2019. június 21., péntek
Az Európai Bankhatóság (EBA) ma tette közzé véleményét a pénzforgalmi szolgáltatásokról szóló módosított uniós irányelv (PSD2) alapján alkalmazandó követelményeket az erős ügyfél-hitelesítés (SCA) egyes elemeivel kapcsolatban. A vélemény válasz a piaci szereplőktől érkező folyamatos érdeklődésekre arra vonatkozóan, hogy az EBA véleménye szerint melyik hitelesítési eljárás felel meg az SCA követelményeinek. A vélemény foglalkozik a pénzforgalmi láncban érintett szereplőinek felkészültségével és a 2019 szeptember 14-től alkalmazandó SCA követelményeinek való megfelelőségével.
A ma megjelent vélemény tartalmazza a piacon jelenleg alkalmazott hitelesítési eljárások nem teljeskörű listáját is, megjelölve, hogy a jelenleg alkalmazott eljárások közül melyek felelnek meg az SCA követelményeinek. A vélemény külön foglalkozik az SCA három kategóriájával: az „ismeret”-tel, a „birtoklás”-sal és az egyén „biológiai tulajdonságai”-val (az ügyfél jellemzője), és magyarázattal szolgál a kategóriák kombinációját illetően is.
A vélemény szintén választ ad a piaci felkészültséggel kapcsolatos aggodalmakra, annak egyértelművé tételével, hogy az EBA nem halaszthatja el az uniós jog által meghatározott határidőt. A vélemény kifejti, hogy elegendő idő állt rendelkezésre ahhoz, hogy az iparág felkészüljön az SCA bevezetésére. Az SCA meghatározását a 2015-ben megjelent PSD2 tartalmazza, amely egyértelműen jelezte, a jelenlegi hitelesítési eljárások kivezetésének szükségességét, továbbá a PSD2 18 hónappal meg is hosszabbította az SCA bevezetésére vonatkozó türelmi időszakot.
A vélemény elismeri azonban az EU-n belül működő pénzforgalmi piacok összetettségét és a bevezetendő változásokból eredő kihívásokat, különösen az olyan szereplőkre való tekintettel, akik nem fizetési szolgáltatóként (PSP) tevékenykednek, és ezért közvetlenül nem tartoznak a PSD2 és az EBA technikai standardjai hatálya alá, például elektronikus kereskedéssel foglalkozó cégek. Mindez azt eredményezheti, hogy a pénzforgalmi lánc bizonyos szereplői nem lesznek képesek az SCA bevezetésére felkészülni 2019. szeptember 14-ig.
Az EBA ezért elismeri, hogy kivételes alapon és azzal a céllal, hogy elkerüljék az egyes pénzforgalmi szolgáltatásokat igénybe vevő ügyfeleket érintő, nem szándékolt, előnytelen következményeket 2019. szeptember 14. után, az NCA-k dönthetnek úgy, hogy együttműködnek a PSP-kel és az érdekelt felekkel, többek között a fogyasztókkal és a kereskedőkkel, további felkészülési időt biztosítva. Ez lehetővé teszi a kibocsátók számára, hogy olyan hitelezési eljárásra térjenek át, amelyek megfelelnek az SCA követelményeinek, például a jelen véleményben ismertetett eljárások valamelyikét alkalmazva. Az elfogadók pedig érdekeltté teszik a kereskedőket, hogy szintén olyan megoldásokat alkalmazzanak, amelyek megfelelnek az SCA követelményeinek.
A felügyeleti hatóságok rugalmassága csak abban az esetben várható el, ha a PSP-k rendelkeznek átállási tervvel, amelyet egyeztettek saját nemzeti hatóságukkal, és az abban foglaltak bevezetéséről gyorsított eljárásban gondoskodnak.
A PSD2 célkitűzéseinek megvalósítása érdekében, továbbá azért, hogy az EBA meg tudja valósítani az egységes alkalmazást az EU-n belül, az EBA még az idén közli azt a végleges határidőt ameddig a fentebb említett szereplőknek az átállási terveikben foglaltakat legkésőbb meg kell valósítaniuk.
Háttér
A pénzforgalmi szolgáltatásokról szóló módosított uniós irányelv 2015 novemberében jelent meg, 2016. január 13-án lépett hatályba és 2018. január 13. óta alkalmazandó. Az irányelv alapvetően alakítja át az EU pénzforgalmi piacát, különösen azzal, hogy előírja az SCA alkalmazását a pénzügyi szolgáltatóknak (PSP-k) távoli elektronikus tranzakciók lebonyolításakor.
Az SCA definíciója az irányelvben a következő: „hitelesítés legalább két olyan, az „ismeret” (csak a szolgáltatást igénybe vevő által ismert információ), „birtoklás” (csak a szolgáltatást igénybe vevő által birtokolt dolog) és „biológiai tulajdonság” (a szolgáltatást igénybe vevő jellemzője) kategóriába sorolható elem felhasználása alapján, melyek egymástól függetlenek annyiban, hogy az egyik feltörése nem befolyásolja a többi megbízhatóságát, és az eljárás kialakítása révén az azonosítási adatok bizalmassága biztosított”. Az irányelv előírja, hogy az SCA-t kell alkalmazni az elektronikus fizetések során, kivéve, ha mentesség alkalmazható.
Az EBA köteles szabályozástechnikai standardok (RTS) kialakításával támogatni az irányelvet. A standardok ismertetik az erős ügyfél-hitelesítés és a közös és biztonságos kommunikáció részleteit (SCA-ról és CSC-ről szóló RTS), kitérve a mentesség eseteire, az ügyfél fizetési számlaadatok elérhetőségének szabályozása érdekében olyan számlák esetében, amelyeket számlaszolgáltatással foglalkozó pénzforgalmi szolgáltatók vezetnek.
Az RTS kidolgozására 2015-2016-ban került sor, a konzultáció 2016-2017-ben folyt le, 2017. november 27-én elfogadták 2018/389 EU bizottsági felhatalmazáson alapuló (EU) rendeletként, 2018. március 13-án megjelent az Európai Unió Hivatalos Lapjában, és 2019. szeptember 14-től lesz hatályos. Az RTS szándékoltan tartózkodik az iparágban alkalmazott, adott hitelesítési módszer konkrét megvalósításának megemlítésétől, annak biztosítása érdekében, hogy az RTS technológiasemleges maradjon és megfeleljen a jövőbeli követelményeknek.
Kapcsolódó dokumentumok:
A PSD2 alapján bevezetendő Erős Ügyfél-hitelesítés egyes elemeivel kapcsolatos Vélemény
Kapcsolódó linkek:
Az erős ügyfélhitelesítéssel és biztonságos kommunikációval kapcsolatos szabályozástechnikai standardok a PSD2 értelmében
Pénzforgalmi szolgáltatások és elektronikus pénz