az SCAr. 22. cikkében előírtaknak megfelelően;
  • biztosítják, hogy a személyes hitelesítési adatok előállítása biztonságos környezetben történik;
  • mérsékelik a személyes hitelesítési adatok és a hitelesítési eszközök és szoftverek jogosulatlan használatának kockázatát a fizető félnek való kézbesítésük előtti elvesztésük, ellopásuk, vagy lemásolásuk esetén;
  • biztosítják, hogy kizárólag a pénzforgalmi szolgáltatás igénybe vevőjét társítják – biztonságos módon – a személyes hitelesítési adatokkal, a hitelesítési eszközökkel és szoftverekkel. Ennek során biztosítják, hogy az SCAr. 24. cikk (2) bekezdése szerinti követelmények mindegyike teljesül;
  • a hitelesítési adatok, hitelesítési eszközök és szoftverek kézbesítése az SCAr. 25. cikkében előírtaknak megfelelően történik ;
  • biztosítják, hogy a személyes hitelesítési adatok megújítása vagy újbóli aktiválása a hitelesítési adatok és a hitelesítési eszközök előállítására, társítására és kézbesítésére vonatkozó eljárások szerint történjen;
  • biztosítják, hogy a személyes hitelesítési adatok, hitelesítési eszközök és szoftverek megsemmisítése, deaktiválása és visszavonása az SCAr. 27. cikkében előírtaknak megfelelően történik;
  • biztosítják az SCAr. 29. cikke szerinti visszakereshetőséget;
  • a kommunikációs munkamenetek biztonsága egyenértékű az SCAr. 35. cikkében előírtakkal.
 2019.02.28
D/28 Mikortól, kinek és hogyan kell biztosítania az interfész dokumentációk nyilvánosságra hozatalát?  Az SCAr. 38. cikk (3) bekezdése alapján az SCAr. 30. cikk (3) és (5) bekezdését 2019. március 14-től alkalmazni kell, így ezen időponttól – illetve ha a hozzáférési interfész piaci megjelenésének 2019. szeptember 14-ét követő, akkor annak céldátuma előtt 6 hónappal – a számlavezető pénzforgalmi szolgáltatóknak biztosítaniuk kell, hogy az interfész dokumentációjuk díjmentesen rendelkezésre álljon az engedélyezett/bejelentett fizetés-kezdeményezési, számlainformációs és a kártyaalapú készpénz-helyettesítő fizetési eszközt – ide nem értve az elektronikuspénzt – kibocsátó pénzforgalmi szolgáltatók számára, valamint azt, hogy a dokumentáció összefoglalója nyilvánosan elérhető legyen a weboldalukon. Továbbá az említett határidők szerint a számlavezető pénzforgalmi szolgáltatóknak biztosítaniuk kell az interfész kapcsolat és a működés tesztelése céljából támogatással együtt egy tesztelési eszközt, annak érdekében, hogy a fizetés-kezdeményezési, számlainformációs és kártyaalapú készpénz-helyettesítő fizetési eszközt – ide nem értve az elektronikuspénzt – kibocsátó pénzforgalmi szolgáltatók tesztelni tudják a pénzforgalmi szolgáltatás felhasználóknak történő nyújtásához használt szoftvereiket és alkalmazásaikat. 2019.02.28
D/29 Megvalósul-e a Pft. 55/C. § (2) bekezdésében említett, és az SCAr. 5. cikkében részletezett dinamikus összekapcsolással kapcsolatos előírás akkor, amikor a fizető fél kötegelten nyújtja be a fizetési megbízásait, továbbá a fizető fél pénzforgalmi szolgáltatója a dinamikus összekapcsolást a fizetési műveletek összesített összege, illetve a kedvezményezettek vonatkozásában hajtja végre? Az SCAr. 5. cikk (3) bekezdésének b) pontja szerint az olyan fizetési műveletek kapcsán, amelyek esetében a fizető fél jóváhagyta az elektronikus távoli fizetési műveletek egy csoportjának egy vagy több kedvezményezett részére történő végrehajtását, a hitelesítési kódnak egyedinek kell lennie a fizetési műveletek csoportjának teljes összege és a meghatározott kedvezményezettek vonatkozásában. A Pft. által előírt dinamikus összekapcsolás célja, hogy a fizetési művelet legfontosabb elemei (kedvezményezett és a fizetési művelet összege) ne változhassanak meg a fizető fél és a pénzforgalmi szolgáltatója közti adatátvitel során anélkül, hogy azt a fizető fél pénzforgalmi szolgáltatója észlelné, vagyis az ún. közbeékelődéses támadások (man-in-the-middle attack) ellen kíván védelmet nyújtani.
Mindezek nyomán figyelemmel az SCAr. 5. cikk (3) bekezdés b) pontjára álláspontunk szerint a fizető fél pénzforgalmi szolgáltatójának lehetősége van arra, hogy a dinamikus összekapcsolódást kötegelt fizetési megbízások esetében a fizetési műveletek összesített összege és a kedvezményezettek vonatkozásában hajtsa végre, így több egyedi hitelesítési kód helyett, egyetlen hitelesítési kód kerüljön alkalmazásra.
Megjegyezzük azonban, hogy az SCAr. által elvárt dinamikus összekapcsolás megfelelőssége nagymértékben függ a konkrét technológiai megvalósítástól. Felhívjuk továbbá a figyelmet az SCAr. III. fejezetében foglalt erős ügyfél-hitelesítés alóli kivételek alkalmazhatóságára.		 2019.02.28
D/30 Az SCAr. 4. cikk (3) bekezdésének b) pontja szerint azon sikertelen hitelesítési kísérletek száma, amelyek egymást követhetik, és amelyeket követően az (EU) 2015/2366 irányelv 97. cikkének (1) bekezdésében említett műveleteket ideiglenesen vagy tartósan le kell tiltani, egy adott időtartamon belül nem haladhatja meg az ötöt. Letiltás szempontjából a sikertelen hitelesítési kísérletek számának számítása a kapcsolódó fizetési művelet benyújtási csatornájára vagy együttesen minden benyújtási csatornára értendő?  Az SCAr. 4. cikk (3) bekezdése alapján a  pénzforgalmi szolgáltatók biztosítják, hogy a hitelesítési kód generálásával történő hitelesítés magában foglalja a következő intézkedések mindegyikét:
