Magyarországon is egyre népszerűbbek a hagyományos bankoknál modernebb és sok esetben olcsóbb szolgáltatásokat nyújtó fintechek. Ezek közül itthon a Revolut a legnépszerűbb és -ismertebb szolgáltató, de sok más fintech-megoldást is sokan használnak. Ezek egyike a londoni székhelyű Curve, amely hivatalosan nem közli ugyan, hány magyarországi felhasználója van, de a szám több ezresre tehető. Ez abból sejthető, hogy a cég külön magyar nyelvű segítségnyújtó felületet is üzemeltet a honlapján, amire csak néhány egyéb nyelv esetében van példa.
Egy kártya mind helyett
A Curve a Revoluttal ellentétben egyfajta helyettesítő kártyát kínál azzal a céllal, hogy sok kártya helyett elég legyen egyet a pénztárcában tartani, amely vásárlásra, illetve készpénzfelvételre is alkalmas. Leegyszerűsítve arról van szó, hogy a szolgáltatótól igényelhető, saját névre szóló bankkártya „mögé” a Curve applikációjában a felhasználó akár összes bankkártyája is beregisztrálható, bár a konkrét technikai megvalósítás ennél kicsit összetettebb.
Az applikációban akár minden tranzakció előtt külön kiválasztható, hogy a Curve melyik bankkártyát terhelje, emellett kínál egy olyan funkciót is, amellyel az egyes tranzakciókat (90 napon belül) másik kártyára lehet átterhelni – ezt is rengetegen használják. Az ingyenes csomagban havi 500 euróig kedvezőbb árfolyamon történő devizaváltás is jár, vagyis a Curve-vel érdemes más devizában vásárolni.
A Curve hazai népszerűségét nagyban növelte az is, hogy a cég nagyon régóta kínál Apple Pay-, illetve Google Pay-kompatibilitást (utóbbi Magyarországon tavaly novembertől elérhető, de egy kiskapunak köszönhetően sokan már jóval korábban használni tudták), így a Curve-kártya használatával azok számára is elérhetővé vált a telefonnal való, Paypass-jellegű érintéses (NFC) fizetés, akiknek bankja nem kínál(t) Apple vagy Google Payt. Utóbbi szolgáltatást egyébként a cikk írásának pillanatában egyetlen hazai bank sem támogatja még hivatalosan (az Ersténél a nyáron jön), így az androidosok egyelőre vagy használják a bankjuk által kifejlesztett mobilfizetéses alkalmazást, vagy csak a Curve-re, Revolutra és Transferwise-ra támaszkodhatnak, ha a telefonjukkal akarnak fizetni.
Váratlan összeomlás
A hazai fintech-fórumokon február 2-án, kedden futótűzként söpört végig, hogy a Curve-ön keresztül nem működnek az Erste Bank által kibocsátott bankkártyák. Az Erste egy szelektált felhasználók számára januárban kiküldött hírlevélben – a Curve-öt konkrétan nem megnevezve – már figyelmeztetett ugyan arra, hogy az ilyen szolgáltatások használata problémákba ütközhet és fizetéshez mindenki használja közvetlenül az erstés kártyáját, a Curve február 2-i elérhetetlenné válása azonban így is általános felháborodást keltett a kártyát használó ügyfelek körében. Főleg azért, mert úgy tűnt, hogy kizárólag az Erste kártyái lettek nemkívánatosak a szolgáltatásban, információink szerint azonban más bankoknál is körvonalazódnak már szigorítások.
A kommentek alapján az Erste ügyfélszolgálatára azonnal özönleni kezdtek a panaszok, néhányra már válaszolt is a bank. A válaszlevelekben ugyanazt állítja az Erste, amit a hírlevélben, vagyis hogy a Curve nem felel meg a január 1-jétől kötelező, kétfaktoros erős ügyfélhitelesítésnek. A kétfaktoros hitelesítés azt jelenti, hogy online vásárlások során a tranzakció teljesüléséhez nem elég a kártyán szereplő adatok ismerete és beírása, a bankoknak egy további hitelesítéssel is meg kell győződniük arról, hogy valóban a kártya tulajdonosa indította a tranzakciót.
Ez a másodlagos hitelesítés történhet SMS-sel, vagy a tranzakció a bankok saját applikációjában történő megerősítésével, de január 1-jétől ez a lépés semmiképp sem maradhat el. A Curve az applikációba regisztrált, és éppen kiválasztott kártya terhelését valóban online tranzakció keretében végzi, de ez nem egészen olyan, mint egy hagyományos netes vásárlás. A Curve ugyanis egy tranzakció alatt kettőt bonyolít le: a saját maga által kibocsátott kártyával fizet a kereskedőnél (és itt elvben alkalmaznia kell a kereskedő felé a kettős azonosítást), és ezzel párhuzamosan mint online kereskedő a kiválasztott bankkártyáról is leemeli az összeget. A bank szerint az utóbbival van a gond, mivel a Curve ez esetben nem felel meg a kettős azonosításról szóló előírásnak.
Hasonlóan, előre beregisztrált kártyákkal működik (illetve így is működhet) a PayPal és a hazai Simple, ezek a szolgáltatások pedig továbbra is fennakadás nélkül használhatók az Ersténél. Lényeges különbség a bank szerint, hogy a PayPal az előre regisztrált kártyák ellenére is kér erős ügyfélhitelesítést azoknál a tranzakcióknál, amelyekre ezt a jogszabály előírja (kivételnek számítanak az úgynevezett megújuló fizetések, például a havi rendszeres Netflix vagy bármilyen más előfizetési díj). A Simple-be regisztrált kártyákkal való fizetések pedig valóban teljesülnek szinte azonnal, hitelesítés nélkül, erre azonban az a magyarázat, hogy a Simple felkerült a megbízható, belföldi elfogadók listájára, ezek számára pedig a jogszabály megengedi, hogy mellőzzék az erős hitelesítést.
Furcsának tűnik a bank magyarázata
A Curve-alkalmazásba a felhasználók kétfaktoros hitelesítés után tudják hozzáadni a bankkártyájukat, a kártyaregisztrációt SMS-sel vagy applikációval kell jóváhagyni. A 24.hu egyik olvasója képernyőmentéseket is készített saját kártyájának Curve-be való regisztrálásáról, a képek alapján pedig úgy tűnik, hogy a szolgáltatás – a kártyahozzáadásnál legalábbis biztosan – teljesíti az erős ügyfélhitelesítés feltételeit. Két nappal a Curve elérhetetlenné válása után, február 4-én történt kártyaregisztrációnál megjelent az a jóváhagyó felület, amely a kétfaktoros ügyfélhitelesítéshez szükséges, a kártyatulajdonos telefonszámára az SMS is megérkezett. (Ez a lépés a héten döcögősen elindult, de már stabilan működő új George applikációval is sikeres.) Egy Curve-höz hozzáadott kártya használatához ezt követően még egy ellenőrzés (alacsony összegű terhelés egy kóddal) is szükséges lenne, de ezt a lépést február 2. óta már blokkolja az Erste.
Az általunk megkérdezett szakemberek szerint furcsa, hogy ha a Curve legalább egy lépésben biztosan megfelel az erős ügyfélhitelesítésnek, akkor a tranzakciók teljesítése során, később már nem. Az Erste szerint ez azért van így, mert a regisztrációnál a Curve tudja és teljesíti is a kétfaktoros hitelesítést, később, más tranzakcióknál viszont nem, így meg kell tagadnia ezek teljesítését. Az Erste a hírlevelében, illetve egyes felhasználóknak küldött válaszaiban is azt írja, hogy erős ügyfélhitelesítés hiányában törvényi kötelezettsége a tranzakciók elutasítása.
Az Erste Bank volt egyébként az első olyan hazai bank is, amely a Revolut-számlák hitelkártyával való feltöltése esetén kamatot kezdett felszámítani (magyarázatuk szerint ennek oka az volt, hogy kártyás vásárlás helyett a Revolut – a kártyatársasági (Mastercard) előírásoknak jobban megfelelve – online készpénzfelvételként kezdte könyvelni az ilyen tranzakciókat, ami hitelkártya esetén elég sokba kerülhet). A bank szerint ezt a változtatást a Revolutnak kellett volna jeleznie az ügyfelek felé, de a felszámított díj miatt akkor reklamáló ügyfeleknek – egy néhány hétig tartó türelmi időszakban – jóváírták a vitatott tételeket. Az erős hitelesítési procedúra egyébként a Curve és a Revolut között is működik, ha utóbbi szolgáltató kártyája van éppen kiválasztva.
Míg a Curve-vel kapcsolatban egyes ügyfelek már kaptak választ az Erstétől, sokan még mindig várnak erre. A felháborodás mindenesetre akkora, hogy a fórumokon olvasható bejegyzések alapján többen akár a Magyar Nemzeti Banknál is készek panaszt tenni az Erste lépése miatt – sőt úgy tudjuk, hogy néhányan már meg is tették.
2200 ügyfél kapott értesítést
A 24.hu-nak küldött állásfoglalásában az Erste Bank megerősítette, hogy azért blokkolja a Curve használatát, mert az a regisztráción kívül sehol sem küld hitelesítési kérést a pénzintézet felé. Így történhet meg, hogy a regisztráció maga hitelesített, míg a többi tranzakció már nem. A PSD2-szabályok a kibocsátó bank felé támasztanak követelményeket azzal kapcsolatban, hogy mit szükséges hitelesítenie, és mit nem. Az Erste azt állítja, nem veheti figyelembe korlátlanul, hogy a Curve kezdeményezett-e ilyen tranzakciót vagy sem.
Az Erste szerint a jogszabályok értelmében nem volt választása a banknak, kénytelen volt blokkolni a Curve használatát, amelyről értesítette is azt a mintegy 2200 ügyfelét, akiknek az utóbbi hat hónapban volt Curve-tranzakciójuk.
Noha az erős ügyfélhitelesítésre vonatkozó szabályok január 1-től hatályosak, a Curve tiltása azért csúszott egy hónapot, mert a bank figyelembe vette, hogy időre van szükség a hitelesítési folyamat teljesüléséhez. Az Erste szerint a Curve esetében a technikai folyamat nem felel meg az előírásoknak, arról pedig a bank nem tud tájékoztatást adni, hogy más bankoknál miért használható a Curve-kártya továbbra is.
Az Erste gyakorlata mindenben megfelel a jogszabályi előírásoknak. Más bankok gyakorlatára vonatkozóan az érintett bankok tudnak felvilágosítást adni
– írta a kommunikációs osztály.