Miért fontos az erős ügyfél-hitelesítés?

Mióta az Európai Unió elfogadta a pénzforgalmi szolgáltatásokról szóló irányelvet (PSD2), sok szó esik az erős ügyfél-hitelesítésről, vagyis az SCA-ról. De mit jelent az SCA? Miben nyilvánul meg a webes tranzakcióink során? Milyen kihívásokat jelent az online tevékenységet folytató vállalkozások számára, és milyen előnyökkel jár?

2015 októberében az Európai Unió jóváhagyta a pénzforgalmi szolgáltatásokról szóló új törvényjavaslatot, amelynek célja a fogyasztók jobb védelme az online tranzakciók vagy a határokon átnyúló fizetések során. Míg a kezdeti bevezetési idő kitolódott, az SCA gyorsan részévé vált a bankokkal, online kiskereskedőkkel és szolgáltatókkal folytatott mindennapi internetes interakcióinknak.

De mi motiválta a megerősített biztonsági intézkedésekre történő átállást? Ennek megválaszolásához meg kell vizsgálnunk azokat a tényezőket, amelyek a PSD2-höz vezettek, ilyen többek között a fogyasztókat és a vállalkozásokat egyaránt érintő kiberfenyegetések újjáéledése.

Végül figyelembe kell vennünk az SCA előnyeit és kihívásait az online kereskedők és szolgáltatók szemszögéből. És mit tehetnek a kártyakibocsátók, a bankok és a pénzintézetek annak érdekében, hogy megfeleljenek az SCA követelményeinek, úgy, hogy közben továbbra is fenntartják a pozitív felhasználói élményt és a tartós elkötelezettséget?

Végül is mit jelent az erős ügyfél-hitelesítés?

Az erős ügyfél-hitelesítés közvetlen válasz az európai polgárok online fogyasztási szokásainak és a banki szokások 21. század második évtizede óta fennálló markáns változására. Noha fokozott biztonságot kínál, bonyolultabb is. De hogyan működik pontosan?

Az SCA a PSD2 egyik sarokköve. Megköveteli, hogy az Európai Gazdasági Térségen belüli pénzforgalmi szolgáltatók többtényezős hitelesítési (MFA) eljárásokat vezessenek be. Ez biztosítja, hogy azok az ügyfelek, akik pénzforgalmi szolgáltatásokhoz férnek hozzá, és szenzitív adatokat osztanak meg online banki alkalmazásokon és hasonló felületeken keresztül, valóban azok, akiknek mondják magukat.

A kéttényezős hitelesítés (2FA) arra kötelezi a felhasználókat, hogy az alábbiak közül kettőt adjanak meg/teljesítsenek tranzakció lebonyolítása vagy bizalmas anyag elérése során:

Ez a három kategória a következő fogalmakkal foglalható össze:

• Tudás – ez a kategória olyan jelszavakra, PIN-kódokra vagy információkra támaszkodik, amelyeket kizárólag a felhasználó vagy az ügyfél képes megadni.
• Tulajdon – ez olyan dolgokra támaszkodik, amelyet a felhasználó magánál tart, beleértve a mobiltelefont, tokeneket vagy intelligens kártyákat, és amelyek felhasználhatók a kért információk megadására.
• Elválaszthatatlan azonosító – ez a felhasználó fizikai alkatára támaszkodik, amely arc-, hang- vagy ujjlenyomat-felismeréssel figyelhető meg.

Bár ez az utóbbi néhány évvel ezelőtt elképzelhetetlen volt, gyorsan vált korunk mindenütt jelen lévő valóságává. A népszerű megnyilvánulásai közé tartozik az Apple FaceID vagy azok az ujjlenyomat-felismerő felületek, amelyeket az okostelefon-gyártók használnak, hogy hozzáférést biztosítsanak az eszközeikhez, így leváltva a hagyományos PIN-kódot.

Továbbra is fennáll azonban a kérdés, hogy az online fogyasztási minták gyors növekedésén túl mi vezérelte még ezeket a bővített hitelesítési módszereket? És milyen következményekkel járhatnak mind az online fogyasztók, mind a vállalkozások számára?

Miért vezették be az SCA-t?

Egyszerűek az okai, hogy úgy gondolták, hogy az online bankolási és kiskereskedelmi fogyasztói védelem hiányzott a PSD2 előtt. Ezek közé tartozik a kibertámadások mennyiségének és bonyolultságának utóbbi tíz évben tapasztalt észrevehető növekedése, az újabb fejlemények pedig tovább súlyosbítják ezt a tendenciát. Míg az SCA igyekszik mérsékelni a kiberfenyegetéseket, hátrányosan befolyásolhatja a felhasználói lépéssorokat egy adott platformon, alkalmazásban vagy webhelyen. De hogyan?