a) amennyiben a távoli hozzáférés, elektronikus távoli fizetések és fizetéssel kapcsolatos csalásokra vagy más visszaélésekre esetleg módot adó, távoli csatornán keresztüli egyéb műveletek céljából történő hitelesítés során nem sikerült hitelesítési kódot generálni az (1) bekezdés alkalmazásában, nem lehetséges azonosítani, hogy az adott bekezdésben említett elemek melyike volt helytelen;
b) azon sikertelen hitelesítési kísérletek száma, amelyek egymást követhetik, és amelyeket követően az (EU) 2015/2366 irányelv 97. cikkének (1) bekezdésében említett műveleteket ideiglenesen vagy tartósan le kell tiltani, egy adott időtartamon belül nem haladhatja meg az ötöt;
c) a kommunikációs munkamenetek védettek a hitelesítés során továbbított hitelesítési adatok elfogásával szemben és a jogosulatlan felek általi manipulációval szemben az V. fejezet követelményeivel összhangban;
d) az a maximális idő, amelyet a fizető fél a fizetési számlájához való online hozzáférés céljából történt hitelesítése után tétlenül eltölthet, nem haladhatja meg az öt percet.
(4) Amennyiben a (3) bekezdés b) pontjában említett letiltás ideiglenes, a letiltás időtartamát és az újbóli próbálkozások számát a fizető félnek nyújtott szolgáltatás jellemzői és a kapcsolódó összes releváns kockázat alapján kell megállapítani, figyelembe véve legalább a 2. cikk (2) bekezdésében említett tényezőket.
Álláspontunk szerint mivel az SCAr. 4. cikk (3) bekezdésének b) pontja azt nem írja elő, hogy az eltérő benyújtási csatornákon belüli egymást követő sikertelen hitelesítési kísérleteket csatornánként vagy együttesen kell-e figyelembe venni, továbbá hogy a tiltásokat egy, több vagy az összes benyújtási csatornára együttesen kell-e érvényesíteni, a számítás módjáról a pénzforgalmi szolgáltatók a fizető félnek nyújtott szolgáltatás jellemzői, az alkalmazott hitelesítési elemek és folyamat továbbá a kapcsolódó összes releváns kockázat alapján szabadon dönthetnek, figyelembe véve legalább az SCAr. 2. cikk (2) bekezdésében említett tényezőket.		 2019.06.06
D/31 Az SCAr. 11. cikk alapján, az értékesítés helyén történő érintéses elektronikus fizetési műveletek esetében, a kumulált limit vizsgálatakor, a számlavezető pénzforgalmi szolgáltató választhat, hogy az SCAr. 11. cikk a) pontjában foglaltak figyelembe vétele mellett, azaz az erős ügyfél-hitelesítés alóli mentesség az utolsó erős ügyfél-hitelesítés alkalmazása óta teljesített fizetési műveletek esetében a tranzakciók darabszámát vagy összegét veszi figyelembe? A kumulált limit(ek) meghatározásakor a pénzforgalmi szolgáltató választhat, hogy az értékesítés helyén történő érintéses elektronikus fizetési művelet esetében az SCAr. 11. cikk b) vagy az SCAr. 11. cikk c) pontjában foglaltakat veszi alapul, az SCAr. 11. cikk a) pontjában foglaltak figyelembe vétele mellett, azaz az erős ügyfél-hitelesítés alóli mentesség az utolsó erős ügyfél-hitelesítés alkalmazása óta teljesített fizetési műveletek tranzakciók darabszáma vagy az összege alapján kerül figyelembe vételre. 2019.07.30
D/32 Az SCAr. 11. és 16. cikkei által előírt euro értékek forintosítására vonatkozóan van kötelezően alkalmazandó jogszabály?  Az SCAr. által előírt euro érték forintosításának árfolyamára vonatkozóan nincs kötelezően alkalmazandó jogszabály. Javasoljuk a devizaátváltási árfolyam esetében az MNB hivatalos, naponta fixált és publikált devizaárfolyamát alapul venni. 2019.07.30
D/33 Köteles-e a pénzforgalmi szolgáltató erős ügyfélhitelesítést alkalmazni a fizetési művelet teljesítése során abban az esetben is, amennyiben a fizető fél EGT-államon kívüli kedvezményezett útján kezdeményezte a fizetési megbízást? E kérdésben a PSD2 és ennek rendelkezéseit a magyar jogrendbe átültető Pft. hatályra vonatkozó rendelkezései az irányadók. A PSD2 2. cikk (4) bekezdése alapján a PSD2 III. és IV. fejezetében foglalt rendelkezéseket – az ott felsorolt jogszabályhelyek kivételével – alkalmazni kell bármely pénznemben lebonyolított fizetési művelet esetében akkor is, ha csak az egyik pénzforgalmi szolgáltató székhelye található az EGT-államon belül, a fizetési művelet EGT-államban lebonyolódó része vonatkozásában. A PSD2 erős-ügyfélhitelesítési kötelezettséget meghatározó 97. cikke nem került felsorolásra a kivételek között, ennek megfelelően a fizető fél EGT-államban működő pénzforgalmi szolgáltatójának alkalmaznia kell az erős ügyfél-hitelesítést a 97. cikkel összhangban akkor is, ha a kedvezményezett pénzforgalmi szolgáltatójának székhelye EGT-államon kívüli. A PSD2 hivatkozott előírásával összhangban a Pft. 1. § (1) bekezdése alapján a Pft. szabályait – így az erős ügyfél-hitelesítésre vonatkozó 55/C. §-át is – a Magyarország területén nyújtott pénzforgalmi szolgáltatásokra kell alkalmazni. Mindezek alapján tehát, amennyiben a pénzforgalmi szolgáltató EGT-államban vezeti a fizető fél fizetési számláját, úgy alkalmaznia kell a PSD2-t az adott tagállamban átültető jogszabályt, és a PSD2-höz kapcsolódó, közvetlenül hatályos uniós jogi aktust is. Tehát ha a terhelendő fizetési számlát Magyarországon vezetik, akkor a magyar jogszabályok alapján a fizető fél pénzforgalmi szolgáltatójának a Pft. alapján, az SCAr. szerint kell erős ügyfél-hitelesítést alkalmaznia, mivel a fizető fél – függetlenül attól, hogy földrajzilag éppen hol tartózkodik - a Magyarországon vezetett fizetési számlájáról kezdeményezi a fizetési műveletet.

