Menü

Eseménynaptár

06_ci_mlapon1.jpg
Forrás: ITB

Az innováció és a verseny elősegítése, felpörgetése, valamint a meglévő fogyasztói védelem növelése a pénzügyi szolgáltatások terén a PSD2 elsődleges célja. Általa az open banking jelenség kedvező változásokat hozhat magával, tanúi lehetünk annak, hogy a monetáris bankrendszer hogyan áll át egy modernizált, élhetőbb 21. századbeli fizetési megoldás felé. Jön az öt másodperces utalás.

Képzeljük el, hogy a repülőtérre már nem szükséges két órával előbb megérkeznünk, hanem elég mindössze tíz perccel a gép felszállása előtt odaérni. Mindössze tíz perc maradna a poggyász- és utasellenőrzésre. Ugye, hogy nem életszerű? Az izraeli légitársaságnál ez például kivitelezhetetlen intervallum, ugyanis minden egyes utast kockázatelemzés alá vetnek, és tulajdonképpen élőben profilozzák a még várakozó utasok között. Az átvizsgálásnak tehát vannak bizonyos fizikai korlátai. Ha az átvizsgálási idő összezsugorodik, a biztonsági kockázat növekszik.

Nos, a példa mindössze azt próbálja szemléltetni, hogy milyen biztonsági kockázatok merülnek fel, ha az EU-ban kialakított nyílt bankolási keretrendszer, a PSD2 direktíva szerint Magyarország a pénzforgalmi utalások végrehajtási idejét mindössze öt másodpercben határozza meg.

PSD2, a második pénzforgalmi irányelv

A 2007-ben elfogadott belső piaci pénzforgalmi szolgáltatásokról szóló jogi keret (PSD) elsőre jó iránynak tűnt, de állítólag gátolta az innovációt és az egységes európai piac létrejöttét. Ezért az Európai Bizottság kidolgozta a PSD2 irányelvet, amelyet 2016. január 12-én léptettek érvénybe és a magyar jogrendszerbe 2018. január 13-án ültettek át. Az EU 2015/2366 irányelvet, röviden csak PSD2-t (Payment Service Directive 2) a második pénzforgalmi irányelvként szokták emlegetni.

A PSD2 irányelv bevezetése az európai pénzügyi szektor működésében fontos mérföldkő, mivel a korábbiaktól eltérően kötelezi a számlavezető pénzintézeteket az általuk kezelt ügyfelek pénzügyi adatai átadására más pénzintézetek vagy pénzügyi szolgáltatók (fintech cégek) számára.

A direktíva egyik célkitűzése, hogy egyenlő versenyfeltételeket teremtsen és megnyissa a pénzforgalmi piacokat új szereplők előtt, s így alacsonyabb árat és nagyobb választékot kínáljanak a fogyasztók számára. Az új direktíva a fizetés-kezdeményezési szolgáltatásokról (PISP – payment initation service provider), a számlainformációs szolgáltatásokról (AISP – account information services provider) és a technikai szolgáltatókról is rendelkezik, ezenkívül megköveteli, hogy az egyes pénzforgalmi szolgáltatások végrehajtása előtt az adott szolgáltatásra vonatkozó feltételek (mint például végrehajtási idő, átváltási árfolyam, felhasználói díjak) az igénybe vevők számára szabadon elérhetők és átláthatók legyenek. Magyar sajátosságként a hazai pénzforgalmi utalások végrehajtási idejét öt másodpercben határozták meg 2019. július 1-től.

 

Még van „parafaktor”

A PSD2 bevezetésével 2018-tól Európában is kötelezővé vált a nyilvános alkalmazás-programozási interfész (API, Application Programming Interface). Az API-k szükségesek ahhoz, hogy külső szolgáltatók egyszerűen és biztonságosan hozzáférhessenek a pénzintézetek rendszereihez. A hazai pénzintézeti szektorban már több szereplő is megkezdte nyílt API-fejlesztését, de egyelőre még korlátozott a használatuk. Az okok között a magyar adatvédelmi szabályozást, a banktitok és a PSD2 által elvárt változások ütközését említik a szakemberek.

Keleti Arthur kibertitok jövőkutató, kiberbiztonsági szakértő szerint további biztonsági kérdések is felmerülnek, például az azonnali fizetés modellje kapcsán a pénzforgalmi szolgáltatók között rendelkezésre álló öt másodperces lebonyolítási idővel összefüggésben. „Parafaktor például az öt másodperc alatti csalásmegelőzés, azaz a fraud monitoring kezelése és a kockázatelemzés” – mondja a szakértő. Ugyanis a hagyományos banki rendszerekben rengeteg elemzést és ellenőrzést kell végrehajtani, ami nem csupán haszontalan ellenőrzés, hiszen többszintű kockázatelemzést jelent.