Mivel a COVID-19 világjárvány 2020 folyamán továbbra is komoly zavarokat okozott, az adathalász átverések, a rosszindulatú programok, a zsarolóprogramok és a tisztességtelen támadások különféle fajtái ugrásszerűen megnövekedtek, és számos szolgáltatóipari szakember egyik napról a másikra a napi ingázást otthoni munkavégzésre cserélte. A számítógépes bűnözés már a világjárvány előtt is folyamatosan, évről évre nőtt az elmúlt évtizedben. A „Ninth Annual Cost of Cybercrime Study” című tanulmányában, amely 11 ország 355 vállalatának több ezer vezető tisztségviselőjét kérdezte meg, az Accenture 2013 és 2018 között 67%-kal több biztonsági feltörést talált vállalatonként. A kiberbűnözők áldozatai azonban nem csak a munkavállalók és a cégek adatai, ugyanis megnövekedett az egyének ellen irányuló internetes támadások száma is. A PSD2 ennek megoldására törekszik.

Az egytényezős hitelesítés (SFA) eredendő sérülékenységei – például a könnyen elfelejtett jelszavak visszatérő használata – a fogyasztókat számos kiberfenyegetésnek teszik ki. Így a kártyakibocsátókra, bankokra és pénzforgalmi szolgáltatókra hárult egy olyan SCA-mechanizmus létrehozása, amely nagyobb védelmet nyújt számukra a rosszindulatú támadásokkal szemben.

Összességében az SCA előnyökkel és hátrányokkal is jár az online fogyasztók és vállalkozások számára

Ami a felhasználói élményt illeti, a többtényezős hitelesítés okozta potenciális súrlódás sok vállalkozás számára aggodalomra ad okot. Felmerül a kérdés, hogy hogyan tudják a kártyakibocsátók, a bankok és a pénzforgalmi szolgáltatók biztosítani az emberek biztonságát a gördülékeny felhasználói élmény fenntartása mellett?

Biztonság és felhasználói élmény, lehetetlen egyenlet?

Uber, Deliveroo, JustEat… a lista véget nem érő. Az elmúlt években számtalan alkalmazásalapú szolgáltatás virágzott fel, amelyek mindennapi életünkben gyors szolgáltatást, gyors fizetést és gördülékeny felhasználói élményt tesznek lehetővé. Az SCA problémát jelenthet azoknak a vállalkozásoknak, amelyek ugyanolyan zökkenőmentes, gördülékeny szolgáltatást kívánnak kínálni ügyfeleiknek, amelyet ma már sokan természetesnek tartanak. Mit lehet tehát tenni?

A PSD2 értelmében maguk az online kereskedők nem tudják ellenőrizni az SCA végrehajtási módját, mivel ez a felelősség az ügyfelek kártyakibocsátóit és banki partnereit terheli. Ez akkor is frusztrációhoz vezethet, ha mindkét fél közös érdeke a gördülékeny online tranzakciók folytonosságának előmozdítása. Amikor a hagyományos banki szolgáltatók kezdetben az alkalmazásalapú online banki szolgáltatásaik megalkotásába kezdtek, általában a megszokott asztali felületük egyszerűsített változata mellett döntöttek, lehetővé téve az ügyfelek számára, hogy átutalásokat hajtsanak végre, és néhány kattintással megtekinthessék egyenlegüket. Az SCA nyugodt elektronikus banki környezetbe és felhasználói élménybe történő beavatkozása nem maradt észrevétlen.

Azok a vállalkozások és pénzforgalmi szolgáltatók, amelyek figyelmen kívül hagyják a felhasználói élményre vonatkozó elvárásokat, veszélynek vannak kitéve. A Baymard független UX kutatóintézet által végzett legutóbbi online kiskereskedelmi felmérés szerint a „hosszú vagy bonyolult fizetési folyamat” volt a harmadik leggyakrabban közölt indok az online tranzakció elhagyására, és ebben a kategóriában a válaszadóknak több mint ötöde említette ezt az okot. Ennek ellenére közel 30% volt azoknak az aránya, akik azért hagyták el a kosarukat, mert a webhely arra kérte őket, hogy „hozzanak létre új fiókot”

Abban az időben, amikor az egyik online kiskereskedelmi üzletről vagy szolgáltatóról a másikra való áttérés akadályai alacsonyabbak, mint valaha, a biztonság és a gördülékeny felhasználói lépéssor egyensúlya alapvető fontosságú a vállalkozások, a bankok és a pénzügyi intézmények számára. A kínált hitelesítési lehetőségeknek a lehető legszélesebb körűeknek kell lenniük, figyelembe véve a különböző felhasználói vagy ügyfélprofilokat. Ennek megfelelő módon történő alkalmazása döntőnek bizonyulhat abban, hogy a vevői elkötelezettség az SCA ellenére továbbra is virágzik-e, vagy hanyatlani kezd a megterhelőnek vagy unalmasnak vélt igények következtében.

