2023. január 31.
Az Európai Bankhatóság (EBA) három, kérdéseket és válaszokat tartalmazó dokumentumot tett közzé, amelyek az EBA által korábban kiadott három másik e témában kiadott dokumentummal együtt átfogóan tisztázzák a pénzforgalmi szolgáltatásokról szóló irányelv (PSD2) szerinti erős ügyfél-hitelesítés (SCA) alkalmazását az elektronikus pénztárcákra vonatkozóan. E sajtóközlemény összefoglalja ezeket a kérdéseket és válaszokat, abból a célból, hogy valamennyi piaci érdekelt fél egységesen értelmezze az alkalmazandó követelményeket.
A hat kérdést és választ tartalmazó dokumentum egyértelműsíti az erős ügyfél-hitelesítés alkalmazását a fizetési kártya elektronikus pénztárcába történő felvétele, valamint a fizetési műveletek a fizetési kártya elektronikus változataival történő kezdeményezése esetén. A dokumentumok pontosítják továbbá az erős ügyfél-hitelesítés alkalmazásának az elektronikuspénztárca-szolgáltatókhoz történő kiszervezésére vonatkozó követelményeit.
Az 5622. kérdésre adott válasz például a fizetési kártya elektronikus pénztárcába történő felvétele kapcsán egyértelműsíti, hogy a folyamat során a fizetési kártya token/elektronikus változata jön létre, ami a PSD2 97. cikke (1) bekezdésének c) pontja értelmében erős ügyfél-hitelesítés alkalmazását teszi szükségessé, mivel ez egy olyan művelet, amely csalás vagy egyéb visszaélések kockázatával járhat. Az erős ügyfél-hitelesítés alkalmazásával a pénzforgalmi szolgáltató távolról ellenőrzi, hogy a pénzforgalmi szolgáltatás igénybe vevője a fizetési kártya jogos használója-e, és hozzárendeli a pénzforgalmi szolgáltatás igénybe vevőjét és a fizetési kártya elektronikus változatát az adott eszközhöz.
A 6141. kérdésre adott válasz korábban már tisztázta, hogy a fizetési kártyát kibocsátó pénzforgalmi szolgáltató (a kibocsátó) köteles erős ügyfél-hitelesítést alkalmazni a fizetési kártya elektronikus pénztárcához történő hozzáadásakor, és felelős a megfelelő erős ügyfélhitelesítési elemek biztosításáért a pénzforgalmi szolgáltatás igénybe vevője számára. A kibocsátónak gondoskodnia kell arról is, hogy megfelelő biztonsági intézkedésekkel védje a pénzforgalmi szolgáltatást igénybe vevő személyes hitelesítési adatainak bizalmasságát és integritását.
A kiszervezéssel kapcsolatban a kérdések és válaszok általánosságban is egyértelművé teszik, hogy a kibocsátók az erős ügyfél-hitelesítés elemeinek biztosítását és ellenőrzését kiszervezhetik harmadik félnek (pl. a harmadik féllel kötött szerződéses megállapodások révén), például egy elektronikuspénztárca-szolgáltatónak, a kiszervezésre vonatkozó általános követelményekkel összhangban, beleértve a Kiszervezési megállapodásokról szóló EBA iránymutatásban foglalt követelményeket is. Az erős ügyfél-hitelesítés követelményeinek való megfelelés felelősségét azonban nem lehet kiszervezni, és a kibocsátók továbbra is teljes felelősséggel tartoznak a PSD2-ben és az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációra vonatkozó szabályozástechnikai standardokban (RTS) foglalt követelményeknek való megfelelésért.
Az elektronikus fizetési műveletek kezdeményezése tekintetében az 5622. kérdésre adott válasz világossá teszi, hogy a PSD2 97. cikk (1) bekezdés b) pontja értelmében a fizetési kártya elektronikus változatával történő tranzakciók kezdeményezése is megköveteli az erős ügyfél-hitelesítés alkalmazását, kivéve, ha az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációra vonatkozó szabályozástechnikai standardokban meghatározott, az erős ügyfél-hitelesítés alkalmazása alóli egyedi mentességek egyike érvényesül.
Végül a 6145. kérdésre adott válasz tisztázza, hogy a mobiltelefon biometrikus (pl. ujjlenyomat) vagy PIN-kóddal/jelszóval történő feloldása nem tekinthető érvényes erős ügyfélhitelesítési elemnek a fizetési kártya elektronikus pénztárcához való hozzáadása esetében, ha a mobileszköz képernyőzáró mechanizmusa nem egy olyan folyamat, amely a kibocsátó ellenőrzése alatt áll. A 6464. kérdésre adott válasz tovább pontosítja, hogy egy korábban már meglévő token helyébe lépő új token kibocsátása és eszközhöz/felhasználóhoz kötése esetén szintén szükséges az erős ügyfél-hitelesítés alkalmazása.
Jogalap és háttér
Az ebben a sajtóközleményben hivatkozott hat kérdést és választ tartalmazó dokumentum magában foglalja az EBA által korábban közzétett három dokumentumot (4047, 4827 és 6141), valamint három, olyan kérdéseket és válaszokat tartalmazó dokumentumot is, amelyeket az EBA most tett közzé (5622, 6145 és 6464).
A PSD2 97. cikkének (1) bekezdése kimondja, hogy „a pénzforgalmi szolgáltató erős ügyfél-hitelesítést alkalmaz, amikor a fizető fél a) online fér hozzá fizetési számlájához, b) elektronikus fizetési műveletet kezdeményez, c) bármely műveletet olyan távoli csatornán keresztül hajt végre, amely fizetéssel kapcsolatos csalásokra és más visszaélésekre adhat módot."
A Bizottság 2018/389/EU felhatalmazáson alapuló rendelet 24. cikk (1) bekezdése előírja, hogy „a pénzforgalmi szolgáltatók biztosítják a pénzforgalmi szolgáltatást igénybe vevő személyazonosságának a személyes hitelesítési adatokkal, hitelesítési eszközökkel és szoftverekkel való társítását”. Ugyanezen cikk (2) bekezdés b) pontja azzal folytatódik, hogy „a pénzforgalmi szolgáltatást igénybe vevő személyazonosságának a személyes hitelesítési adatokkal és a hitelesítési eszközökkel vagy szoftverekkel való, távoli csatornán keresztül történő társítását erős ügyfél-hitelesítés alkalmazásával végzik.”
Az 1093/2010/EU EBA-rendelet 16b. cikke előírja, hogy „[...] jogalkotási aktusok rendelkezéseinek [...], kapcsolódó felhatalmazáson alapuló és végrehajtási jogi aktusok rendelkezéseinek, valamint az ezen jogalkotási aktusok alapján elfogadott iránymutatásoknak és ajánlásoknak a gyakorlati alkalmazásával vagy végrehajtásával kapcsolatban bármely természetes vagy jogi személy – többek között hatáskörrel rendelkező hatóságok és uniós intézmények és szervek – az Unió bármely hivatalos nyelvén kérdést intézhet a Hatósághoz”.
LINKEK
Keresés a kérdések és válaszok között