 

 

A bankbiztonsági szakemberek olyan megoldásokat keresnek, amelyek segítségével másodpercek töredéke alatt tudnak döntéseket hozni, például kockázatelemzési, csalásmegelőzési kérdésekben és protokollokban, és már az utalás megkezdése előtt rendelkezésükre áll egyfajta előkészített állapot. „A technológia valójában megvan, és hangolható a kockázatelemzés ideje, de az igazat megvallva, nem az öt másodperces tempóra vannak optimalizálva a rendszerek, emiatt is talán feleslegesnek tűnő kihívás elé állítottuk magunkat, mivel az ilyen rövid idejű műveletre eddig nem találtam megfelelő, életszerű példát – fogalmaz Keleti Arthur. – Ügyfélként örülök, hogy bármikor, bárhonnan és szupergyorsan intézhetem a banki ügyeimet, de biztonsági szakértőként azt mondom, maradjunk a kicsit konzervatívabb, de biztonságosabb ügymenetnél. Egyszóval, nem irigylem a biztonságért felelős kollégákat, akik azon küzdenek, hogyan oldják meg azt a fajta kettősséget, hogy villámgyors és szuperbiztonságos legyen az utalási folyamat. Szerintem, a mai állapot szerint nincs olyan tökéletes megoldás, amely mind a két oldalt kielégítené.”

Már eddig is elég szigorú elvárásoknak kellett megfelelniük a bankoknak, ezért ők lényegesen előrébb járnak kiberbiztonság területén is a többi iparághoz képest. A kérdés az, hogy amikor a bank átadja az általa kezelt adatokat a fintech cégeknek, vagy hozzáférést biztosít nekik a bank által kezelt információkhoz, azok mennyire veszik majd komolyan azt a felelősséget, amivel mindez jár. A PSD2-vel egy új játszótér nyílhat meg a kiberbűnözők előtt. Az állandó macska–egér küzdelem lényege pedig az, hogy az ellenfékek megfelelően működjenek.

Van, ahol már előrébb tartanak

Az Egyesült Királyságban a piacfelügyeleti és versenyhatóság már kötelezővé tette a kilenc legnagyobb brit bank számára, hogy a PSD2 által előírt adathozzáféréseken túl további adatbázisokhoz való hozzáférést biztosítsanak API-n keresztül az új piaci szereplőknek. Esetükben már kidolgozták a szükséges szabványokat, kialakították a kötelező adattartalmakat és formátumot.

A Berlin Group is megjelentette azt a keretrendszert, amely az API-k és az arra épülő szolgáltatások átjárhatóságát teremti meg.

Európában egyre több bank nyitja meg infrastruktúráját, kísérletezik új üzleti megközelítéssel, ilyen innovatív társaság például a hongkongi alapítású, londoni székhelyű HSBC Group is.

 

A modern bankrendszer anatómiája

Ha a szolgáltatók szempontjából vizsgáljuk meg a modern bankrendszer összetételét, további érdekes tényekkel szembesülhetünk. Meglepő elem például, hogy akár közösségi oldal is lehet pénzpiaci szereplő. Az PSD2 szerinti modell anatómiája ugyan nem sokat változott (PSP helyett most TPP-k: PISP, AISP és technikai szolgáltatók vannak), de fontos különbség, hogy újonnan érkező szereplők is beékelődhetnek az ügyfelek és a pénzintézetek közé. Új platformokat, applikációkat, vagy akár úgynevezett API aggregátori funkciókat (technikai szolgáltatók), pénzügyi menedzsment szolgáltatásokat, s akár új fizetési módokat is kínálhatnak.

Valójában már a PSD2 életbe lépése előtt is megjelentek ezek az innovatív szereplők (például Simple, PayPal, Transferwise, Wealthfront), melyek jóval rugalmasabb, online felületeket alkalmazó megoldásokkal szereztek piaci részesedést. A PSD2-nek köszönhetően tehát még nagyobb teret kapnak majd az innovatív startup vállalatok vagy a globális online cégek. Ezenkívül a pénzforgalmi piac jelentősebb szereplőjévé válhat a Facebook, a Google és az Apple is. A technológiai cégek mellett egyébként a kereskedelmi és szolgáltató láncok is kialakították saját fizetési megoldásukat (például a Starbucks vagy a Walmart), melyek szintén versenytársai lesznek majd a hagyományos banki szolgáltatásoknak.

Polereczki Andrea, az OTP Mobil IT-biztonsági vezetője szerint 2019-ben a pénzügyi szolgáltatói szegmens komoly kihívások elé néz. Ennek oka a kiélezett versenyhelyzet, mivel a pontos technológia paraméterek hiánya nagyban nehezíti a törvényi előírásoknak való megfelelést. „A magyar jogszabályrendszer aránylag korán implementálta az EU-s szabályozás törvényi előírásait, azonban azok kezelése a mindennapi életben még messze nem egységes, sem a szolgáltatói, sem a pénzpiac további szereplői oldaláról” – mondja a szakember. Technológiai oldalról nézve pedig végképp jelentős a lemaradás a szabályozáshoz képest, mivel jelenleg többféle sztenderd is létezik az API-kapcsolatok kialakítására.