Ugyanakkor elfogadjuk az SCAr. értelmezéséről szóló 2018. június 13-ai, EBA-Op-2018-04. számú európai bankhatósági vélemény 32. pontjában foglalt azon EBA álláspontot, miszerint „As explained in the final report on the draft RTS published in February 2017, the EBA’s view, after discussing it with the European Commission, is that SCA applies to all payment transactions initiated by a payer, including to card payment transactions that are initiated through the payee within the EEA and apply only on a best-effort basis for cross-border transactions with one leg out of the EEA. In such a case, the liability regime stated by Article 74(2) PSD2 applies.” Mindez véleményünk szerint azt jelenti, hogy az EBA fentiekben idézett értelmezéssel összhangban, az összes, a fizető fél által kezdeményezett fizetési műveletre erős-ügyfélhitelesítést kell alkalmazni, ideértve azon eseteket is, amikor a készpénz-helyettesítő fizetési eszközzel adott fizetési műveletet a fizető fél a kedvezményezett útján EGT-államban kezdeményezte. Mindazonáltal, abban az esetben, ha a kedvezményezett pénzforgalmi szolgáltatójának székhelye nem EGT-államban található, az EGT-államban fizetési számlát vezető pénzforgalmi szolgáltató csak akkor köteles erős-ügyfélhitelesítést alkalmazni, amennyiben ez az adott körülmények figyelembevétele mellett tőle elvárható. Tehát a felügyelet az iparági gyakorlat figyelembevételével egyedileg mérlegeli, hogy indokolt volt-e, ha a fizetési számlát vezető pénzforgalmi szolgáltató nem alkalmazott erős-ügyfélhitelesítést a fizető fél által az EGT-államon kívüli kezdeményezett útján kezdeményezett fizetési művelet teljesítése során. Felhívjuk ugyanakkor a figyelmet, hogy ha a pénzforgalmi szolgáltató nem alkalmaz erős-ügyfélhitelesítést ezen fizetési műveleteknél, ebben az esetben a PSD2 74. cikk (2) bekezdése alkalmazandó, mely szerint „Amennyiben a fizető fél pénzforgalmi szolgáltatója nem ír elő erős ügyfél-hitelesítést, a fizető fél nem visel semmi fajta veszteséget, kivéve, ha csalárd módon járt el.” A PSD2 fentiekben hivatkozott rendelkezése a Pft. 45. § (2) bekezdés c) pontjában („Nem terheli az (1) bekezdésben meghatározott felelősség a fizető felet, ha a pénzforgalmi szolgáltató nem ír elő erős ügyfél-hitelesítést.”) került átültetésre.		 2019.07.30
D/34 Elfogadható-e fizetési kártyával történő fizetés során a terminál által kinyomtatódott bizonylaton („slip”-en) az ügyfél általi aláírás valamilyen a Pft. 2. § 4a. pontjában meghatározott erős ügyfél-hitelesítési elemként?

