Hogyan férhet hozzá a Számlázz.hu a banki adatokhoz? Miért csak a K&H-val és a MagNet Bankkal működik az autokassza?? Mit szöszmötölünk már a többi bankkal??? 

2019. szeptember 14-én elindult a nyílt bankolás Magyarországon – elvileg. A gyakorlat pedig a következő: A Számlázz.hu 2019 novemberében negyedik magyar vállalkozásként megkapta a Magyar Nemzeti Banktól az ún. AISP-engedélyt (számlainformációs szolgáltatói engedélyt), amelynek köszönhetően hozzáférhet az ügyfelek bankszámlaadataihoz – amennyiben az ügyfél engedélyt ad rá.

Elsődleges célunk az AISP-engedéllyel az, hogy a Magyarországon innovációnak számító, Számlázz.hu által kifejlesztett autokassza szolgáltatást minél több bank ügyfelei használhassák. Amikor 3 évvel ezelőtt elindítottuk a szolgáltatást a MagNet Bankkal, rögtön sokan kérdeztétek, hogy mikor jön a következő pénzintézet. 

És amikor tavaly, szeptember 14-én elindult a nyílt bankolás, tudtuk, hogy a K&H lesz az a bank, amelyik a PSD2 rögös útjain az “új” bankok közül elsőként fogja kitaposni az utat az autokasszáig. A K&H digitálisan érett bankként megértette azt, hogy ügyfeleinek mire van szüksége, és hogyan tudja segíteni őket és a vállalkozásukat. 

Miért nem jön a többi bank? 

Több bankkal is kapcsolatban vagyunk annak érdekében, hogy mihamarabb elindíthassuk az autokasszát, így még több Számlázz.hu ügyfélnek spórolhassunk értékes órákat. Elméletileg minden bank elérhetővé tette az open API-ját, amelyhez a PSD2 szabályai alapján harmadik, AISP-engedéllyel rendelkező felek csatlakozhatnak. A banki fejlesztések, finomítgatások szükségesek és jelenleg is zajlanak annak érdekében, hogy ezekhez az API-khoz harmadik felek a gyakorlatban is csatlakozni tudjanak. Mi folyamatosan bökdössük a bankokat, ami rajtunk múlik, megtesszük.  

Nincs más út, hogy elinduljon az autokassza más bankokkal is? 

Magyarországon jelenleg az online számlázók közül kizárólag a Számlázz.hu rendelkezik az MNB által kiadott számlainformációs szolgáltatói (AISP) engedéllyel, vagyis az online számlázók piacán jelenleg csak a Számlázz.hu felel meg azoknak a rendkívül szigorú biztonsági szabályoknak, amelyek teljesítésével hozzáférhet az ügyfelek banki adataihoz. 

A PSD2 és az Európai Unió célja a nyílt bankolás bevezetésével nemcsak az, hogy kinyissa a lehetőségeket a fintech szolgáltatók számára, hanem az is, hogy bezárja azokat a biztonsági kockázatot jelentő kiskapukat (például a screen scrapinget – lásd lentebb), amelyek veszélyt jelentenek az ügyfelekre nézve. 

Képzeljétek el, van lehetőség arra, hogy egy AISP-engedéllyel nem rendelkező vállalkozás is megkapja a banki adatokat egy kerülőút, az ún. “screen scraping technika” segítségével. Ennek az adatszkennelő technikának a lényege, hogy az ügyfél a banki belépési adatait (a banki felhasználónevét és jelszavát, illetve, ha egy adott tranzakcióhoz jóváhagyás szükséges, akkor az ehhez kapcsolódó sms-kódot is) kiadja egy harmadik félnek. 

Miért rizikós a screen scraping módszer? 

A különbség az, hogy a fenti esetben – ellentétben a Számlázz.hu autokassza működésévelaz MNB felügyelet nincs meg, és a bank sem ad engedélyt a műveletre. Ez pontosan ugyanolyan, mintha megadnád az egyik ismerősödnek a banki belépési adataidat, hogy intézzen el egy utalást helyetted, vagy hagyjon jóvá egy tranzakciót a netbankodban. Ez nemcsak biztonsági kérdéseket vet fel, de a bankok ÁSZF-ének értelmében ez esetben a banki felelősség teljes mértékben megszűnik, vagyis a bank nem vállal felelősséget, ha a screen scrapingen alapuló szolgáltatás igénybevétele során kár éri az ügyfelet. Éppen ezért ez a bankok által sem támogatott.

A Számlázz.hu nem így működik. A screen scraping használatát évekkel ezelőtt, amikor a PSD2-nek még híre sem volt, a Számlázz.hu is megvizsgálta, azonban több biztonsági, valamint megbízhatósági aggályunk is volt ezzel kapcsolatban, jogi szempontból pedig megkérdőjelezhető a működése. Így később a rögösebb, ám jóval biztonságosabb utat választottuk, amelyet az MNB felügyel. 

Soha ne add ki a belépési adataidat harmadik félnek! 

A PSD2 bevezetésével Magyarországon ez a típusú screen scraping technika már nem elfogadható. A nyílt bankolás bevezetése óta, amennyiben az adott banknak létezik open API-ja, akkor a screen scraping többé nem megtűrt – márpedig Magyarországon (papíron) ez minden banknál rendelkezésre áll. 

A PSD2 és a nyílt bankolás bevezetésével számos kérdés merült fel a vállalkozókban, bennetek: ezeknek a kérdéseknek nagy része a biztonsággal volt kapcsolatos, és ezeket meg is osztottátok velünk. Az MNB által jóváhagyott AISP-engedélyünk a garancia arra, hogy adataitok a lehető legnagyobb biztonságban vannak – Magyarországon jelenleg a legnagyobb biztonságban. 

Az autokassza működése során, amikor összekötöd a bankszámládat a Számlázz.hu fiókoddal, adataidat a bank oldalán adod meg, a felhasználóneved és a jelszavad a Számlázz.hu-hoz sem jut el, és ez így van rendjén. 

Éppen ezért feladatunknak érezzük, hogy felhívjuk a figyelmeteket arra, hogy banki belépési adataitokat soha ne adjátok meg külső oldalon, harmadik felek részére, még akkor sem, ha ezért kiemelkedő szolgáltatásokat ígérnek nektek!

Szeretnél többet tudni a NAV online számlázásról?

Hozzászólások

hozzászólás