A felhasználói lépéssor súrlódásainak csökkentése és az összes felhasználó és ügyfél megfelelő kiszolgálása érdekében a kártyakibocsátóknak, bankoknak and pénzforgalmi szolgáltatóknak a következőket kell figyelembe venniük:

1. Nem minden mobil operációs rendszer (OS) naprakész

• Előfordulhat, hogy a kereskedők vagy a felhasználók nem frissítik automatikusan operációs rendszerüket, amikor szükséges..
• A platformokon vagy alkalmazásokban az SCA-nak akkor is működnie kell, ha az operációs rendszer nem rendelkezik új frissítésekkel.

2. Nincs mindenkinek okostelefonja

• Előfordulhat, hogy a kereskedők vagy a felhasználók nem frissítik automatikusan operációs rendszerüket, amikor szükséges.
• A platformokon vagy alkalmazásokban az SCA-nak akkor is működnie kell, ha az operációs rendszer nem rendelkezik új frissítésekkel.

3. Az SCA szükségtelen az ismétlődő tranzakcióknál

• A folyószámlák vagy előfizetéses számlák ismétlődő, állandó megbízásainak csak egyszer kell megfelelniük az SCA követelményeinek..
• A kedvezményezett által kezdeményezett ismétlődő beszedési megbízások kivételt képeznek.

4. Rendelkezésre állnak biometrikus megoldások

• A pontos arc- vagy ujjlenyomat-felismerés a legbiztonságosabb hitelesítési forma.
• Ezek továbbá a leginkább kompatibilisek a gördülékeny felhasználói lépéssorral.
• A külsős digitális azonosítós szolgáltatók olyan megoldásokat kínálnak, amelyek közvetlenül beépülnek a meglévő alkalmazási felületekbe vagy platform-infrastruktúrákba.

5. Útmutatás = megnyugtatás

• Elengedhetetlen az ügyfelek arról történő tájékoztatása, hogy mikor és hol szükséges az SCA.
• A kiberfenyegetések és a csalások visszaszorítására irányuló törekvésének ismertetése közvetíti az SCA jelentőségét.
• Az ügyfeleknek való tanácsadás mobileszközeik, operációs rendszerük és személyes adataik rendszeres frissítéséről gördülékenyebb SCA-élményt biztosít

Végül az online vállalkozásoknak és a kereskedőknek is szerepet kell vállalniuk annak biztosítása érdekében, hogy az SCA-t ne érzékeljék akadályként. Azáltal, hogy ügyfélkörüket tájékoztatják az SCA biztonsági előnyeiről, megnyugtathatják ügyfélkörüket, és mérsékelhetik a kezdeti vonakodást. És mégis a lényeg ugyanaz: az SCA állandósulni látszik. Bár előfordulhat a pillanatnyi súrlódás, az idő múlásával ösztönösebbé válik a folyamat, és az Európai Gazdasági Térségen belül működő összes fogyasztónak és vállalkozásnak alkalmazkodnia kell a PSD2 által létrehozott átalakult online tranzakciós környezethez.

Kevés jogszabálynak volt akkora átalakító hatása az online tranzakciókra, mint a PSD1-nek és a PSD2-nek. Az új pénzforgalmi szolgáltatások keretrendszerének bevezetésén túl a PSD2 erős ügyfél-hitelesítési rendelkezése nagyobb védelmet nyújt a fogyasztóknak a kibertámadásokkal szemben a webalapú tranzakciók során. Az SCA intézkedései által a felhasználói élményre jelentett kihívások azonban jelentősek.

A kártyakibocsátók, a bankok és a pénzforgalmi szolgáltatók feladata a gördülékeny felhasználói lépéssorok és online tranzakciók biztosítása, a megerősített biztonsági intézkedések akadályozása nélkül. Ez nemcsak az ő érdekük, hanem az online működő pénzügyi intézményeké, a fogyasztóké és a vállalkozásoké is. A széles körű, rugalmas hitelesítési lehetőségek felajánlása és a fogyasztók SCA előnyeiről való tájékoztatása az egyik legjobb módszer ennek elérésére.

Az SCA módszerek idővel gyorsabbá, ösztönösebbé és egyre szélesebb körűvé válnak, és a kezdeti súrlódás eloszlik. A biztonsági kockázatok azonban továbbra is állandóak, és minden online tevékenységet folytató vállalkozásnak körültekintően kell eljárnia. Tekintettel a szigorú szabályozási környezetre, amelyben működnek, a pénzügyi szolgáltatók valódi szakértelmre tettek szert a biztonsági problémák kezelésében és az esetleges fenyegetések elleni védelemben. Ezért döntő szereppel bírnak a tudatosság fokozásában ezen kérdések tekintetében, így elérve, hogy a vállalkozások jobban védekezhessenek.