A fizetési kártya birtokos saját kezű aláírása véleményünk szerint önmagában ugyan a Pft. 2. § 4a. pont c) alpontjában meghatározott biológiai tulajdonságnak minősülhet (így pl. az aláírás nyomáserősség, sebesség vonalvezetési dinamikát és jellemzőket is magába foglalja). Azonban, tekintettel arra, hogy - ujjlenyomattal mint biológiai tulajdonsággal ellentétben - az ügyfelek saját kezű aláírása minden egyes aláírás alkalmával különböző. Ezért álláspontunk szerint a pénzforgalmi szolgáltató nem képes a Pft. 2. § 11. pontjában meghatározott hitelesítést végrehajtani, mivel megfelelő aláírásminta, illetve írásszakértői szaktudás hiányában a pénzforgalmi szolgáltó (illetve a pénzforgalmi szolgáltató megbízásából a kereskedő), álláspontunk szerint nem tudja azonosítani a ügyfele kilétét.

Tekintettel arra, hogy a fizetési kártyák hátoldalán megtalálható a kártyabirtokos aláírása is, így álláspontunk szerint az ügyfél aláírása nem felel meg a Pft. 2. § 4a. pont a) alpontja szerinti ismeret, azaz csak az ügyfél által ismert információ kategóriának sem, mivel potenciálisan nem csak az ügyfél ismerheti azt meg, hanem bárki. Így tehát a fizetési kártya hátoldalára felírt aláírás nem felel meg az SCAr. 6. cikk (1) bekezdésében foglalt előírásnak, amely szerint a tudás kategóriájába sorolható elemek nem fedhetőek fel jogosulatlan felek előtt.

Az előzőekben kifejtettek miatt a terminálon kinyomtatott bizonylaton („slip”-en) történő ügyfél aláírás nem tekinthető Pft.-nek megfelelő hitelesítési elemnek, az nem sorolható be a Pft. 2. § 4a. pont egyik kategóriájába sem.

 2020.03.24
D/35 Mobiltelefonok esetében alkalmazott ún. képernyőzár feloldási alakzat elfogadható-e a Pft. 2. § 4a. pontjában meghatározott erős ügyfél-hitelesítés egyik kategóriájaként? Összhangban az Európai Bankhatóság EBA-Op-2019-06 számon kiadott véleményével, az ún. képernyőzár feloldási alakzat egyedi, a Pft. 2. § 4a. pont c) alpontjában meghatározott biológiai tulajdonságként nem, azonban a Pft. 2. § 4a. pont a) alpont szerinti ismeret alapú kategóriaként véleményünk elfogadható. Felhívjuk azonban a figyelmet, hogy a jelszavakhoz hasonlóan, a képernyőzár feloldási alakzatoknak is megfelelő erősségűnek és bonyolultságúnak kell lenniük, továbbá az SCAr. 6. cikkének (1) és (2) bekezdéseiben, valamint az SCAr. 9. cikkében előírt követelményeknek is teljesülniük kell, ahhoz, hogy megfeleljen hitelesítési elemnek.   2020.03.24
Módosítva:
2024.04.17.
D/36 Mikor kell erős ügyfél-hitelesítést alkalmaznia a pénzforgalmi szolgáltatónak, ha számlainformációs szolgáltatón keresztül fél hozzá az ügyfél a fizetési számlájához?