Nagyban függ az adott pénzpiaci szereplő döntésétől, hogy melyik ajánlás alapján alakítja ki saját kapcsolatait vagy esetleg teljesen eltérő formában kezd hozzá. Fontos megemlíteni a nagyobbak közül az angol, a német vagy a francia munkacsoport munkásságát, de számos nemzeti ajánlás is létezik már, melyek nemzeti szinten próbálják egységes módon megadni az útmutatást. Összességében elmondható, hogy minden pénzpiaci szereplő saját döntése alapján áll be (vagy nem) valamelyik ajánlás égisze alá, az azonban teljesen bizonyos, hogy szolgáltatói oldalról ez a nagyszámú lehetséges irány az API-k kapcsán nehezen kezelhető.

 

Nem álom az együttműködő pénzügyi szféra

Felmerül a kérdés, milyen színessé válik így a szolgáltatói paletta csak Magyarországon, vajon hányféle API-t vagy csatlakozási típust célszerű felállítani, és hogyan valósítsuk meg ezek egységes és biztonságos ellenőrzését.

„Nem mondom, hogy nem várható durva rivalizálás a szolgáltatók és a bankok között, de lehetséges, hogy lesznek olyanok, akik felismerik a nyitott bankrendszerben rejlő lehetőségeket” – fogalmaz Polereczki Andrea. Az együttműködő pénzügyi szférára egyébként már található jó példa többek között a spanyoloknál, a dánoknál és a briteknél is.

A szakember szerint az azonnali utalás esetében – amikor megtörténik a központi rendszerre való „rácsücsülés” – a központi tranzakciós üzenet-összeállítással szintén kell majd foglalkozni. Mert bár jelenleg is vannak a pénzpiacon szolgáltatók, akik aránylag gyorsan tudnak tranzakciót bonyolítani másodlagos azonosítók használata mellett, azonban az így indított tranzakciók üzenetei jelenleg saját, szabadon választott stílusban készültek, így nem biztosítanak rögtön megfelelő kommunikációt a központilag kifejlesztett rendszer ISO 20022-es szabvány szerinti működéséhez.

A szakma kíváncsian várja a választ arra is, hogy a két- vagy többfaktoros authentikáció kapcsán mi lesz a jó irány, és például mennyire fog beválni a biometrikus azonosítás (például hang-, írisz-, vénaszkenner, ujjlenyomat azonosítás), amelyeknek egyelőre szintén vannak gyermekbetegségei. „De még mindig jobb megoldásként vethetők be, mint a napjainkban alkalmazott sms-küldés, mint második faktor” – mondja Polereczki Andrea.

Természetesen, amennyiben a biometrikus azonosítás megfelelőnek bizonyul és biztonságosan alkalmazható a PSD2 megfelelésnél, akkor egy újabb nehézséggel kell majd szembenéznünk: a gyártói függőséggel. Ugyanis szolgáltatói és banki oldalon egyaránt biztosítani kell minden gyártó és minden operációs rendszer szempontjából az azonosítás lehetőségét.

Piactér alapú bankolás az Amazonon

Az Amazon, mint „fintech bank” működési folyamatait az API és az adatvezérelt gondolkodás szerint alakította ki. A piacteret teljesen átalakították, az infrastruktúráját azonnal rákötötték az Egyesült Királyság fizetési rendszereire, majd a Faster Payment rendszerre és megnyitották az együttműködés lehetőségét. Első partnerük a Transferwise, majd őt követték a költségelemzéssel, célmegtakarítási ajánlatokkal foglalkozó induló vállalkozások. Már kialakítottak egy fejlesztői közösséget is és megkezdték az ügyfelek edukálását.

 

Újratervezés: elindult

Óriási forradalmat jelent a bankrendszer modernizálása, hiszen a pénzügyi szektor digitalizációjára is szükség volt. Ennek a lépésnek be kellett következnie. Mivel a monetáris bankok nem vették fel a lépést a digitális fejlődéssel, és sokszor nem is tudtak olyan termékpalettát kialakítani, amely a digitalizált életvitelt teljesen kiszolgálja, a változást ki kellett kényszeríteni.

A nyílt bankrendszerre való felkészülés összességében nemcsak szabályozási és technológiai, hanem humán szempontból is megváltozott szemléletet igényel. A teljes pénzügyi szektornak felül kell vizsgálnia a jelenlegi működését és hozzáállását, illetve át kell gondolnia, hogy milyen szabvány mentén, milyen lépéseket kíván tenni, és hogyan fogja mindezt az előírásoknak megfelelően, biztonságosan megvalósítani.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 2051 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Christopher Mattheisen

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4901 cég szerepel adatbázisunkban.
Az utolsó regisztrált:Inviitech

A legkeresettebb cégek: