November 19-én Pénzügyi Kiberbiztonság és PSR az EU-ban – A magyar uniós elnökségi prioritásai címmel tartottak konferenciát a Mastercard támogatásával a Gellért Campuson. A program első felében meghívott előadók prezentáltak, majd egy kötetlenebb kerekasztal-beszélgetés keretein belül folytatódott az eszmecsere az előadások során érintett témák gyakorlati kihívásairól, végül pedig a rendezvény egy fogadással zárult.
Írta: Varga Tamás, borítókép: Canva
Az eseményt a Budapesti Corvinus Egyetem rektora, Bruno van Pottelsberghe nyitotta meg, aki nyitóbeszédében kiemelte, hogy a Belga Nemzeti Bank mellett hazájában a Mastercarddal is dolgozott együttműködésben, így ismerős számára a pénzügyi szakemberek társasága. A borongós időjárás és látkép szintén Belgiumra emlékeztette, ami miatt otthonosan érezte magát a konferencián.
A következő felszólaló, Márkus Gergely, a Mastercard magyar és szlovén piacának stratégiai és operatív irányítója fontos témának tartja a kibervédelemet. Elmondta, hogy mivel 2024 második felében Magyarország tölti be az Európai Unió Tanácsának soros elnökségét, a PSD2 (Revised Payment Services Directive) szabályzás továbbgondolásában a Nemzetgazdasági Minisztérium is kulcsszerepet játszik. Hozzátette, hogy kifejezetten üdvözli a Corvinusszal való együttműködést, hiszen véleménye szerint „az iparági párbeszéd nélkülözhetetlen a legmegfelelőbb szabályozás megvalósulásához”.
Miért veszélyesek az adathalász kísérletek, hogyan lehet védekezni ellenük?
A Magyar Nemzeti Bankot Dr. Luspay Miklós, a Pénzügyi infrastruktúrák és pénzforgalom igazgatóságának vezetője képviselte. Prezentációjában felhívta a figyelmet arra, hogy azért nőtt meg a visszaélések száma a digitális térben, mivel egyre többen tartják a megtakarításaikat folyószámlákon, a bűnözői csoportok pedig a célcsoporttal együtt mozognak. Az általa bemutatott adatokból az derül ki, hogy a visszaélések zöme pszichológiai manipuláció útján történik, azonban az adathalászat is gyakori. Elmondta, hogy a valós idejű szűrőrendszerek, valamint a tranzakciós limit beállítása segítséget nyújthat a csalások kiszűrésében. Emellett kiemelte, hogy ha az ügyfél nem játszik tevőleges szerepet személyes adatai kiszolgáltatásában, akkor jogtalanság fennállása esetén az eltulajdonított összeget a bank megtéríti.
A Mastercard termékfejlesztési menedzsere, Nemes Máté arról számolt be, hogy az informatikai biztonság globális probléma, amely a teljes gazdaságot áthatja. A pénzügyi szektort közvetlenül érintik a visszaélések, tekintve, hogy a kis- és középvállalkozások informatikai biztonsága korlátozott, gyakran érik őket adathalász-támadások. Egy ilyen digitális ostrom után az érintett vállalatok jelentős része hat hónapon belül csődbe megy.
Miben hoz újat a PSR, min lehetne még javítani?
Dr. Horváth Katalin, a CMS Budapest technológiai jogi csapatának partnere előadásában a PSR (Payment Services Regulation) részleteit ismertette, ami a már említett PSD2 továbbfejlesztett változata. Újdonság ebben a tervezetben, hogy nagyobb figyelmet szentel az ügyintézéses csalások megelőzésére, ezért a célok közé tartozik egy erős hitelesítési rendszer kidolgozása, aminek keretében megjelenik az IBAN-szám alapú ellenőrzés lehetősége. Emellett hangsúlyosabb lesz a tranzakció monitoring, ami régebbi tranzakciók és mintázatok alapján méri fel az adott pénztranszfer biztonságát. Prioritásként szerepel még a hátrányos helyzetűek eszköz- és szoftverhasználatának akadálymentesítése, ami a hiányos digitális képességekkel rendelkező felhasználókat is segítené. Jelentős változás továbbá, hogy a bankok nem küldhetnek majd olyan emailt, amiben link vagy csatolmány található, ezzel kiküszöbölve a megtévesztés másik módját.
Magyarországon és Szlovéniában Martinovic Boris a Mastercard Public Policy igazgatója, ő szintén a PSR-ról adott elő. Támogatja a viselkedési és környezeti adatokon alapuló biometria jogerőre lépését, hogy a technika hosszú távon szolgálhassa a felhasználókat. Fontosnak tartja, hogy az adatmegosztás során az adatokhoz ne csak a fizetésforgalmi, hanem a technikai szolgáltatók is hozzáférhessenek, mivel ez megkönnyítené a munkafolyamatokat. Emellett javasolja, hogy az SCA (Strong Customer Authentication, azaz „Erős Vásárlói Azonosítás”) kapcsán a kiskereskedelmi láncok kiszervezési megállapodásokat kössenek a pénzintézetekkel azért, hogy a fizetés akár az üzletlánc applikációján belül megvalósulhasson, ám ez a szigorú jogi szabályozás miatt nehezen megvalósítható.
Mik a teendők a jövőre nézve?
Az előadások után kerekasztal-beszélgetéssel zárult a konferencia formális része, amit Turzó Ádám, a Portfolio.hu elemzője moderált, a résztvevők pedig Dr. Kő Andrea, a Corvinus Adatelemzés és Informatika Intézetének intézetvezetője, és a korábban felszólaló szakértők voltak. A beszélgetés kezdetén arról meséltek, hogy ők személyesen milyen internetes csalásokat éltek át, és hogyan oldották meg ezeket. Tisztázták, hogy a csalóhálózatok is vállalkozásszerűen működnek, tehát akkor folytatják a tevékenységüket, ha az kifizetődő nekik, és számukra Magyarország a munkavégzés egyik piaca. Felmerült még az ügyfél által elkövetett súlyos gondatlanság fogalma, valamint az, hogy ezt mennyire nehéz pontosan meghatározni, ami tovább erősíti a szabályozók, illetve a piaci- és technikai szereplők közötti folyamatos párbeszéd fontosságát. A biometrikus azonosítás szükségességéről, illetve a biometrikus adatok tárolásának megbízhatóságával kapcsolatban megmutatkoztak a résztvevők véleménykülönbségei is.
A zárógondolatok a következőek voltak: lényeges, hogy a szolgáltatások ügyfél- és emberközpontúak maradjanak. Elektronikus vásárlásnál elengedhetetlen, hogy tudatosak és éberek legyünk, mivel „ha mi jól vagyunk, a pénzünk is jól lesz”. Kulcsfontosságú, hogy a pénzügyi szektor, a felhasználók és a piaci szereplők együttműködjenek, hiszen csak így lehet hatékony megoldást találni a kiberbiztonság problémájára. Az EU pénzügyi versenyképessége pedig csakis úgy tartható fenn, ha a tagállamok együttműködnek, és közös rendeleteket hoznak.