A Pft. 55/C. § (1) bekezdés a) alapján véleményünk szerint az ügyfél fizetési számláját vezető pénzforgalmi szolgáltatónak minden egyes fizetési számlához történő hozzáférés esetében erős ügyfél-hitelesítést kell alkalmaznia, függetlenül attól, hogy az ügyfél közvetlenül a számlavezető által biztosított megoldáson keresztül fér hozzá a fizetési számlához (pl. internetbankon vagy mobilbankon), vagy számlainformációs szolgáltatón keresztül. A Pft. 55/C. § (1) bekezdése szövegének jogértelmezéséből az következik, hogy „a pénzforgalmi szolgáltatónak” kell erős ügyfél-hitelesítést alkalmaznia, vagyis bármely pénzforgalmi szolgáltatónak, amely az ügyféltől hozzáférésre vonatkozó megbízást fogad el. Véleményünk szerint ezért került kodifikálásra a Pft. 55/C. § (6) bekezdése, amely lehetőséget ad a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatónak, hogy az a számlavezető által lebonyolított erős ügyfél-hitelesítésre hagyatkozzon, vagyis mentesül az alól a követelmény alól, hogy saját maga is elvégezze az ügyfele erős ügyfél-hitelesítését. Mindezek alapján tehát a főszabály szerint a számlavezető pénzforgalmi szolgáltató bonyolítja le az ügyfél erős ügyfél-hitelesítését, minden egyes alkalommal, amikor az ügyfél hozzáfér a fizetési számlájához. Ugyanakkor az SCAr. kimerítő felsorlást ad arra vonatkozóan, hogy mely esetekben mellőzhető az erős ügyfél-hitelesítés. Tekintettel a Pft. felelősségi szabályaira, így különösen a Pft. 44. § és 45. §-ra, a számlavezető jogosult végérvényesen eldönteni, hogy alkalmaz-e erős ügyfél-hitelesítést, avagy valamely kivételi szabállyal él. Számlainformációs szolgáltatások esetében az SCAr. 10. cikkében foglalt kivételi szabály alkalmazására kerülhet sor. Azonban figyelemmel a Pft. 38/C. § (4) bekezdés b) pontjára, ha a számlavezető kivételi szabályt alkalmaz a számlavezetőhöz történő közvetlen belépés esetében (pl. amikor az ügyfél az internet-bankon vagy mobilbankon keresztül fér hozzá az adatokhoz), akkor a számlainformációs szolgáltatás keretében történő belépés esetében is alkalmaznia kell az SCAr.-ben meghatározott kivételi szabályt. Tehát a számlavezető nem diszkriminálhatja a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatón keresztüli adathozzáférést.

A számlainformációs szolgáltatáshoz kapcsolódó adathozzáférésekre az SCAr. 36. cikk (5) bekezdése ad előírásokat. Figyelemmel az erős ügyfél-hitelesítéshez kapcsolódó fentiekben ismertetett véleményünkre, valamint az SCAr. 36. cikk (5) bekezdésére, számlainformációs szolgáltatás igénybevétele esetében az alábbiak szerint bonyolódhat le az erős ügyfél-hitelesítés:

  • Az SCAr. 36. cikk (5) bekezdés a) pont alapján a számlainformációs szolgáltató hozzáfér az ügyfél fizetési számlájához, ha az ügyfél azt aktívan kéri. A fentiek alapján minden egyes az ügyfél által aktívan kért számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatón keresztüli adathozzáférés esetében a Pft. 55/C. § (1) bekezdés a) pont alapján, valamint a Pft. 55/C. § (6) bekezdésére tekintettel a számlavezető pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz. Azonban számlavezető – a saját kockázatkezelése és üzletpolitikája alapján - dönthet úgy, hogy az SCAr. 10. cikkében meghatározott kivételi szabályt alkalmazza. Fontos azonban kiemelni, hogy a Pft. 38/C. § (4) bekezdés b) pont alapján a számlavezető pénzforgalmi szolgáltató abban az esetben, ha a hozzá történő direkt adathozzáférés esetében alkalmazza az SCAr. 10. cikk szerinti kivételi szabályt, úgy a számlainformációs szolgáltatás igénybevételével történő adathozzáférés esetében is alkalmaznia kell.
  • Az SCAr. 36. cikk (5) bekezdés b) pont szerint a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgálató az ügyfél aktív kérése nélkül is hozzáférhet az ügyfél fizetési számlájához, amennyiben az ügyfél ehhez megfelelően hozzájárult. Ebben az esetben egy 24 órás időszakon belül maximum 4 alkalommal, kivéve, ha a számlavezető és a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató ettől eltérően meg nem állapodnak, valamint az ügyfél ehhez hozzájárul. Álláspontunk szerint, minden egyes, az ügyfél aktív kérése nélküli számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató általi adathozzáférés esetében – figyelemmel az erős ügyfél-hitelesítés kapcsán a fentiekben kifejtettekre – a számlavezető pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz. A számlavezetőnek természetesen ebben az esetben is joga van az SCAr. 10. cikk szerinti kivételt alkalmazni, azzal, hogy tekintettel kell lennie a 38/C. § (4) bekezdés b) pont szerinti hátrányos megkülönböztetésre vonatkozó tilalomra.

A fentiekben ismertetett értelmezés az Opinion of the European Banking Authority on obstacles under Article 32(3) of the RTS on SCA and CSC című 2020. június 4-i EBA/OP/2020/10 számú Európai Bank Hatósági vélemény 90 days re-authentication című fejezetén alapul.

 2020.06.10.
D/37  Az SCAr. 34. cikk (1) bekezdése alapján, valamint a Pft. 39/A. § (1) bekezdésre figyelemmel, ha egy számlavezető pénzforgalmi szolgáltató nem enged hozzáférést egy fizetés-kezdeményezési vagy számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató számára az ügyfél fizetési számlájához, mert az nem szerepel az EBH vagy MNB regiszterben, akkor a számlavezető pénzforgalmi szolgálató jogszerűen megtagadhatja-e a fizetési számlához történő hozzáférést? 

Az SCAr. 34. cikk (1) bekezdése alapján „az SCAr. 30. cikk (1) bekezdésének a) pontjában említett azonosítás céljából a pénzforgalmi szolgáltatók a 910/2014/EU rendelet 3. cikkének 30. pontjában említett, az elektronikus bélyegző minősített tanúsítványára, vagy ugyanazon rendelet 3. cikkének 39. pontjában említett minősített weboldal-hitelesítő tanúsítványra hagyatkoznak”. Vagyis értelmezésünk szerint az SCAr. 34. cikk (1) bekezdése alapján a számlavezető pénzforgalmi szolgáltatónak nem kötelező a hozzáférés engedélyezésekor a tagállami, vagy az EBH által működtetett nyilvántartásban ellenőrizni a hozzáférés kérő fizetés-kezdeményezési vagy számlainformációs pénzforgalmi szolgáltatót. Azonban, ha a számlavezető pénzforgalmi szolgáltató önkéntesen mégis megteszi ezt, és nem találja a megfelelő listában a hozzáférést kérő pénzforgalmi szolgáltatót, és ennek következtében megtiltja a hozzáférést a fizetési számlához, akkor véleményünk szerint a Pft. 39/A. § (1) bekezdésében foglaltaknak megfelelően jár el. Így tehát álláspontunk szerint ez az eset a Pft. 39/A. § (1) bekezdése szerinti jóvá nem hagyott vagy csalárd módon történő hozzáféréssel összefüggő, objektíven indokolható és kellően bizonyított oknak minősül, függetlenül attól, hogy mi a valós oka annak, hogy az adott szolgáltató nincs a listában. Így például, ha a lista technikai ok miatt elérhetetlenné válik, akkor is jogosult a számlavezető a hozzáférés megtagadására. Az MNB jó gyakorlatnak tartja, ha a számlavezető pénzforgalmi szolgáltató ellenőrzi a fizetés-kezdeményezési és számlainformációs szolgáltatókat az EBH által működtetett vagy a tagállami nyilvántartásokban.

Természetesen mindezektől függetlenül a Pft 39/A. § többi előírásának történő megfelelés is elvárt, vagyis a 39/A. § (2) és (5) bekezdésekben említett tájékoztatási kötelezettség, és a 39/A. § (4) bekezdésben meghatározott haladéktalan helyreállítási kötelezettség.

 2020.06.10.
D/38  Milyen indokkal tagadhatja meg a számlavezető pénzforgalmi szolgáltató a fizetés-kezdeményezési vagy számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató számára a hozzáférést az ügyfele fizetési számláihoz?

A Pft. 39/A. § (1) bekezdése alapján a számlavezető pénzforgalmi szolgáltató csak a fizetési számlához a számlainformációs pénzforgalmi szolgáltató, illetve a fizetés-kezdeményezési pénzforgalmi szolgáltató általi jóvá nem hagyott vagy csalárd módon történő hozzáféréssel összefüggő objektíven indokolható és kellően bizonyított okok alapján - ideértve a jóvá nem hagyott fizetési műveletek kezdeményezését vagy a fizetési műveletek csalárd módon történő kezdeményezését - tagadhatja meg az a fizetési számlához történő hozzáférést a fizetés-kezdeményezési szolgáltatást nyújtó pénzforgalmi szolgáltatóktól, valamint a számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatóktól.

A Pft. 39/A. § (2) bekezdése szerint a Pft. 39/A. § (1) bekezdésében meghatározott esetben a fizetési számlát vezető pénzforgalmi szolgáltató lehetőség szerint a hozzáférés megtagadását megelőzően, de legkésőbb a hozzáférés megtagadását követően haladéktalanul a keretszerződésben meghatározott módon tájékoztatja az ügyfelet a hozzáférés megtagadásáról és annak okairól, kivéve, ha a Pft. 39/A. § (3) bekezdésére tekintettel objektíven indokolt biztonsági okokból nem helyénvaló a tájékoztatás, vagy ha a tájékoztatási kötelezettség teljesítését jogszabály tiltja. Mindezeken túlmenően a Pft. 39/A. § (5) bekezdése szerint a hozzáférés megtagadása esetén a fizetési számlát vezető pénzforgalmi szolgáltató haladéktalanul tájékoztatja az MNB-t a hozzáférés megtagadásáról, az eset releváns részleteiről és a megtagadás indokairól. Továbbá a Pft. 39/A. § (4) bekezdés előírásai alapján a hozzáférés megtagadása okának megszűnését követően a fizetési számlát vezető pénzforgalmi szolgáltató ismételten biztosítja a hozzáférést.

A Pft. 38/B. § (4) bekezdés a) pontja, valamint a 38/C. § (4) bekezdés a) pontja alapján a számlavezető pénzforgalmi szolgáltatónak minden esetben biztonságos adatátviteli kapcsolatban kell állnia a fizetés-kezdeményezési, valamint számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatókkal.

A Pft. fentiekben ismertetett értelmezésére tekintettel a számlavezető pénzforgalmi szolgáltató kizárólag a Pft. 39/A. § (1) bekezdésében meghatározott indokok alapján tagadhatja meg a fizetés-kezdeményezési és számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltatók a Pft. 38/B. § (4) bekezdés a) pont, valamint a 38/C. § (4) bekezdés a) pontnak megfelelő kapcsolaton keresztüli hozzáférését a fizetési számlákhoz. Vagyis kizárólag abban az esetben, ha

a)  fizetés-kezdeményezési vagy számlainformációs szolgálttatást nyújtó pénzforgalmi szolgáltató általi a hozzáférés,

b) a hozzáférés során

I) jóvá nem hagyott fizetési művelet kezdeményezése vagy teljesítése történik,

II) vagy a fizetési művelet kezdeményezése vagy teljesítése csalárd módon történik,

c) objektíven indokolható és

d) kellően bizonyított.

Álláspontunk szerint a Pft. fentiekben ismertetett feltételrendszerbe foglalt (i. és ii. alpontokkal jelölt) oklistája taxatív felsorolás, vagyis önkényesen a számlavezető pénzforgalmi szolgáltató által nem bővíthető. Így tehát a Pft. feltételként határozza meg, hogy mind az i., mind a ii. alpontok esetében kizárólag objektíven indokolható és kellően bizonyított okok adhatnak alapot arra, hogy a Pft. 39/A. § (1) bekezdése alapján a számlavezető pénzforgalmi szolgáltató megtagadja a fizetés-kezdeményezési és számlainformációs szolgáltatást nyújtó pénzforgalmi szolgáltató általi hozzáférést a fizetési számlához. Objektíven indokoltható és kellően bizonyított oknak minősül pl. a D/37. pontban ismertetett eset.

Ugyan a Pft. kimerítő felsorolást ad a hozzáférés megtagadásainak indokairól, ugyanakkor véleményünk szerint, ha a számlavezető pénzforgalmi szolgáltató egy másik jogszabályban (pl. GDPR, Pmt., stb.) foglalt előírások érvényesülése céljából korlátozza a fizetés-kezdeményezési vagy számlaiformációs szolgáltatást nyújtó pénzforgalmi szolgáltatók hozzáférését, úgy azt jogszerűen teszi.

Felhívjuk ugyanakkor a figyelmet, hogy a hozzáférés megtagadása esetén – függetlenül attól, hogy a Pft. 39/A. § (1) bekezdésében meghatározott oklista, vagy egyéb, nem pénzforgalmi jogszabályi rendelkezés alapján teszi - a számlavezető pénzforgalmi szolgáltatónak a Pft. 39/A. § (2) – (5) bekezdéseiben foglaltak szerint kell eljárnia. Vagyis mind a számlavezetett ügyfeleket, mind pedig az MNB-t tájékoztatnia kell a hozzáférés megtagadásáról a P66 MNB azonosító kódú adatszolgáltatás formájában, továbbá, ha a hozzáférés megtagadásának az indoka már nem áll fenn, a hozzáférést haladéktalanul újra biztosítania szükséges.

 2020.06.10.
D/39 Ki és milyen módon kezdeményezheti az SCAr. 13. cikk szerinti megbízható kedvezményezetti lista összeállítását?

Az SCAr. 13. cikk (1) bekezdése előírja pénzforgalmi szolgáltatóknak, hogy erős ügyfél-hitelesítést alkalmazzanak, amikor a fizető fél a számlavezető pénzforgalmi szolgáltatóján keresztül a megbízható kedvezményezettek egy listáját összeállítja vagy módosítja. Továbbá az SCAr. 13. cikk (2) bekezdése lehetővé teszi a számlavezető pénzforgalmi szolgáltatóknak, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amennyiben megfelelnek az általános hitelesítési követelményeknek, ha a fizető fél fizetési műveletet kezdeményez és a kedvezményezett szerepel a fizető által előzőleg összeállított, megbízható kedvezményezettek listáján.

Álláspontunk szerint az SCAr. fentiekben ismertetett előírásai szerint kizárólag a Pft. 2. § 9. pont szerinti fizető fél dönthet arra vonatkozóan, hogy milyen kedvezményezetteket kíván megbízhatóként megjelölni. Ugyanakkor az SCAr. 13. cikke nem részletezi a lista összeállításának módját, így véleményünk szerint több helyes megoldás is elképzelhető. Feltéve, ha ezen funkciók a fizető fél rendelkezése alapján véglegesen kikapcsolható, akkor megfelelő lehet például: ha a fizető fél a fizetési számláját vezető pénzforgalmi szolgáltatójának internetbank felületén manuálisan, saját maga veszi fel, vagy kiválaszthatja egy listából is az általa megbízhatónak vélt kedvezményezetteket. Ez utóbbi esetében véleményünk szerint ügyfélbarát megoldás lehet a számlavezető pénzforgalmi szolgáltató által felkínált szolgáltatók, vagy a korábban teljesült fizetési műveletekhez kapcsolódó kedvezményezettek listája is, amennyiben lehetősége van a fizető félnek a listán még nem szereplő további kedvezményezett felvételére is. Szintén ügyfélbarát megoldás lehet például, amennyiben a fizető fél a fizetési kártyájával online vásárlást kezdeményez, amelynek során a legelső fizetési megbízás során alkalmazásra kerül az erős ügyfél-hitelesítés, majd ezt követően automatikusan felajánlják a fizető félnek, hogy felvegye a megbízható kedvezményezettek közé.

 2022.02.11.
D/40 A D/39. választ figyelembe véve, az SCAr. 13. cikke alapján ki és milyen módon kezdeményezheti a megbízható kedvezményezetti listáról való lekerülést?

Álláspontunk figyelemmel az SCAr. 13. cikkében foglalt előírásokra kizárólag a fizető fél dönthet arra vonatkozóan, hogy mely kedvezményezettet, vagy kedvezményezetteket nem kíván a továbbiakban megbízhatóként megjelölni. Megjegyezzük ugyanakkor, hogy amennyiben a pénzforgalmi szolgáltató a fizetési számla vagy a végrehajtandó fizetési művelet kapcsán visszaéléssel kapcsolatos információ birtokába jut, hogy, akkor ennek tényét jelezheti a fizető fél számára, illetve eltekinthet az SCAr. 13. cikk (2) bekezdésben foglaltak alkalmazásától, vagyis megkövetelheti erős ügyfél-hitelesítés végrehajtását. Mindezeken túlmenően az MNBr.  9. §-a alapján visszautasíthatja a fizetési művelet végrehajtását.

 2022.02.11.